Поиск в интернете дал нам огромное благо - возможность быстро находить нужную информацию. Если на заре интернета мы лазили по каталогам, разыскивая интересующие сайты, спрашивали совета у более опытных пользователей Интернета, то теперь достаточно лишь сформировать запрос в поисковой системе, будь то Google или Яндекс.
Поиск - это не только поисковые системы, мы ищем информацию о людях в социальных сетях, ищем видео на Youtube, справочную информацию на сайте Wikipedia. Все это очень удобно и очень опасно.
В этой главе я не буду говорить о том, как Google стремится знать о вас все, собирает и хранит информацию о вас, как в поиске могут сохраниться те сведения о вас, которые вы желали бы удалить. Эти вопросы мы обсудим в соответствующих главах курса, а в этой главе я расскажу о другой опасности, которую несут поисковые системы.
Утечка SMS-сообщений
Многие из вас пользовались возможностью отправлять бесплатные SMS с сайта оператора или слышали о ней; эта услуга популярна в некоторых странах, например в России. Отправляя сообщения, вы, вероятно, не предполагаете, что они будут доступны всем желающим.
Не предполагали этого и пользователи сайта Мегафон, отправляя бесплатные онлайн-СМС, пока в один день не обнаружили их в кэше поисковой системы Яндекс. В кэше Яндекса сохранились даты, тексты и номера получателей СМС.
Причина проблемы заключалась в sitemap сайта оператора Мегафон, где не было запрета на индексацию страниц с информацией об отправленном СМС, и инструменте «Яндекс.Метрика». По задумке, страницу с СМС знал только отправитель, перейдя по уникальной ссылке, он мог увидеть информацию об отправленном СМС и его статус, но в итоге увидел весь интернет, и пользователи сети не без удовольствия цитировали и обсуждали самые пикантные СМС.
Совет
Не стоит отправлять СМС через сайты. Не стоит в принципе отправлять ценную информацию посредством СМС.
Утечка документов
Популярная в русскоязычном сегменте интернета социальная сеть «Вконтакте» в свое время добавила возможность выкладывать документы. Действительно полезная опция, позволившая делиться с собеседниками документами, вот только по умолчанию все документы загружались с опцией общего доступа и их заголовки индексировались внутренним поиском социальной сети.
В результате в поиске оказывались фотографии банковских карт, сканы паспортов, чем не замедлили воспользоваться мошенники. По запросу “банковская карта” или “паспорт” они ежедневно находили новые документы, которые затем продавали на черном рынке или использовали для совершения преступлений.
Справедливости ради, охотники за чужими данными здорово погорели, когда об этой проблеме стали активно писать. Хакеры сделали документы, содержащие вредоносное программное обеспечение, и выкладывали их в социальной сети под видом документов и банковских карт пользователей. Многим охотникам за документами пришлось тогда заплатить солидный выкуп за расшифровку своих данных.
Совет
Если вы выкладываете где-либо файл или документ, убедитесь в отсутствии к нему общего доступа.
Утечка доступа к приватным чатам
Многие знают мессенджер Telegram, среди прочего он предлагает пользователям функционал приватных чатов. Вы можете создать приватный чат, и никто, кроме приглашенных туда людей, не будет иметь к нему доступ.
В этих чатах обсуждается личная информация, иногда корпоративная, передаются корпоративные данные, если и не секретные, то уж точно не предназначенные для широкого круга лиц. Попасть туда можно по приглашению администратора или переходу по секретной ссылке, которую знают только участники чата и … поисковая система.
К сожалению, ссылки на вступление в приватные чаты не были защищены от индексирования, поисковая система Google просканировала их, и они стали доступны неограниченному кругу лиц. Проблема решилась только после того, как независимый исследователь обратил внимание на это.
Обнаруживший уязвимость исследователь рассказал, что разработчики Telegram не только непростительно долго не отвечали ему, но и не признали серьезность проблемы. На самом же деле, это очень серьезная проблема для всех использующих приватные чаты для передачи ценной информации.
Совет
Не переоценивайте приватность приватных чатов Telegram.
Наверное, у вас возник вопрос, как эта статья может помочь вам стать защищеннее или повысит вашу анонимность в сети. Не спешите с выводами, разбор подобных историй – тоже часть обучения, важная ее часть. Зная их, вы сможете предположить, откуда может прийти угроза, оценить надежность того или иного решения.
Например, выкладывая файл, проверьте, не открыт ли к нему публичный доступ, отправляя СМС с сайта, будете держать в уме возможность его утечки, создавая в мессенджере приватный чат, продумаете варианты, при которых третьи лица смогут получить доступ к информации, хранящейся в нем.
Завершая статью хочу вам дать еще один совет.
Совет
Удаляйте важную информацию из приватного чата, когда в ее публикации уже нет ценности для участников.
Яндекс и документы Google
Пожалуй, один из самых громких скандалов, связанных с поисковыми системами, случился, когда в поисковой выдаче Яндекса появились документы Google.Docs, к которым был открыт доступ по ссылке.
Как обычно происходит передача документов? Документ загружается, затем выбирается опция «сделать доступным по ссылке», затем ссылка передается адресату. Таким образом передавались корпоративные документы, файлы с паролями; московские чиновники передавали документы о повышении явки на выборах, блогеры – финансовые сметы. Теперь все эти документы стали достоянием публики.
Самым резонансным оказался документ, принадлежащий предположительно сотрудникам «Тинькофф Банк», согласно которому в банк нельзя принимать на работу представителей негроидной расы, ярко выраженных представителей сексуальных меньшинств, соискателей, которым нужно молиться в течение рабочего дня, бывших сотрудников правоохранительных органов, ФСБ, бывших судебных приставов, лиц кавказской национальности (за исключением армян и дагестанцев с опытом работы в банке), соискателей, имеющих неславянские ФИО.
Какие выводы стоит сделать:
Передавать по ссылке можно только документы, утечка которых не страшна. Если Яндекс смог проиндексировать документы, значит, это теоретически сможет и злоумышленник.
Совет
Вместо доступа по ссылке открывайте доступ к файлу для аккаунта адресата.
Совет
Проведите ревизию своих файлов в облачных хранилищах, если есть важные документы с открытым доступом по ссылке, отключите его.
Кроме того, следует допустить возможность утечки этих документов и принять меры: например, если там были пароли, ‒ сменить их.
Яндекс и персональные данные пользователей
Летом 2018 года снова случился скандал, связанный с Яндексом, хотя сам популярный поисковик тут не виноват. Независимый эксперт провел исследование на предмет утечек персональных данных в поисковую выдачу и обнаружил, что в сети можно найти данные билетов, купленных на сайте РЖД, обращения в департамент транспорта, включая полный текст обращений и копии приложенных документов, и другие персональные данные.
В списке компаний, допустивших утечки, оказались такие гиганты, как Сбербанк и ВТБ. Ниже вы можете познакомиться с примерами утекших данных, взятых из авторского материала.
Вина в данном случае лежит на компаниях, не закрывших поисковым системам доступ к персональным данным и вообще нередко хранящих пользовательские данные в открытом виде. Разумеется, открытым данным рады не только поисковые системы, но и злоумышленники, для которых кража личности – выгодный бизнес. Рекомендуем проверить, не утекли ли ваши персональные данные в сеть, а также принять меры для дальнейшего предотвращения кражи личности.
