Гаманці, паролі, коханки. Як «Яндекс» злив ваші секрети

Поки ви спали, стався апокаліпсис: користувачі з’ясували, що «Яндекс» — а з ним і інші пошуковики — вміє шукати дані в Google Docs. У тих самих файлах, де ви записуєте плюс-мінус все, що з вами відбувається, включаючи робочі процеси і нюанси походів в бар. І куди інші документують все, що пов’язано з вами — від реквізитів банківських карт до контактного телефону та адреси. Тонна приватної інформації відразу ринула на сторінки пошуковиків. Розповідаємо, як найбільший злив даних може змінити ваше життя, — якщо вже цього не зробив.

Що розкрилося?

Відкривши нову можливість пошуковиків, народ почав вишукувати чужі таємниці. Документи з паролями від соціальних мереж витекли першими — можна тільки здогадуватися, скільки чоловік вранці не змогли зайти в улюблений «ВКонтакт». Потім в хід пішли адреси, телефони і навіть скани паспортів — не завжди з замазанной серією та номером. Маркетологи кинулися вивчати плани компаній конкурентів і бюджети на селебріті. Завдяки цьому з’ясували, скільки коштує реклама у сотень популярних блогерів. А також розгадали загадку століття: що за новинку буде продавати Pepsi цього літа? Газовану воду зі смаком лайма. Політичні активісти виявили документи про мітинги. Просто цікаві нагуглили особисті таблички журналістів і піарників, які записували номери політиків і зірок.

Конкретні приклади з особистого життя? Будь ласка. Численні файли з заголовками в дусі «Список мешканців будинку №15» оголили чарівну інформацію: номер квартири, телефон, кількість автомобілів і посаду. По мережі широко поширився текст з описом будинків терпимості і магічною плашкою «відкати». Інтернет дізнався, що на Чкаловському проспекті є «молоденькі», а на Льва Толстого «треба заплатити 500 рублів зверху клієнту». Розійшлася і зведена табличка з іменами «ненадійних водіїв Смоленська». З неї можна витягти ім’я та прізвище людини, яка «обрізав задні гальма, щоб колодки не псувалися», а потім ткнути на посилання побачити скан паспорта героя. Нарешті, як мінімум один користувач QIWI-гаманця позбувся грошей — його номер знайшли у «відкритому» документі, після чого 16 тисяч рублів ушуршали за іншими рахунками.

 

Як це взагалі сталося?

Як заявила прес-служба «Яндекса», пошуковик індексує лише відкриту частину глобальної павутини. Тобто «ті сторінки, які доступні при переході по посиланнях без введення логіна і пароля». Проблема в тому, що сюди входять не тільки документи з категорією доступу «для всіх в інтернеті», — але також і ті, які призначені «для всіх, у кого є посилання». А їх випадкові роззяви бачити не повинні.

Проблема, як зазначив Денис Ширяєв, автор телеграм-каналу Denis Sexy IT, може бути в «Яндекс.Браузері». Він збирає знеособлену статистичну інформацію, в яку включаються у тому числі і адреси відвіданих сторінок, — якщо користувач дав на це добро.

Чорним замазані особисті дані користувачів: поштові адреси, логіни і паролі

«Я думаю, що це все може бути пов’язане зі вчорашньої історією. Дуже прикро буде, якщо хлопці [з «Яндекса»] просто забули про хеш-посиланнях, яких багато у різних сервісів, і теж додали їх індексацію. Вчора у мене в індекс потрапив документ, який я нишпорив для колег по посиланню — і в одного з них як раз стояв “Яндекс.Браузер» в якості основного», — пише Денис Ширяєв.

Пошуковики не пролізли в повністю закриті документи, доступні «тільки тим, кому ви надішлете запрошення». Однак відкритих даних вистачило, щоб інтернет всю ніч вишукував чужі таємниці: паролі, угоди, розцінки та іншу цікаву інформацію. Через пару годин безконтрольного веселощів «Яндекс» отямився і взагалі відрубав індексацію з Google Docs. Однак користувачі дізналися, що з іншими пошукачами фокус теж працює — наприклад, Mail.ru все ще шерстит з закритим «гугл-доків», але велика частина конфіденційних матеріалів вже захована.

 

Що могли знайти?

Якщо конкуренти вкрали базу клієнтів, то це скомпрометує ваш бізнес, а більш серйозні витоку можуть і розорити. Але це хоча б не смертельно. Чого не скажеш про іншого роду буквах і цифрах: наприклад, імена інформаторів. «Повідомлено анонімним джерелом», «автор під псевдонімом розповів» — бачили такі формулювання в ЗМІ? А тепер уявіть, що хтось веде табличку, де акуратно документує всі ПІБ і прізвиська. А потім файл відлітає в мережу — і анонімного джерела знаходять в акваторії найближчої річки, адже півроку тому він допоміг завести кримінальну справу на злодія в законі.

Ще? Припустимо, може розкритися картотека з медичними даними. Ви впевнені, що в районній поліклініці не навчилися виходити в глобальну павутину і вивантажувати аналізи в Google Docs? А як щодо готелів? Зазвичай навіть самий зубожілий хостел веде облік з допомогою онлайн-додатків. І хто сказав, що це не табличка в гугловських сервісах? Будете потім розповідати своїй другій половинці, чому два тижні тому були не у відрядженні в Сизрані, а в підмосковному готелі, та ще й з якоюсь «феєю Міленою».

 

Я досвідчений юзер, не тримаю паролі в публічному документі. Я в безпеці?

Немає. Навіть якщо дотримуєтеся мережеву гігієну, вас можуть «здати» хто завгодно: рідні, колеги, старший по вулиці і та мила жінка зі стійки реєстратури.

Чорним замазані особисті дані користувачів: поштові адреси, логіни і паролі

Фігуранти смоленського «чорного списку водіїв» теж не самі заповнювали документ — спасибі турботливим роботодавцям, які не полінувалися прикріпити скани паспортів. Так само як і мешканці будинку, напевно просто передали свої дані місцевої керуючої компанії або подъездному активу. Повністю убезпечити себе не вийде, якщо, звичайно, ви не збираєтеся припинити всі контакти з навколишнім світом. Але дещо-що в наших силах.

 

Що робити зараз?

По-перше, видихніть — якщо з інтернет-гаманців не зникли всі заощадження, у профілях не господарює орава шакалів, а на столі ви не бачите прощальну записку від дружини, то спалах пройшла повз. Ну або приватні відомості поки ніхто не розкопав. Але ви ж не хочете підставитися знову, вірно? Просто виконайте кілька цих кроків:

  • Зайдіть в кожну папку на вашому «гуглодиске, виділіть всі файли і змінити налаштування доступу «тільки тим, кому ви надішлете запрошення» — так, щоб документ можна було потрапити тільки після прямого інвайту на пошту. Пам’ятайте, що з точки зору пошукової системи «доступ для всіх» та «доступ за посиланням» нічим не відрізняються. Підібрати URL можна навіть руками, хай і довго.
  • Оцініть ризики. На «фірмові» браузери російських пошукових гігантів лаються експерти. Використовуйте їх на свій страх і ризик.
  • Поясніть проблему і розішліть цю інструкцію друзям, близьким, колегам і навіть коту. Або ж просто поділіться посиланням на матеріал. Скажіть, що це важливо.

Автор тексту: Ілля Божко

Добавить комментарий