html текст
All interests
  • All interests
  • Design
  • Food
  • Gadgets
  • Humor
  • News
  • Photo
  • Travel
  • Video
Click to see the next recommended page
Like it
Don't like
Add to Favorites

Без права доступа: виноват ли «Яндекс» в утечке конфиденциальных данных


Фото Натальи Селиверстовой / РИА Новости

В июле «Яндекс» сменил алгоритм поиска и в ответ на запросы пользователей стал выдавать ссылки на файлы, хранящиеся на Google Drive, притом не только с правами доступа «для всех», но и на те, которые были доступны только по ссылке.

Разработчики «Яндекса» эффективно использовали летнее затишье: их поисковик получил ряд новых «фич» и научился находить многое, что раньше искать не умел: доступные по ссылке Google документы, личные данные клиентов сайтов крупнейших российских банков (в том числе Сбербанка и ВТБ), официальных сайтов Москвы, сервисов бронирования билетов и многое другое. Но все это лишь в очередной раз доказало несовершенство систем безопасности.

На самом деле ничего удивительного в июле 2018 года не произошло. Практически с самого начала в поисковую выдачу Google попадали публичные документы из Google Docs, доступные при переходе по ссылкам без ввода логина и пароля. Это, как говорится, не баг, а фича.

Там же, в Google, можно было легко находить пользовательские пароли или даже, используя инструмент inurl, открытые администраторские панели различных систем управления контентом, IoT-устройств (например, камер) и многое другое. Таким образом, фактически эта информация была известна специалистам уже давно. Но теперь, после того как эти данные начали «всплывать» и в «Яндексе», она стала предметом общественной дискуссии.

Виноват ли робот?

В Google Drive есть встроенная настройка прав доступа к файлам. Казалось бы, соблюдай элементарные правила «гигиены» в интернете, и проблем не будет. Так почему интернет-пользователи обвиняют «Яндекс» в незаконном «сливе» данных?

Единственный способ найти необходимую информацию в интернете — поисковые системы. Это коммерческие структуры, отвечающие за выдачу и индексацию данных. Они индексируют содержимое абсолютно всех страниц, если это не запрещено владельцами сайтов, поэтому в выдачу попадают адреса в том числе и пиратского контента, входящего в серую зону законодательства большинства государств, а также контента, который в абсолютном большинстве стран вовсе запрещен. Поэтому все чаще звучат предложения заставить поисковые системы фильтровать содержимое выдачи.

Проблема только в том, как распознать, легитимно ли содержимое страницы или нет. В большинстве случаев поисковый робот не может это сделать, даже если речь идет о текстовом формате, что уж говорить об изображениях и тем более аудио- и видеофайлах. Кстати, согласно анонимным информаторам газеты New York Times, Google в настоящее время разрабатывает поисковик для Китая, учитывающий цензурные требования китайского законодательства, однако дойдет ли дело до готового продукта, пока неизвестно.

Сложившаяся ситуация — это палка о двух концах. Допустим, произошло ложноотрицательное срабатывание, когда «Яндекс» показал в выдаче документы, которых там в идеале не должно было быть, а потом отфильтровал их по принципу незаконного доступа к конфиденциальной информации. Проблемой в данном случае стала бы сама ложная тревога: ведь некоторые пользователи размещают документы в Google Drive именно для того, чтобы дать к ним открытый доступ интернет-пользователям — выкладывают документацию, инструкции, рекламные материалы. Google Docs — довольно удобный инструмент для открытого обмена документами, и единственный способ его регулирования — настройка прав доступа к файлам.

После того как поднялся шум, «Яндекс» добровольно отключил поиск по документам и тем самым, по сути, себя подставил. У широкой публики тут же создалось впечатление, будто поисковик признал свою ошибку, которой на самом деле не было.

Проблема заключается еще и в том, что пока речь шла о выдаче определенных «запрещенных на территории РФ» текстовых материалов или изображений, государственные органы могли потребовать от поисковой системы изменить порядок индексации страниц. Однако теперь речь идет об абстрактном нелегальном контенте и уязвимостях доступа к персональным данным. С учетом таких дополнительных условий алгоритмы фильтрации очень сильно усложняются, и требовать от ИТ-компании распознавать такие файлы невозможно хотя бы потому, что это не входит в сферу ее профильной деятельности.

Проблемы системы

Что в этой ситуации могут предложить поисковые системы, чтобы ущерб от подобных инцидентов в будущем был минимален?

Например, они могут добавить в алгоритм поискового бота автоматическое уведомление владельца документа об обнаружении возможных проблем — открытых паролей или файлов, содержащих личную информацию. Дальше уже владелец сможет решить сам, устраивает ли его то, что его данные доступны. Это как с политикой конфиденциальности: вы заходите на сайт или в социальную сеть и принимаете условия обработки персональных данных. Поисковый движок не может понять, были ли эти личные данные выложены по ошибке или специально, для индексации.

