«Не бага, а фича»: Google отказалась признать сбоем утечку документов Google Docs через Яндекс

Индексация в поиске личные данных пользователей названа корректной

Компания Google опубликовала официальный ответ на недавний скандал, вызванный утечкой документов пользователей Google Docs (Google Документы) через поиск Яндекса. 

«Не бага, а фича»: Google отказалась признать сбоем утечку документов Google Docs через Яндекс

Согласно заявлению компании, сервис Google Docs работает корректно и он создан как «защищенный инструмент для совместной работы». Google подчеркнула: «Поисковые системы могут индексировать только те документы, которые намеренно были сделаны их владельцами публичными, или когда кто-либо публикует ссылку на документ, владелец которого сделал его доступным для поиска и просмотра всем в интернете». 

«Не бага, а фича»: Google отказалась признать сбоем утечку документов Google Docs через Яндекс

Тем пользователям, кто не желает допускать посторонних к своим данным, Google порекомендовала изменить настройки доступа к файлам и установить необходимые ограничения. 

Напомним, вечером 4 июля пользователи заметили, что поисковая система Яндекса и другие сервисы индексируют документы из Google Docs, в том числе и те, у которых установлен «доступ по ссылке». В результате, в сети бросились использовать обнаруженную «брешь» в безопасности, было найдено огромное количество документов с паролями, номерами карт и кошельков, презентаций, защит дипломов, списков покупок и даже одна база данных с женщинами самой древней профессии.

Команда Яндекса уже ночью на 5 июля убрала лишние ссылки на Google Docs из поисковой выдачи, прикрыв, таким образом, источник утечки. Также представители Яндекса известили Google о ситуации. 

5 июля 2018 в 19:46

Автор:

| Источник: Google

52 комментария

E
И у Гугла, и у Яндекса есть одна и та же «фича» — публикация документа идет через формирование ссылки (которую, в теории, можно отправить только тому, кому она предназначена).
А вот, в свою очередь, у Яндекса с его чудо-браузером и яндекс-барами, есть фишка перехватывать такие ссылки и отправлять их куда нужно.
Вспоминаем старый скандал с публикацией текстов смс, отправленных через сайт Мегафона.
L
Идиот, не поставивший ограничение доступа на приватный документ — сам себе злобный буратино.
m
Строго говоря, ошибка/небрежность/скудоумие/невменяемость жертвы не отменяет состава преступления. В Евросоюзе, особенно на фоне вступившего недавно в силу GDPR, Яндекс бы некисло влетел.
c
Ничего бы не было бы, если пользователь сам сделал свой файл общедоступным.
m
Доступным только по прямой ссылке не значит общедоступным. Так же как, например, не всё, что вы говорите вслух, общедоступно, хотя любой может (в теории) вас подслушать.
c
Значит. Как только ссылка попадает в открытый доступ она становится доступной всем.

ВКЛ (для всех в Интернете) – любой пользователь может найти ваш файл в Google Поиске и получить к нему доступ, не входя в аккаунт.

ВКЛ (для всех, у кого есть ссылка) – любой пользователь, обладающий ссылкой, может получить доступ к файлу, не входя в аккаунт Google.
m
В открытый доступ ссылку выложил Яндекс. До этого доступ к информации был ограничен кругом лиц, которым была передана ссылка. Яндекс к ним не относился. Если бы Гугл позволял себе разбазаривать содержимое страниц с ограниченным доступом — чем бы он ни был ограничен, — им бы ни одна организация не пользовалась. С чего вы решили, что Яндекс вправе распоряжаться такими данными?

Поймите, нет разницы, чем защищён доступ к данным; если я произношу коммерческую или государственную тайну вслух в закрытой комнате, она не перестаёт быть тайной, даже если кто-то подслушает. Нормальное использование переговорной комнаты предполагает, что сказанное внутри остаётся на совести и в распоряжении только тех, кто был внутри, если не оговорено иначе. Если подслушавший из-за двери выкладывает эту информацию в открытый доступ, не спрашивая заинтересованную сторону, он совершает преступление. Поэтому в большинстве развитых стран ты не вправе включать диктофон во время беседы, пока не получишь согласие от собеседника, даже если беседа проходит на улице.

