Чему нас учит инцидент с утечкой «Google.Документов»

Что случилось?

Вечером 4 июля общественность взбудоражила новость о том, что в поисковике «Яндекс» можно найти «Google.Документы», которые явно не были предназначены для всеобщего просмотра. Списки телефонов знаменитостей, расценки на рекламу топовых блогеров, медиапланы редакций, финансовые документы компаний и даже личные пароли.

Буквально через несколько часов такая возможность была отключена. Однако этого времени хватило, чтобы доставить множество неприятностей. Кто-то засветил в Сети конфиденциальную информацию, в то время как другие потеряли реальные деньги.

В чём причина?

Благодаря многочисленным публикациям различных изданий инцидент приобрёл скандальную окраску. Многие подумали, что в защите «Google.Документов» существует огромная дыра, через которую можно утащить любую конфиденциальную информацию. Другие начали обвинять во всех грехах поисковик «Яндекс». На самом деле не виновата ни та, ни другая сторона.

Поисковой индексацией в Сети занимаются специальные алгоритмы, их ещё называют поисковыми роботами или пауками. Они просто ходят по ссылкам с одной страницы на другую и запоминают их содержимое.

Если хозяин или сервис хочет запретить индексировать какое-либо содержимое, то он размещает в служебной директории сайта специальный файл с перечислением адресов страниц, на которые поисковый паук заходить не должен. В данном случае документы располагались на страницах, доступ к которым не был запрещён. Так что к «Яндексу» формально не может быть никаких претензий.

Кто виноват?

Получается, виноват сервис «Google.Документы», который не запретил поисковым роботам доступ к документам пользователей? Отнюдь. Все просочившиеся в Сеть файлы были опубликованы самими пользователями. Именно они открыли их, предоставив всем желающим (и поисковому роботу в том числе) доступ по ссылке.

Как вы можете сами видеть на скриншоте, в описании прямо указано, что доступ к документу получат все, у кого есть ссылка. Робот «Яндекса» нашёл ссылку — проиндексировал содержание. Абсолютно стандартная ситуация, никакой сенсации.

Таких историй было уже множество: вспомните недавний шум вокруг Trello или постоянные скандалы с Facebook*. Иногда, как в данном случае, виноваты сами пользователи, хотя бывают также ошибки сервисов, хранящих наши данные. В любом случае нет никакого сомнения, что подобные инциденты будут повторяться снова и снова.

Что делать?

Можно было бы опубликовать подробную инструкцию, которая поможет обезопасить конфиденциальные данные в самых популярных сервисах и социальных сетях. Такую длинную простыню со множеством скриншотов: здесь отключите функцию, в этом всплывающем окне отметьте флажком опцию, а сюда вообще никогда не суйтесь.

Но в этом нет совершенно никакого смысла. Мало кто дочитывает подобные инструкции до конца, ещё меньше тут же идут что-то менять и подкручивать. Любой гайд начинает устаревать сразу же после публикации, потому что появляются новые функции и настройки, о которых автор в момент написания ничего не знал.

Тем не менее есть несколько универсальных правил, которые спасут вас от потери личной информации в Сети. Они подходят абсолютно для всех пользователей и могут быть использованы на любой платформе. Вот они.

1. Помните: любая информация, загруженная вами в интернет, может быть украдена. В том числе пароли в текстовом файле, фото любовниц и план завоевания мира. Примите это как данность.
2. Каждый раз спрашивайте себя: «Что будет, если враги (друзья, родственники, коллеги) увидят это?». Если вопрос заставляет шевелиться волосы на голове, то ни в коем не доверяйте данную информацию облачным сервисам. А лучше просто сразу уничтожьте.
3. Читайте всплывающие подсказки, справочные статьи и дополнительные опции. Думайте. Если ничего не поняли, то это не повод нажимать на «ОК» или «Согласен». Скорее, наоборот.
4. Разграничьте деловое и личное общение. Создайте два адреса электронной почты и разные учётные записи в социальных сетях и мессенджерах для каждой ситуации.
5. Активируйте все уведомления, которые предлагает сервис. Так вы сможете оперативно узнать о списании денег, удалении файлов, смене адреса и другой подозрительной активности.
6. Используйте разные пароли. Они должны быть сложными и легко запоминающимися. А ещё лучше везде, где это возможно, используйте двухфакторную аутентификацию.

Распечатайте эту памятку и поместите на видном месте. Доведите до сведения сотрудников. И не говорите, что Лайфхакер вас не предупреждал.

*Деятельность Meta Platforms Inc. и принадлежащих ей социальных сетей Facebook и Instagram запрещена на территории РФ.