Кошельки, пароли, любовницы. Как «Яндекс» слил ваши секреты  18

Технологии и ПО

08.07.2018 08:46

Илья Божко

6708  9.5 (26)  

Кошельки, пароли, любовницы. Как «Яндекс» слил ваши секреты


Пока вы спали, случился апокалипсис: пользователи выяснили, что «Яндекс» — а с ним и другие поисковики — умеет искать данные в Google Docs. В тех самых файлах, где вы записываете плюс-минус всё, что с вами происходит, включая рабочие процессы и нюансы походов в бар. И куда другие документируют всё, что связано с вами — от реквизитов банковских карт до контактного телефона и адреса. Тонна приватной информации в одночасье хлынула на страницы поисковиков. Рассказываем, как крупнейший слив данных может изменить вашу жизнь, — если уже этого не сделал


Что вскрылось?

Открыв новую возможность поисковиков, народ принялся выуживать чужие тайны. Документы с паролями от социальных сетей утекли первыми — можно только догадываться, сколько человек поутру не смогли зайти в любимый «ВКонтакт». Затем в ход пошли адреса, телефоны и даже сканы паспортов — не всегда с замазанной серией и номером. Маркетологи ринулись штудировать планы компаний конкурентов и бюджеты на селебрити. Благодаря этому выяснили, сколько стоит реклама у сотен популярных блогеров. А также разгадали загадку века: что за новинку будет продавать Pepsi этим летом? Газировку со вкусом лайма. Политические активисты обнаружили документы про митинги. Просто любопытные нагуглили личные таблички журналистов и пиарщиков, которые записывали телефонные номера политиков и звёзд.

Яндекс

Конкретные примеры из личной жизни? Пожалуйста. Многочисленные файлы с заголовками в духе «Список жильцов дома №15» обнажили чарующую информацию: номер квартиры, телефон, количество автомобилей и должность. По сети широко распространился текст с описанием домов терпимости и магической плашкой «откаты». Интернет узнал, что на Чкаловском проспекте есть «молоденькие», а на Льва Толстого «надо заплатить 500 рублей сверху клиенту». Разошлась и сводная табличка с именами «ненадёжных водителей Смоленска». Из неё можно выудить имя и фамилию человека, который «обрезал задние тормоза, чтобы колодки не портились», а потом ткнуть на ссылку — и увидеть скан паспорта героя. Наконец, как минимум один пользователь QIWI-кошелька лишился денег — его номер нашли в «открытом» документе, после чего 16 тысяч рублей ушуршали по другим счетам.


Как это вообще произошло?

Как заявила пресс-служба «Яндекса», поисковик индексирует лишь открытую часть глобальной паутины. То есть «те страницы, которые доступны при переходе по ссылкам без ввода логина и пароля». Проблема в том, что сюда входят не только документы с категорией доступа «для всех в интернете», — но также и те, которые предназначены «для всех, у кого есть ссылка». А их случайные ротозеи видеть не должны.

Проблема, как отметил Денис Ширяев, автор телеграм-канала Denis Sexy IT, может быть в «Яндекс.Браузере». Он собирает обезличенную статистическую информацию, в которую включаются в том числе и адреса посещённых страниц, — если пользователь дал на это добро.


ЯндексЧёрным замазаны личные данные пользователей: почтовые адреса, логины и пароли

«Я думаю, что это всё может быть связано со вчерашней историей. Очень обидно будет, если ребята [из “Яндекса”] просто забыли о хеш-ссылках, которых много у разных сервисов, и тоже добавили их в индексацию. Вчера у меня в индекс попал документ, который я шарил для коллег по ссылке — и у одного из них как раз стоял “Яндекс.Браузер” в качестве основного»

— пишет Денис Ширяев

Поисковики не пролезли в полностью закрытые документы, доступные «только тем, кому вы отправите приглашение». Однако открытых данных хватило, чтобы интернет всю ночь выискивал чужие тайны: пароли, сделки, расценки и прочую любопытную информацию. Спустя пару часов бесконтрольного веселья «Яндекс» опомнился и вообще отрубил индексацию по Google Docs. Однако пользователи прознали, что с другими поисковиками фокус тоже работает —  например, Mail.ru всё ещё шерстит по закрытым «гугл-докам», но большая часть конфиденциальных материалов уже спрятана.


Что могли найти?

Если конкуренты украли базу клиентов, то это скомпрометирует ваш бизнес, а более серьёзные утечки могут и разорить. Но это хотя бы не смертельно. Чего не скажешь об иного рода буквах и цифрах: например, именах осведомителей. «Сообщено анонимным источником», «автор под псевдонимом рассказал» — видели такие формулировки в СМИ? А теперь представьте, что кто-то ведёт табличку, где аккуратно документирует все ФИО и прозвища. А потом файл улетает в сеть — и анонимного источника находят в акватории ближайшей реки, ведь полгода назад он помог завести уголовное дело на вора в законе.

Яндекс

Ещё? Допустим, может вскрыться картотека с медицинскими данными. Вы уверены, что в районной поликлинике не научились выходить в глобальную паутину и выгружать анализы в Google Docs? А как насчёт гостиниц? Обычно даже самый захудалый хостел ведёт учёт с помощью онлайн-приложений. И кто сказал, что это не табличка в гугловских сервисах? Будете потом рассказывать своей второй половинке, почему две недели назад были не в командировке в Сызрани, а в подмосковном отеле, да ещё и с какой-то «феей Миленой».


Я опытный юзер, не держу пароли в публичном документе. Я в безопасности?

Нет. Даже если соблюдаете сетевую гигиену, вас может «сдать» кто угодно: родные, коллеги, старший по улице и та милая женщина со стойки регистратуры.

ЯндексЧёрным замазаны личные данные пользователей: почтовые адреса, логины и пароли

Фигуранты смоленского «чёрного списка водителей» тоже не сами заполняли документ — спасибо заботливым работодателям, которые не поленились прикрепить сканы паспортов. Равно как и жильцы дома, наверняка просто передавшие свои данные местной управляющей компании или подъездному активу. Полностью обезопасить себя не получится, если, конечно, вы не собираетесь прекратить все контакты с окружающим миром. Но кое-что в наших силах.

Что делать сейчас?

Во-первых, выдохните — если с интернет-кошельков не пропали все сбережения, в профилях не хозяйничает орава шакалов, а на столе вы не видите прощальную записку от жены, то вспышка прошла мимо. Ну или приватные сведения пока никто не раскопал. Но вы же не хотите подставиться снова, верно? Просто выполните несколько этих шагов:

  • Зайдите в каждую папку на вашем «гуглодиске», выделите все файлы и измените параметр доступа на «только тем, кому вы отправите приглашение» — так, чтобы в документ можно было попасть только после прямого инвайта на почту. Помните, что с точки зрения поисковика «доступ для всех» и «доступ по ссылке» ничем не отличаются. Подобрать URL можно даже руками, пусть и долго.
  • Оцените риски. На «фирменные» браузеры российских поисковых гигантов ругаются эксперты. Используйте их на свой страх и риск.
  • Объясните проблему и разошлите эту инструкцию друзьям, близким, коллегам и даже коту. Либо же просто поделитесь ссылкой на материал. Скажите, что это важно.

Оцените статью

Спасибо за обращение

Вам запрещено оценивать комментарии.
Обратитесь в администрацию.

Укажите причину