А GDPR просто показывает, насколько жёстко ЕС готов защищать права граждан на конфиденциальность и закручивать гайки проштрафившимся на этой почве.
B
«Если подслушавший из-за двери выкладывает эту информацию в открытый доступ, не спрашивая заинтересованную сторону, он совершает преступление. » только если он сотрудник и подписывал документы с пунктами «о неразглашении».

Любой «проходящий мимо» (3-я сторона, например как яндекс между юзером и гуглом) имеет право распоряжаться тем, что сам смог услышать/увидеть по своему усмотрению. Совершенно законно.
Иными словами- яндекс не подписывался охранять приватность публичных (!) гугл доксов.

Запись на диктофон-смартфон — другое дело. В некоторых странах есть отдельные законы про них.
c
Откуда это ссылка у Яндекса тогда? Только из открытого доступа. Эта ссылка была предоставлена не ограниченному кругу лиц, а опубликована для доступа всем.
E
В том-то и дело, что не факт. Вы отправляете другу или знакомому ссылку на документ (с длинным гуидом, который не подобрать ручками). Он — приватен. Если, конечно, получатель его не опубликует без вашего ведома.
Но: если у получателя стоят приблуды от Яндекса (яндекс-браузер или тулбар), то ссылка АВТОМАТОМ улетает в индексатор Яндекса. И потом прекрасно отображается в ПУБЛИЧНОМ поиске.
E
Здесь более интересно другое: если снова всплыла эта старая хохма про то, что Яндекс умыкает ссылки и кидает в свой индексатор без спроса, то это выйдет боком не только с Google Docs. Очень многие сервисы, если человек делал заказ без регистрации, присылают ссылку на отслеживание заказа как раз с длинным гуидом. Мне недавно самому так туроператор присылал ссылку на путевку, бронирование и прочее.
И если, при пользовании «браузером со стрингами в логотипе» эта ссылка сразу улетает на индексирование — это, вообще говоря, харам.
A

Ответ Eugene11111 на комментарий
Мне недавно самому так туроператор присылал ссылку на путевку, бронирование и прочее.

А если-бы он на пикабу её положил, дав вам ссылку на страничку, виноват был-бы пикабу что к вашей путёвке ещё кто-то доступ получил?
c
А если-бы он на пикабу её положил, дав вам ссылку на страничку, виноват был-бы пикабу что к вашей путёвке ещё кто-то доступ получил?
Главный вопрос — был бы виноват Яндекс, если бы индексировал ссылку выложенную на пикабу? Нет. Для того, что бы содержимое по ссылке определялось тайной какой-либо вида, необходимо предпринять соответствующие действия по охране этой тайны и по ограничении доступа к этим данным содержащим эту тайну. Гугл это позволяет — ограничить доступ к файлу только определённым пользователям.
S
Блин, вроде как то, что принцип security through obscurity НИКОГДА не должен использоваться для хоть сколько нибудь ценных данных лет уж как стосорок сформулирован. Но хомячки всё пищат.
L
Нельзя сгенерировать ссылку, не изменив права на доступ. Вы поменяете с уровня «доступен только мне» или «доступен мне и (закрытый список людей)» на «доступ по ссылке». «Доступ по ссылке» — ни разу не приватный
NoName.Man
> В Евросоюзе, особенно на фоне вступившего недавно в силу GDPR, Яндекс бы некисло влетел

Нет. Никакой закон не нарушался.
m
Пользователи, чьи данные были проиндексированы и неограниченно распространены третьей стороной, не давали на это согласие. Это очень крутой залёт. Намного хуже, чем если бы Гугл, у кого эти данные хранились, стал без спроса использовать их для внутренних нужд.
NoName.Man
Ты не понимаешь, что такое «персональные данные», да?
m
Это не имеет никакого значения. Пользователь не давал Яндексу разрешения на распространение непубличных данных, которые хранил у Гугла. Яндекс влез между ними и распорядился данными по своему усмотрению, не имея на это никаких прав. Ещё раз объяснить?
NoName.Man
> Это не имеет никакого значения

