Фото: Robert Galbraith / Reuters

Фото: Robert Galbraith / Reuters

В ночь на четверг разразился, наверное, самый удивительный за долгие годы скандал с утечкой личных данных в российском интернете. В поисковой выдаче Яндекса оказались документы Google Docs с по-настоящему приватной информацией: от паролей до смет, бюджетов и списков погибших на Донбассе. Ситуация в очередной раз поставила вопрос о границах защищенности информации в Сети и о том, кто должен за нее отвечать. Republic постарался внимательно разобраться в том, что произошло и чему это может научить нас.

Что случилось?

Яндекс добавил функцию поиска по документам сервиса Google Docs (она уже была в других поисковиках, например в самом Google и Bing). Поздним вечером 4 июля пользователи обнаружили, что в поисковой выдаче можно найти приватные файлы. По запросу «пароли» можно было увидеть, что многие люди хранят данные, необходимые для доступа к различным ресурсам, в своих гугл-документах. Публичными стали самые разные файлы – от курьезных, вроде списка «евреев, сменивших фамилию» и «борделей Санкт-Петербурга», до максимально серьезных – типа перечня погибших в Луганске или сметы на пиар-сопровождение скандала с «Леруа Мерлен». Самое большое возмущение вызвала HR-инструкция, сделанная от имени сотрудника «Тинькофф банка», согласно которой на работу в компанию запрещено брать кавказцев и открытых геев. В самом банке сначала отрицали, что это их документ, но потом рассказали, что его написал и опубликовал по своей инициативе один из сотрудников «с неясными целями». Около часа ночи Яндекс полностью отключил возможность поиска по Google Docs.

Как это стало возможно?

В Google Docs существует несколько уровней доступа, которые может настроить пользователь: полностью приватный вариант, доступ по ссылке и полностью открытый. В опции с публичным доступом прямо написано, что документ будет индексироваться поисковиками. Причем этот вариант никогда не включается по умолчанию – чтобы дойти до него, нужно несколько кликов. Второй вариант – один из самых популярных в Google Docs, его часто используют как инструмент совместной работы. Google нигде не указывает, как файл с такими настройками взаимодействует с поисковиками. В выдаче Яндекса оказались как документы с максимально публичными настройками доступа, так и те, доступ в которые был возможен только по ссылке.

Яндекс объяснил произошедшее тем, что «индексирует всю открытую часть интернета – те страницы, которые доступны при переходе по ссылкам без ввода логина и пароля». Кроме того, в компании указали, что в коде обсуждаемых страниц Google не было запрета на индексацию, которую всегда можно при желании поставить. В Яндексе отказались отвечать на прямой вопрос Republic, индексировал ли поисковик гугл-документы с настройками доступа «по ссылке». Однако под описание механизма действия поисковика такие файлы подходят – они не защищены паролем и на них не стоит запрет на индексацию.

То есть виноват Google?