Слив
Утром 5 июля на владельцев костанайской службы доставки «Кенгуру» Сергея Никитина и Никиту Карцева (на снимке) ушатом холодной воды обрушились сообщения – гневные, от клиентов и предупреждающие – просто от неравнодушных людей. Ночью с сайтом и соцсетями службы доставки вдоволь покуражились интернет-пользователи из разных стран мира.
Дело в том, что ночью с 4-го на 5-е июля поиск Яндекса начал индексировать файлы Google Docs, в настройках приватности которых был включён «доступ по ссылке». «Проще говоря, тем, кто набирал в поисковике Яндекса слово «пароль», выдавались данные, которые хранились на Google-диске», – рассказывает Никита Карцев. Если в настройках приватности файла галочка стояла напротив пунктов «для всех в Интернете» или «для всех, у кого есть ссылка» (см. иллюстрацию), просмотреть файл мог любой пользователь.
Российские СМИ отреагировали бурно: в свободном доступе оказались, например, списки проституток Санкт-Петербурга с адресами и телефонами, данные крупных компаний, адреса и телефоны журналистов, список евреев, менявших фамилию, внутренний документ банка Тинькофф, в котором обозначалось, какие категории граждан нельзя принимать на работу… Скромной службе «Кенгуру» «повезло»: их пароли для сайта и соцсетей почему-то оказались в первой строке среди общего перечня, который поисковик выдал на введенное слово «пароль».
Так популярна, как в эту ночь, костанайская служба доставки еще не была никогда. Около 70 человек собрались в специальном чате и развлекались как могли: грохнули сайт, соцсети напичкали непотребными мемами и неприличными картинками, матами. Клиентам разослали оскорбительные сообщения и фото, забрали аккаунт «Инстаграм»... Нашим парням пришлось восстанавливать всё с нуля. Потратили на это три дня – стало быть, три дня простоя. Теперь ребята планируют принести извинения клиентам – материальные, подарить скидку всем, кто оказался жертвой атаки хулиганов. Кто будет компенсировать? Похоже, никто.
– Яндекс не собирается брать на себя ответственность, – говорит Карцев. – Там объясняют, что пользователи сами виноваты. Не нужно было в настройках приватности давать доступ всем, у кого есть ссылка. Гугл и вовсе молчит.
Никита и Сергей приносят извинения клиентам. Говорят, что сложнее всего было восстановить сайт, в него было вложено много трудов. Зато теперь у них много знакомых в разных странах мира. Не все пользователи Интернета склонны покуражиться на халяву: были и те, кто писал и даже звонил ребятам из России. Чтобы предупредить об атаке.
Ничто не скрыто в Интернете…
В российских СМИ пишут, что Google пока не прокомментировал официально данное событие. Эксперты выдвигают разные версии. Наш бывший земляк, а ныне гражданин США и системный администратор сети гостиниц «Mariott» Александр Медведев, считает, что, скорее всего, ошибка произошла из-за неправильной настройки файла robots.txt, который нужен для того, чтобы ограничивать работу поисковых роботов на сайте. Он не дает индексировать определенные элементы. Поэтому файлы, в которых доступ давался всем, у кого есть ссылка, оказались доступными.
Один из костанайских программистов (он просил не называть его) считает, что ответственность Яндекс нести не должен, потому что политика доступа «по ссылке» не предполагает никаких ограничений для пользователя. Любой документ в Интернете, не защищёный хоть каким-то методом авторизации, потенциально открыт для всех. Сайты могут запрещать индексацию конкретных страниц (по мнению некоторых экспертов скорее всего, ошибка произошла из-за неправильной настройки файла robots.txt, который нужен для того, чтобы ограничивать работу поисковых роботов на сайте. Он не дает индексировать определенные элементы. Поэтому файлы, в которых доступ давался всем, у кого есть ссылка, оказались доступными). Но это всего лишь «договоренность» между сайтом и поисковиком, она не имеет юридической силы, таким способом нельзя защищать страницы и файлы с личными данными или паролями.
Никита и Сергей говорят, что это было для них удобно: каждому члену команды можно было перейти по ссылке, получить пароли, вносить коррективы в интернет-ресурсы. Теперь, конечно, выберут другой способ хранения.
