Личные данные из Google Docs выдавались в поиске «Яндекса»

В поисковой выдаче «Яндекса» появились файлы пользователей сервиса Google Docs, которые не защищены настройками приватности и находятся в публичном доступе.

Что произошло?

Telegram-канал «Информация опасносте» вчера, 4 июля, обратил внимание на то, что в поисковой выдаче «Яндекса» появились файлы пользователей Google Docs, которые не защищены настройками приватности, находясь в публичном доступе. TJ устроил проверку информации и подтвердил наличие ссылок при расширенном поиске на Google-документы, доступные для просмотра или редактирования всем, кто получил ссылку.

Скриншот TJ

В поисковике можно было найти файлы, которые хранят личные данные в незащищённом виде. При этом некоторые успели воспользоваться возможностью редактирования документов.

Уже в час ночи 5 июля из выдачи «Яндекса» документы исчезли, а представители компании подтвердили наличие проблемы.

«Яндекс» индексирует только открытую часть интернета — те страницы, которые доступны при переходе по ссылкам без ввода логина и пароля. Страницы, индексация которых запрещена администратором сайта в файле robots.txt, «Яндекс» не индексирует, даже если они находятся в открытой части интернета.

В среду вечером в службу поддержки обратились пользователи с жалобами на проблему доступности файлов на docs.google.com. Наша служба безопасности связывается сейчас с коллегами из Google, чтобы обратить их внимание на то, что в этих файлах может оказаться приватная информация.

Скандалы, интриги, расследования

«Тинькофф банк»

Чуть позже оказалось, что в Google Docs нашли инструкцию с ограничениями по найму в «Тинькофф банк». В файле прописаны рекомендации, судя по которым в компанию не рекомендуется брать «ярко выраженных представителей меньшинств», темнокожих людей, бывших сотрудников ФСБ и тех, кому нужно отвлекаться от работы в течение дня из-за религиозных соображений.

К вечеру 5 июля, как сообщил vc.ru, в «Тинькофф банке» нашли автора документа об «ограничениях при найме»: им оказался неназванный сотрудник компании. Банк дал официальный комментарий:

Группа «Тинькофф» провела расследование по ситуации вокруг попавших в сеть текстов, описывающих якобы действующие в организации ограничения при приеме на работу. Установлено: сотрудник изготовил этот текст с неясными для нас намерениями и выложил его в интернет. Описанные в этом тексте правила прямо противоречат HR-политике группы.

Группа «Тинькофф» жестко выступает против любой дискриминации человека, основанной на каких-либо признаках. С указанным сотрудником проведен дополнительный инструктаж по ценностям группы. Мы также удивлены тем, что многие поверили в то, что крупная финансово-технологическая группа, котирующаяся на Лондонской бирже, может так формулировать свои внутренние документы. Мы готовы предоставить любым заинтересованным лицам информацию как о политике в области найма персонала, так и о социальных и благотворительных проектах группы.

Aviasales.ru

Что-то похожее с тем, что было обнаружено в ситуации с «Тинькофф банком», якобы нашли и в «документах» компании Aviasales. Однако представители оперативно отреагировали, заявив, что найденный документ является фейком:

Друзья, появились слухи, что в сеть попал наш внутренний документ. Спешим расстроить – это фейк, не распространяйте плс pic.twitter.com/UZpJHhvCVm

— Aviasales.ru (@aviasales) 5 июля 2018 г.

«Леруа Мерлен»

Также среди файлов обнаружили таблицу с комментариями по теме скандала вокруг поста теперь уже бывшего PR-менеджера «Леруа Мерлен» Галины Паниной. Чуть позже компания признала, что собирает комментарии о скандале вокруг бывшей сотрудницы.

Да, это один из внутренних рабочих документов, которые мы ведём в рамках выяснения всех подробностей ситуации. Мы проводим аналитику комментариев пользователей о посте бывшего сотрудника «Леруа Мерлен» Галины Паниной. Мы огорчены тем, что документ попал в сеть.

Публикации некоторых людей, упомянутых в документах, были подтверждены лично авторами комментариев. Ранее Панина заявила об уходе с должности после скандала из-за поста в «Фейсбуке», в котором говорилось о том, что футбольные фанаты якобы сожгли девушку во время празднования победы России над Испанией, но несогласные комментаторы были оскорблены девушкой. Тогда бывший PR-менеджер отметила, что «бизнес занимается только бизнесом и никогда не должен быть вовлечён в политику».

Некоторые специалисты утверждают, что ничего плохого в документе «Леруа Мерлен» нет, так как это достаточно нормальная практика для компаний.

Чтобы ваши данные не украли, нужно соблюдать выполнение следующих пунктов:

• Не хранить пароли и другие важные личные данные в открытых Google Docs

• Поменять уровень приватности документов, установив «доступ по приглашению»

UPD. Роскомнадзор направил официальный запрос в «Яндекс» по поводу инцидента с индексацией документов Google Docs. Об этом рассказали «Ведомости», ссылаясь на представителя РКН.

Издание также отмечает, что функция поиска по документам Google Docs, хотя и не работает в «Яндексе», осталась посредством самого Google. Указав в строке поиска с помощью специальной команды документы Google Docs, можно было найти искомое — например, снова выдавались результаты по запросу «пароли».

Подписывайтесь на «Код Дурова» в Telegram и во «ВКонтакте», чтобы всегда быть в курсе интересных новостей!