Проекты
Email-рассылки
YouTube: «Это Осетинская»
Bell.Club
YouTube: Bell.Club Live
Bell.Professional
IN SCHOOL
РАССЫЛКИ
Утренняя
Вечерняя
Итоги недели
Технорассылка
The Bell in English
СОЦСЕТИ
Facebook
ВКонтакте
Одноклассники
TELEGRAM
The Bell
The Bell Tech
TWITTER
The Bell
The Bell in English
О НАС
О проекте
Команда и контакты
Конфиденциальность
КОММЕРЦИЯ
Партнеры
Рекламодателям
Вечерняя рассылка

Как произошла утечка Google Docs, проблемы с регистрацией мигрантов и бизнес на сверчках

5 июля 2018
Редакция The Bell

Почему гугл-документы без ведома пользователей оказались в поиске «Яндекса»? Разбираемся в вечерней рассылке The Bell.

Фото: Wikimedia Commons

Главной новостью дня, а,  возможно, и недели стало появление в поиске «Яндекса» тысяч гугл-документов, которые их авторы считали приватными. Поисковик уже убрал документы из выдачи,  но вопрос о том, как они там появились и не может ли это повториться, остался без аргументированного ответа. Мы попробовали разобраться, что произошло.

  • С чего все началось. Информация о том, что в поисковой выдаче «Яндекса» и Google есть ссылки на документы Google Docs, разошлась после поста в твиттере интернет-паблика MDK. Опубликовавший его основатель паблика Роберто Панчвидзе, по его словам, взял информацию из телеграм-канала «Зинка-резинка». По словам автора канала Зины Маевской, первоисточником был пост в Facebook главы департамента электронной коммерции L’Oreal Михаила Браккера, опубликованный в среду в 19:17. Браккеру об уязвимости рассказали знакомые, сказал он The Bell.
  • Что попало в открытый доступ. Ссылки на публичные документы Google Docs открыл для поисковиков в 2009 году, напоминает в своем хорошем разборе ситуации «Медуза». Тогда компания разъясняла, что в выдачу могут попасть только те файлы, ссылки на которые опубликованы на публично доступном веб-сайте — и специально отмечала, что документы, для которых пользователь только создал доступную всем ссылку, индексироваться не будут. Но сотрудники The Bell вчера смогли найти в выдаче «Яндекса» собственные документы, для которых только генерировались, но никогда не публиковались в открытом доступе общедоступные ссылки.
  • Объяснения «Яндекса» и Google. Сегодня Google в своем русскоязычном блоге пояснил, что выдачу поисковиков может попасть любой документ — если пользователь в настройках пометил его как публичный или опубликовал ссылку в интернете. «Яндекс» лишь заявил, что не индексирует страницы, индексация которых запрещена в файле robots.txt исходного сайта (этот файл регламентирует доступ и права роботов поисковых систем). В файле robots.txt на сайте docs.google.com индексация открытых документов не запрещена. Но заявления обеих компаний никак не объясняют, как документы попали в выдачу «Яндекса» и почему другие поисковики показывали в разы меньше документов.
  • Похожий случай. Бывший сотрудник крупной российской интернет-компании в разговоре с The Bell сразу вспомнил о громком инциденте, произошедшем в 2011 году. Тогда в выдаче «Яндекса» в открытом доступе появились 8 000 СМС, отправленных на номера «Мегафона» через веб-интерфейс на сайте оператора. «Яндекс» обвинил в сбое «Мегафон» — администратор его сайта не установил в разделе отправки СМС файл robots.txt, говорилось в комментарии «Яндекса» (кстати, почти дословно таком же, как сегодня). «Мегафон» с этим объяснением не согласился и обещал провести собственное расследование (о его результатах объявлено не было), а специалисты по информационной безопасности предположили, что закрытые ссылки на СМС могли попасть в базу «Яндекса» через приложение «Яндекс.Бар», собиравшее пользовательскую информацию.
  • Версия: «Яндекс.браузер». Возможность похожего объяснения и у вчерашнего инцидента «осторожно предполагает «Медуза». По ее версии, «Яндекс» мог проиндексировать ссылки, которые пользователи открывали с помощью «Яндекс.браузера». В 2015 году приватные ссылки, которые (без всяких нарушений) собирал браузер, уже случайно попадали в базу индексации поискового робота. «Яндекс» это признавал и обещал, что ошибка не повторится. Сегодня в компанию эту версию комментировать не стали.
  • Если ошибки не было. В индексацию не должны попадать ссылки, которые не были опубликованы на публично доступных сайтах, для проверки этого существуют специальные алгоритмы, говорит другой собеседник The Bell в крупной интернет-компании. В теории это значит, что делиться ссылками даже на открытые Google Docs в почте или, например, мессенджерах должно быть безопасно: поисковик о них узнает, но в выдаче они появляться по идее не должны. Исходя из этой версии, можно было бы предположить, что доступными стали только те документы, которые когда-либо публиковались в «открытом интернете» (например, по ошибке). Так это или нет — наверняка знают, наверное, только Google и «Яндекс», но не говорят.

