Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Поиски и происки

Прочитали: 1186 Комментариев: 104 Рейтинг: 97

«"Яндекс" раскрывает тайны пользователей», – такими новостными заголовками запестрели многие СМИ.

Вечером 4 июля 2018 г. в поисковой выдаче «Яндекса» появилась конфиденциальная информация из документов, размещенных в облачных сервисах Google Docs и Google Drive.

Среди обнаруженного были замечены, к примеру, логины и пароли от учетных записей различных веб-сервисов, данные банковских карт, отчеты о финансовых показателях и планы PR-мероприятий коммерческих организаций и другие виды чувствительной информации. Многие из попавших в открытый доступ документов оказались доступными для редактирования, поэтому подверглись вандализму. В отдельных случаях пользователи, получившие доступ к чужим документам, напротив постарались уведомить их владельцев о случившемся.

Для того, чтобы найти приватную информацию такого рода, было необходимо перейти на страницу расширенного поиска «Яндекса», где помимо ключевых слов указать также и адрес сайта, на котором осуществляется поиск. В данном случае это docs.google.com или drive.google.com.

http://safe.cnews.ru/news/top/2018-07-05_yandeks_vydal...

Только что стало известно, что Яндекс начал индексировать Google Документы, в числе которых есть и документы с паролями, личными данными и т. д.

#drweb

https://habr.com/post/416219

Что произошло? «Яндекс» пошел войной на Google? Что грозит американской корпорации в связи с масштабной утечкой? Эти и многие вопросы взволновали и журналистов, и пользователей – никому не хочется, чтобы его данные оказались в свободном доступе. Попробуем разобраться.

Во-первых, «Яндекс» тут ни при чем: упомянутые данные можно было найти в поисковиках Mail.ru, Bing и даже в самом Google.

Кто же виноват? А виноват маленький файл, на котором держится вся секретность данных в Интернете, – robots.txt.

Поисковые роботы перебирают доступные в Сети ресурсы, индексируют их и, используя «шаманские» алгоритмы, выдают результат по запросу пользователя. Но индексируются далеко не все ресурсы. Более того — ресурс может указать поисковому роботу сделать ли тот или иной документ доступным всем. Дело в том, что поисковые роботы, обнаружив некий сайт, не сразу приступают к индексации информации. Сначала они ищут файл robots.txt — текстовый файл в корневой директории сайта, который содержит инструкции для поисковых роботов. Эти инструкции могут запрещать индексацию некоторых разделов или страниц сайта, указывать на правильное «зеркалирование» домена, рекомендовать поисковому роботу соблюдать определенный временной интервал между скачиванием документов с сервера и т. д.

Например, запись в файле Disallow: /about запретит доступ к разделу http://__имя сайта__/about/ и к файлу http:// __имя сайта__/about.php.

#drweb

https://www.drweb.ru/pravda/issue/?number=225&lng=ru

По сути поисковые роботы не очень умны. Проще говоря, эти программы в ходе работы заходят на некую страницу, проверяют наличие в ее коде файла robots.txt и смотрят, не прописан ли в этом файле запрет индексировать эту страницу. Если запрета нет, индексация происходит.

У нас, например, есть продукт с централизованным управлением – Dr.Web Enterprise Security Suite. Иногда к нему требуется доступ извне сети, и администраторы делают веб-сервер Центра управления доступным из Интернета. И поисковые роботы замечательно индексируют страницы веб-сервера, хотя там ничего интересного нет и быть не может. В итоге в 11-й версии Центра управления мы тоже добавили защиту от поисковых роботов.

Как роботы проникают внутрь ресурсов? Люди заходят на страницы сайта, вводя логины и пароли. Поисковые роботы переходят по ссылкам с одной страницы на другую. Раз ссылка есть, а прямого запрета в robots.txt нет, – заходим и индексируем. И злого умысла здесь нет, так устроен Интернет. Поисковый робот переходит по ссылкам и просто не замечает, что он проник на некий сайт через уязвимость.

Вот как связаны между собой ссылками различные интернет-ресурсы:

#drweb

https://kak-eto-sdelano.ru/kak-slomat-internet

Как посмотреть содержимое robots.tst какого-либо ресурса? Набираем в браузере интересующее имя сайта, косую черту и robots.txt. Скажем, https://docs.google.com/robots.txt:

...
Allow: /Doc
Allow: /View
Allow: /ViewDoc
Allow: /present
Allow: /Present
Allow: /TeamPresent
Allow: /EmbedSlideshow
Allow: /presentation
Allow: /templates
Allow: /previewtemplate
Allow: /fileview
...
Allow: /document
...
Allow: /macros
..

Заходи и смотри, что хочешь!

Вывод: произошедшее – скорее всего, ошибка программистов Google, почему-то не закрывших с помощью robots.txt доступ к страницам. Возможно также наличие уязвимости на сайте, через которую туда мог зайти кто угодно. А «Яндекс» вручную запретил своим роботам обходить некие ресурсы.

Спустя несколько часов после происшествия ссылки на Google Docs бесследно исчезли из выдачи «Яндекса», хотя поиск по Google Drive по-прежнему работал к утру 5 июля 2018 г.

http://safe.cnews.ru/news/top/2018-07-05_yandeks_vydal...

О грустном. Если вы не находите в поисковике своих данных, это не значит, что найти их нельзя вручную. Представьте: на дверь дома наклеивают стикер с надписью «Закрыто». Воспитанные люди проходят мимо, а невоспитанные... Никто не мешает злоумышленникам создать свой поисковик, игнорирующий все эти детские ограничения, и – держитесь, данные!

Выкладывая в Интернет свои данные, пользователь должен понимать, что прикрыты они зачастую «фиговым листочком» – заверениями сервиса о том, что он «предпринимает все усилия»…

И в заключение. Любой поисковик не только индексирует страницы, но и может показывать данные из кэша: информация сохраняется для отображения на случай недоступности страницы (если ее не удалили вручную). Сейчас все поисковики закэшировали данные пользователей Google (и кэшируют многие другие ресурсы).

#Google #персональные_данные #Интернет #сайт #безопасность

Dr.Web рекомендует

  1. Советуем не хранить важные данные в Интернете. Поверьте, на множестве ресурсов они видны всем желающим и без всяких хакеров.
  2. Если выкладываете в Интернет что-то ценное, защитите паролем (отличным от 1234).
  3. В Google Docs предусмотрено три основных режима доступа к документу: «для всех в Интернете»; «для всех, у кого есть ссылка» (именно документы с этим видом доступа проиндексировал «Яндекс») и «для выбранных пользователей» – доступ к документу получат только те, кого вы пригласите. Приглашенному пользователю придется войти в свою учетную запись, чтобы получить возможность просматривать и/или редактировать документ, а все его действия будут фиксироваться в истории редактирования документа. Именно этот режим мы и рекомендуем использовать.

    #drweb

    http://safe.cnews.ru/news/top/2018-07-05_yandeks_vydal...

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: