Что случилось в выдаче «Яндекса»
Вечером 4 июля Роман Бордунов обнаружил, что в поиске «Яндекса» можно найти любые открытые документы, которые написаны или загружены в Google Docs. Для этого в настройках поиска в поле «На сайте» нужно было указать docs.google.com. В поисковую выдачу «Яндекса» попали те документы, у которых был открыт доступ по ссылке — то есть их могли просматривать все, у кого есть ссылка на документ.
Что обнаружилось в документах, слитых из Google Docs
![](https://img08.rl0.ru/afisha/e-x750i/daily.afisha.ru/uploads/images/c/a9/ca91f919da64017514d42981a489bc48.jpg)
Много странного. В первую очередь — пароли, сметы, зарплатные ведомости, выплаты инвесторам, а также список долгов, но не денежных, а по зачетам.
![](https://img09.rl0.ru/afisha/e-x750i/daily.afisha.ru/uploads/images/2/e5/2e519614de531cf04f5286edc96e2bcc.jpg)
Главный редактор сайта «Афиша» Филипп Вуячич нашел таблицу, в которой документировалось общение с редакторами «Афиши Daily» и редакторами других «глянцевых» изданий.
![](https://img09.rl0.ru/afisha/e-x750i/daily.afisha.ru/uploads/images/9/eb/9eb2aac50d541d1480d73ff201deb035.jpg)
Возможно, кто‑то заносит в документ всех людей, которых Алексей Навальный заблокировал в твиттере или инстаграме. Алексей Анатольевич, расскажите, пожалуйста, что это за список!
![](https://img05.rl0.ru/afisha/e-x750i/daily.afisha.ru/uploads/images/9/9e/99e23e6b625f1df03006de7f36abe4fe.jpg)
Мы надеемся, что на самом деле это безобидная форма для корпоративного праздника, а не то, о чем можно было подумать.
![](https://img03.rl0.ru/afisha/e-x750i/daily.afisha.ru/uploads/images/e/ae/eaee4e0d01c2c10fcc63e22e906bd9d0.jpg)
Скриншот с криповым фанфикшеном открывает нам путь в нижний интернет.
![](https://img02.rl0.ru/afisha/e-x750i/daily.afisha.ru/uploads/images/f/2e/f2e82eb2d063c92624900594fd3aa657.jpg)
Представитель Exponea Арсений Ольховский обнаружил инструкцию для кадровиков, которая запрещает нанимать людей с Кавказа и гомосексуалов. Она якобы принадлежит «Тинькофф Банку» и сейчас удалена. В банке заявили, что документ написал сотрудник по своей инициативе, а его содержание противоречит кадровой политике компании. Пресс-служба банка заверила, что в компании работают люди «разных национальностей, сексуальных ориентаций, возрастов и вероисповеданий».
![](https://img04.rl0.ru/afisha/e-x750i/daily.afisha.ru/uploads/images/5/a2/5a2acd0aaf3c2aaf8ea7b144275a82f5.jpg)
Кто‑то серьезно подошел к переменам в своей жизни.
![](https://img.rl0.ru/afisha/e-x750i/daily.afisha.ru/uploads/images/6/7c/67ccf05c82cf6d9b57538775441f1204.jpg)
Возможно, лучшая находка принадлежит выпускающему редактору RTVI Яне Хлебниковой. К этому черному списку водителей Смоленска больше нечего добавить.
![](https://img03.rl0.ru/afisha/e-x750i/daily.afisha.ru/uploads/images/b/9f/b9f81dc3c92b7a7fe04973ff1dfca846.jpg)
Мы знали, что это спам, но не знали, что он называется «СМС хорошим подружкам и знакомым».
![](https://img07.rl0.ru/afisha/e-x750i/daily.afisha.ru/uploads/images/e/1d/e1d8bb75ce0b13c76968077883646728.png)
Какие‑то украинские кадровики эмоционально оценивают кандидатов, а их коллеги комментируют их отзывы фразами вроде «А-ха-ха, красавчик!».
![](https://img07.rl0.ru/afisha/e-x750i/daily.afisha.ru/uploads/images/7/ad/7adbe82dd8ae5d1fcc0c8e8060a0a758.png)
Каждый раз, когда вы не забираете заказ с косметикой, в мире грустит человек, который вам этот заказ продал.
Как спасти свои пароли, если вы храните их в облаке Google
«Яндекс» закрыл уязвимость 5 июля примерно в час ночи по московскому времени, написала «Медуза». Компания связалась с представителями Google, «чтобы обратить их внимание на то, что в этих файлах может оказаться приватная информация». Специалист по обработке больших данных из Quantillion Евгений Славнов провел эксперимент и предположил, что в выдачу «Яндекса» попали только те документы, в которые переходили из «Яндекс.Почты», потому что вместе с пользователями в документ заходил робот «Яндекса». «Компания приняла осознанное решение читать ваши приватные документы на стороннем сервисе», — написал он.
Но документы, которые пользователи нашли до этого, выложили в комментарии и отправили личным сообщением, все еще доступны, потому что им еще не поменяли настройки доступа. Также документы, загруженные на Google Drive, можно найти через поиск Google при помощи такого запроса: «пароли site:docs.google.com».
У вас в Google Docs наверняка есть документы и таблицы, которые можно просматривать, комментировать и редактировать по ссылке. Найти их просто, перейдите по ссылке и найдите все документы, рядом с которыми есть иконка с двумя силуэтами. Во всех этих документах зайдите в «Настройки доступа» и выключите доступ по ссылке — оставьте только доступ по приглашению.
Если вы хранили пароли в документах и таблицах, доступных по ссылке, поменяйте их прямо сейчас. Например, в выдаче «Яндекса» были документы с паролями от кошельков Qiwi — кто угодно мог воспользоваться ими, снять деньги или сделать сомнительные покупки.
Это ненадежно. Можно потерять доступ к аккаунту со всеми паролями, может случиться еще одна уязвимость — и пароли снова окажутся под угрозой. Для хранения существуют специальные зашифрованные программы, которые показывают ваши логины после ввода мастер-ключа. Самые популярные: 1Password и LastPass — платные, RoboForm, EnPass и Dashlane — платные, но с бесплатными опциями.