Что мне с этого?

Было ли попадание гугл-документов в выдачу «Яндекса» результатом ошибки поисковика или только неосторожности самих пользователей, мы можем и не узнать. Но это хорошее предостережение. Если вы не хотите, чтобы ваши файлы попали в открытый доступ, всегда выбирайте максимально строгие настройки безопасности во всех приложениях, предполагающих совместный доступ к документам.

ДЕНЬГИ

Бизнесу запретили регистрировать мигрантов

За чемпионатом мира и гуляньями болельщиков все пропустили, что 27 июня Владимир Путин подписал закон, который серьезно осложнит жизнь мигрантам и иностранным специалистам в России. Теперь работодатели не могут ставить их на учет их по своему адресу, каждый приезжий должен быть зарегистрирован по месту фактического проживания. Но арендодатели в России, как правило, отказывают квартиросъемщикам в регистрации. Закон вступает в силу уже 8 июля – с этого момента многие иностранцы (юристы считают, что миллионы) могут оказаться в России на нелегальном положении. Пострадают, например, строители – зарегистрировать по новым правилам всех приезжих бизнесу будет сложно, а за нарушение миграционного законодательства юрлицам грозит штраф от 400 тыс. рублей.

Новый «Новичок» – новые санкции

Великобритания пока не считает новый случай отравления «Новичком» покушением, но оставляет за собой право потребовать от России объяснений – это краткий пересказ сегодняшней реакции британских властей на новое отравление. Главной гипотезой остается связь отравления Чарли Роули и Дон Стерджес с покушением на Сергея и Юлию Скрипаль в Солсбери: Скотленд Ярд заявил, что пострадавшие в Эймсбери могли вступить в контакт с зараженным ядом предметом (ранее высказывалась версия, что это могла быть емкость, в которой хранился «Новичок» во время первого отравления). Тем не менее, если причастность России будет доказана (а Британия считает, что в первом случае так и есть), страну ждут новые ответные меры, предупредил в парламенте глава МВД Саджид Джавид.

СИГНАЛЫ

Награда нашла героя

Мало кто сомневался, что ответственные за результаты последних президентских выборов в России не могут не быть вознаграждены по достоинству. И правда: сегодня выяснилось, что Владимир Путин скрытым указом присвоил звание Героя России первому замглавы своей администрации и куратору внутриполитического блока Сергею Кириенко, который к тому же долго возглавлял госкорацию «Росатом». Это высшая государственная награда в стране. Нам стало интересно, что, кроме бронзового бюста на родине, полагается Героям России. Если вам тоже, можете ознакомиться здесь.

ПРАКТИКА

Нашествие насекомых

Необычные новости для россиян: насекомых употребляют в пищу около 2 млрд человек в мире, причем не только в Азии — в некоторых финских ресторанах можно найти тарталетки из саранчи и тако со сверчками. Сверчков в эти рестораны наверняка поставляет семейная пара фермеров, которая специально перешла от выращивания свиней к выращиванию насекомых: их легко разводить, им не нужны антибиотики, гормоны и большое количество воды. Поэтому стоит готовиться к тому, что попробовать блюдо с саранчой скоро можно будет и где-нибудь в центре Москвы: сейчас глобальный рынок съедобных насекомых оценивается всего в $405 млн, но, по прогнозам, к 2023 году он увеличится более чем в два раза и превысит $1 млрд.

Запретить приложениям все

Вчера мы рассказывали о пугающем исследовании: приложения на смартфоне вас скорее всего не прослушивают (но это не точно), зато записывают на видео и делают скриншоты ваших экранов, которые отправляются рекламщикам. Причем, даже если отбросить конспирологические опасения, приложения вполне открыто используют массу ваших личных данных. Wired составил пошаговую инструкцию, как на Android, iOs и Windows посмотреть, имеют ли установленные приложения доступ к камере/микрофону/геолокации и т.д. и как его ограничить или, наоборот, разрешить.

FUN

Спокойствие, только спокойствие

Неточность в 98% случаев и ноль в графе «успешные задержания» — так лондонский метрополитен тестирует систему камер с функцией распознавания лиц. Как можно понять из цифр, система работает, мягко говоря, не очень точно. Впрочем, глава лондонского метро Крессида Дик наглядно демонстрирует всем PR-департаментам мира, как нужно сохранять невозмутимость даже в таких сложных ситуациях: ее «абсолютно устраивает» процесс тестирования, метрополитен и не рассчитывал на большое число задержаний, а люди сами «ждут» от правоохранителей внедрения и тестирования подобных систем.

Петр Мироненко