Ночью пятого июля случилось страшное — Яндекс слил в интернет документы Гугл Докс. А это пароли и доступы, базы клиентов, персональные данные тысяч людей. Среди этой утечки нашлись пароли одного клиента onlinePBX — партнёр не досмотрел.
Как происходит утечка
Чтобы ваши данные утекли — создайте новый документ в Гугл Докс. Напишите туда пароли, телефоны, почты — всё, что хотите потерять. Откройте доступ к этому документу по ссылке и отправьте кому-нибудь, кто использует Яндекс.Бар или Яндекс.Браузер. Или сами используйте продукты Яндекса.
Вуаля, Яндекс посчитает что это публичный документ, просканирует его и выложит в сеть.
Насколько страшна утечка
Если потерять пароли от телефонии, злоумышленник может за ваш счёт звонить по всему миру. Были случаи, когда потери достигали десятков миллионов рублей. Если потерять базу клиентов и их заказы, то конкуренты отобьют у вас клиентов — потери от нескольких тысяч до миллионов рублей. Это пример плохого клиентского сервиса со стороны Яндекса – а если бы они читали наши главные статьи про клиентский сервис, такой ситуации могло бы и не произойти. 🙂
Что делать и как защититься
1. Если не пользоваться продуктами Яндекса — безопасноть значительно повысится. Дело в том, что при использовании их продуктов, вы автоматически соглашаетесь на передачу почти всех данных в компанию.
Вот статья 2012 года про это, пусть и устаревшая, но очень показательная. Похожая ситуация сложилась в 2015 году, отрывок из официального ответа компании:
Яндекс.Браузер собирает обезличенную статистическую информацию для улучшения качества Браузера, в которую включаются в том числе и адреса посещённых страниц. Это происходит только в том случае, если человек разрешил делать это в настройках программы (проставил галочку «Отправлять в Яндекс статистику использования»).
…
2. По возможности откажитесь от хранения паролей в открытых документах Гугл Докс. Нет доступа — нет утечки.
Если же вы пострадали или ещё не узнали об этом и боитесь — смените пароли в сервисах, которые связаны с деньгами: банки, CRM-системы, IP-телефония, брокерские кабинеты и так далее.
Кто виноват
Если коротко: виноват Яндекс. Дальше технические подробности.
Каждый документ или страница в интернете имеют свой адрес — URL. Чтобы эту страницу выдать вам в поиске, поисковые системы сканируют сайты и индексируют их содержимое. Получается небольшая копия вашей странички, интернет-магазина или блога.
Конечно, у Гугл Документов тоже есть свои адреса и чтобы открыть документ — вам нужны доступы. Доступы к документам разграничиваются по возможностям — читать, редактировать или комментировать документ, и по уровню — только вы, ограниченный круг, по ссылке, всем.
При этом, адрес у документа всегда один и тот же — вне зависимости от уровня доступа. Именно поэтому, у Гугл Докс правильно оформленный файл robots.txt — в нём нет ошибки, как говорит Яндекс. То есть, когда вы создали документ и установили уровень доступа всем или публичный — поисковые системы должны проиндексировать такой файл и выдать в поиске.
Проблемы начинаются, когда вы используете доступ по ссылке. Технически — это публичная страница: она в интернете, доступ не ограничен логином и паролем. Но чтобы её проиндексировать и добавить в поиск — нужно знать точный адрес этой страницы. Как его узнать?
Вы сами можете опубликовать адрес этой страницы. Например, составили прайс-лист в Гугл Таблицах и опубликовали ссылку на сайте. Или написали резюме в Гугл Докс и вставили ссылку в пост ВК. А может на форуме в комментарии вставили ссылку на презентацию своего бизнеса. Во всех трёх случаях, поисковик найдёт вашу ссылку, проиндексирует и будет выдавать в результатах поиска — это нормально.
Но утекли документы, которые никогда и нигде не публиковались. Как тогда Яндекс узнал адреса этих документов?
Всё просто: если вы открываете документ или страницу в Яндекс.Браузере или используете любое расширения для браузера от этой компании, то Яндекс получает этот адрес. Дальше он проверяет файл robots.txt и думает, что это публичный документ, раз он не запрещён, и значит — его можно выводить в поиске.
Получается, что при использовании продуктов Яндекса нельзя говорить о конфиденцильности. Всё, что знаете вы — знает и Яндекс, и мы зависим с вами от того, как он воспользуется этими данными.
Реакция Яндекса
В таких ситуациях можно вести себя по-разному и обычно Яндекс справляется, в этот раз подкачали.
Яндекс не признал вины и не извинился, зато прикрыл утечку и свалил всё на Гугл. В тексте ни пользы о постравдавших клиентах, ни заботы. Так делать нельзя.