Уведомление администраторов не очень дорого обойдется поисковой системе, но при этом очевидным образом должно поднять ее репутацию, демонстрируя социальную ответственность поисковика. Более того, у поисковой системы есть еще один серьезный рычаг давления на недобросовестных веб-мастеров: ресурс, не отвечающий на предупреждающие письма от поисковой системы, можно активно пессимизировать в выдаче.

Благодаря этому проблема с безопасностью данных частично может быть решена. Но в любом случае нельзя исходить из того, что проблема утечек персональных данных — и, шире, проблема доступности в интернете нежелательного контента — это исключительно вина поисковых систем и решать ее должны именно они. Такая точка зрения недопустимо поверхностна.

Добросовестным гражданам запрещается иметь личное оружие, в то время как настоящие преступники всегда знают, где его достать.

По нормам европейского регулирования GDPR, если организация без разрешения выложила личные данные своих пользователей в интернет, ответственность за это будет нести именно она как «контролер» данных. Если же в дальнейшем эта информация была случайно подхвачена третьей стороной (поисковиком), такая сторона не становится «процессором» данных и ответственности на эту сторону законодательство не накладывает, поскольку доступ к ним она получила автоматически.

Теоретически можно потребовать от поисковиков не хранить, например, адреса незапароленных веб-камер или других уязвимых устройств, поскольку определить, что это адрес именно камеры, довольно легко по наличию в его коде определенной последовательности слов (например, /admin.php). При этом, если официально запретить всем поисковикам искать информацию об устройствах или администраторских паролях, вся эта информация окажется в даркнете, и регулировать ее поиск станет еще сложнее. А легитимный пользователь или администратор будет лишен бесплатных и простых инструментов, позволяющих легко обнаружить такие проблемы у себя или своих клиентов с целью профилактики и защиты своей сети.

Это лишь один из множества примеров того, к чему может привести неаккуратное интернет-регулирование. Легитимные, лояльные и социально ответственные компании загоняются в слишком строгие рамки вместе со своими пользователями, в то время как на тех, кто пользуется ресурсами даркнета и действительно будет использовать полученные данные для совершения противоправных действий, эти требования не распространяются. Добросовестным гражданам запрещается иметь личное оружие, в то время как настоящие преступники всегда знают, где его достать.

Читать дальше
Twitter
Одноклассники
Мой Мир

материал с forbes.ru

1

      Add

      You can create thematic collections and keep, for instance, all recipes in one place so you will never lose them.

      No images found
      Previous Next 0 / 0
      500
      • Advertisement
      • Animals
      • Architecture
      • Art
      • Auto
      • Aviation
      • Books
      • Cartoons
      • Celebrities
      • Children
      • Culture
      • Design
      • Economics
      • Education
      • Entertainment
      • Fashion
      • Fitness
      • Food
      • Gadgets
      • Games
      • Health
      • History
      • Hobby
      • Humor
      • Interior
      • Moto
      • Movies
      • Music
      • Nature
      • News
      • Photo
      • Pictures
      • Politics
      • Psychology
      • Science
      • Society
      • Sport
      • Technology
      • Travel
      • Video
      • Weapons
      • Web
      • Work
        Submit
        Valid formats are JPG, PNG, GIF.
        Not more than 5 Мb, please.
        30
        surfingbird.ru/site/
        RSS format guidelines
        500
        • Advertisement
        • Animals
        • Architecture
        • Art
        • Auto
        • Aviation
        • Books
        • Cartoons
        • Celebrities
        • Children
        • Culture
        • Design
        • Economics
        • Education
        • Entertainment
        • Fashion
        • Fitness
        • Food
        • Gadgets
        • Games
        • Health
        • History
        • Hobby
        • Humor
        • Interior
        • Moto
        • Movies
        • Music
        • Nature
        • News
        • Photo
        • Pictures
        • Politics
        • Psychology
        • Science
        • Society
        • Sport
        • Technology
        • Travel
        • Video
        • Weapons
        • Web
        • Work

          Submit

          Thank you! Wait for moderation.

          Тебе это не нравится?

          You can block the domain, tag, user or channel, and we'll stop recommend it to you. You can always unblock them in your settings.

          • Forbes.ru
          • домен forbes.ru

          Get a link

          Спасибо, твоя жалоба принята.

          Log on to Surfingbird

          Recover
          Sign up

          or

          Welcome to Surfingbird.com!

          You'll find thousands of interesting pages, photos, and videos inside.
          Join!

          • Personal
            recommendations

          • Stash
            interesting and useful stuff

          • Anywhere,
            anytime

          Do we already know you? Login or restore the password.

          Close

          Add to collection

             

            Facebook

            Ваш профиль на рассмотрении, обновите страницу через несколько секунд

            Facebook

            К сожалению, вы не попадаете под условия акции