Бгахахахахаха. Чувак, ты ссылаешься на закон о персональных данных, но при этом не понимаешь, о чём он и что защищает. Да ты не строчки не читал из него. Адвокат из тебя отличный бы вышел, представляю. А закона о «непубличных данных» ни у нас, ни в Европе не существует. Да и определения такого нет.
m
Попробуйте научиться читать.
NoName.Man
… законы и определения, о которых пафосно рассуждаешь, ага.
S
Адвокат из тебя отличный бы вышел, представляю.
Типа этого, Фейгана.
NoName.Man
Да уж, Saul Goodman (в августе вернётся, кстати) по сравнению с ним просто гений юриспруденции.
L
И это залет того, кто хранил в открытом доступе, а не того, кто проиндексировал…
S
Винда собирает пользовательские данные. Файрфокс собирает пользовательские данные. Любой запрос к гуглю приводит к появлению контекстной рекламы аналогичного содержания на всех последующих сайтах, которые я посещаю.Ты главное верь, вера спасает.
B
«Строго говоря… преступления.» — Коль уж вы такой любитель строгости, назовите статью. (Сказал А, говори и Б).

Уж очень интересно, как отвечать (и где) придется, если я, например, поделюсь ссылкой соседа.
E
Речь не о ссылке, а о контенте. Допустим, что некая девушка Маша прислала другу Пете свои интимные фото (разумеется, не предполагая, что они уйдут куда-то дальше). А он взял и выложил их в публичный доступ. По законам кучи стран, включая Россию, это грубое нарушение приватности.
И с этой точки зрения нет разницы, что он выложил копию фото, или поделился приватной ссылкой на ее файловое хранилище, которую она ему прислала.
B
«девушка Маша прислала другу Пете » — вы описываете ситуацию с двумя сторонами. В новости речь о 3-х. (не Петя выложил, а Вася, который был в гостях у Пети. При этом Петя не знал, что незащищенный файл «приватный», он в него вообще не смотрел)

«приватность» — что это по вашему (какой закон это регулирует)? И почему она должна быть у файла, хозяин которого сам его куда-то послал не позаботившись о минимальной защите?

Кроме того, по всем критериям безопасности интернет — публичная сеть. Все, что туда попадает — общедоступно.
Неужто так трудно понять, что нет и не будет приватности в инете?
A
В данном случае ваша Маша положила свои фотки в открытом альбоме в надежде что кроме Пети туда никто не ходит.
Если документы никак не защищены, то о какой «приватности» может идти речь?
A
Да и вообще держать приватные документы в облачных сервисах та ещё «безопасность».
В данном случае то 100% сами держальщици ССЗБ, а бывает что и ни в чём не повинные клиенты доверившиеся облаку оказываются вдруг нарушителями закона, как было в этом году с Битриксом у которого возникли проблемы в российском дата-центре и он не мудрствуя лукаво мувнул свои облака в Германию, в результате клиенты у которых в базах содержались персональные данные автоматически оказались нарушителями 152-ФЗ (их, кстати, ни о предстоящем перемещении, ни о том что оно произошло никто не уведомил, ситуация вскрылась когда битриксовцы стали хвастаться каким образом они оперативно разрулили создавшуюся проблему).
B
152-ФЗ регулирует только «персональные данные», которые человек указывает в анкетах. Не надо путать их с другими данными, которые есть у человека.То, что утекло — не совсем то. И вина в этом практически вся на юзерах: они сами разместили это в инете, не позаботившись использовать защиту гугла.
A
Вы его явно не читали. Он вполне подробно регулирует и правила хранения персональных данных для организаций, которым они были предоставлены.
«Статья 18. Обязанности оператора при сборе персональных данных»

5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона."
B
«Вы его явно не читали.» Еще как читал. Это вы, как-то по своему, трактуете что относится к «персональным данным»: «Статья 3 152-ФЗ — Основные понятия, используемые в настоящем Федеральном законеВ целях настоящего Федерального закона используются следующие основные понятия:1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);»Заметьте: «относящиеся к», а не «принадлежащие».Иными словами — персональные данные — это персональные сведения о человеке: ФИО, ИНН, серия и номер паспорта, СНИЛС и т.п. А не личные фото.Т.е., в случае с битриксом проблема с данным законом не в переносе «семейных фото» клиентов в «чужое облако» (что пофиг), а в том, что туда попали и «персональные данные» клиентов. ФИО достаточно.
p
Идиот, не поставивший ограничение доступа на приватный документ — сам себе злобный буратино.
«приватный документ» это документ, к которому ни у кого, кроме владельца, нет доступа, больше ничего ограничивать не надо. но можно сгенерировать ссылку, по которой доступ получит тот, кому ссылку передать. а если лошара пользуется яндекс.браузером, то и весь остальной интернет
L
Нельзя сгенерировать ссылку, не изменив права на доступ. Вы поменяете с уровня «доступен только мне» или «доступен мне и (закрытый список людей)» на «доступ по ссылке». «Доступ по ссылке» — ни разу не приватный
S
Ровно такие же результаты что на картинке выдает аналогичный поиск гугля. Хватит уже фантазировать. Тебе компания владелец сервиса напрямую написала, что эти документы подвержены индексированию.
А сбор статистики, анализ всяких кешей и кучу других вещей делают сейчас все браузеры и многие мобильные приложения. Это неизбежная данность.
L
Не, ну Google мог бы забанить Яндекс. Браузер за такое, как Stylish недавно забанили за сбор истории пользователей. Вот было бы весело.
Yurik51

Ответ Loggus66 на комментарий
Не, ну Google мог бы забанить Яндекс. Браузер за такое, как Stylish недавно забанили за сбор истории пользователей. Вот было бы весело.

И ты серьёзно считаешь, что Яндекс расстроился бы. Не, Яндекс бы снова включил описываемую в новости функцию и на свет всплыли бы новые миллионы личных документов хранимых америкакашкинским гугле. Вот тут действительно было бы весело. И корреспонденты и блогеры и домохозяйки, все были бы при деле.
NoName.Man
51 это IQ?
Grobik
Это новый тариф. 5.58 Боливийский боливиано за коммент.
r
первый раз скандал вида «Вас взломали!!!1111 украли пароли от моего сайта и теперь размещают на нём вирусы!!111пыщ-пыщ», расследование которого привело к выложенному самим истерящим жалобщиком в публичный доступ файлика с паролями к аккаунту (вроде как раз на гугльдоках) мне попался года эдак 4 назад. смотрю «умнеть» у людей ну никак не принято. печально =(
NoName.Man
Согласен с гуглом
ShamanZT
Почему люди не хранят пароли в том же keepass?
l
ну вот, как я говорил вчера — искать открытые ссылки — задача поисковика, яндекс с ней справился. А то что кто то надеется на то, что его открытый документ не найдут потому что не знают ссылку, так их надо к лекарю. Сейф безопасен не потому, что вор не знает где он стоит, сейф безопасен потому что на нем сложный замок.
p
Не было открытых ссылок. Потому Яндекс и не рассказывает, как он получил эти данные. На google Docs есть файл Robots.txt, который запрещает индексацию. Значит, или поисковик яндекса нарушил это правило — и должен быть забанен, либо ссылки передали Яндекс браузер и яндекс почта и должны быть забанены идиоты, которые ими пользуются.
g
А вы проверяли их robots.txt? Если глянуть, то увидим строку «Allow: /open». Все расшаренные по ссылке доки имеют урл типа «https://drive.google.com/open?id=БЛАБЛАБЛА». Выводы сами сделаете?
l
вы статью читали? гуглу тоже не верите? Он сговорился с яндексом? Фольги выслать?
n
завтра будет новость что доки яндекс диска попали в индекс гугла
Ц
Только сейчас подумал: 4 июля — чето уж больно символично. Может оказаться, что Яндекс знал, чем это обернется, а главное — что он тут ни причем останется. И готовил подарочек к праздничку;)
p
Я нашел свой документ который отправлял сам себе закрытой ссылкой но на почту яндекса. Больше никто кроме меня и самого яндекса эту ссылку не видел. Делайте выводы сами.

Добавить комментарий

Все новости за сегодня

Календарь

июль
Пн
Вт
Ср
Чт
Пт
Сб
Вс