Почему в Яндекс допустили утечку данных
Системы поисковиков, хоть и уже достаточно хороши, но, все-таки, не идеальны. Часто их работа зависит от регулирующих законов, которые напрямую влияют на то, что им делать можно, а что – нельзя. Однако настоящая проблема заключается в том, что намного чаще такие законы не предотвращают появление нелегальной информации, а ограничивают действия вполне добросовестных пользователей.
В июле поисковик Яндекс изменил алгоритмы поиска, в результате чего начал показывать пользователям ссылки, ведущие на облачные диски Google Drive. Самым интересным стало то, что в поиске встречались не только доступные для всех файлы, но также и «личные».
Команда разработчиков Яндекс использовала лето с умом – поисковик проапгрейдился и получил несколько новых «возможностей»: выдавать документы, которые должны были быть доступны только по ссылке, конфиденциальную информацию пользователей некоторых крупных банков России, добывать данные о бронировании и т.д. Все это стало явным подтверждением того, что системы, которые были призваны обеспечивать безопасность всей этой информации, далеко не так совершенны, как хотелось бы.
Ничего выходящего за рамки здравого смысла, на самом деле, не произошло. Документы Google можно было обнаружить в поисковой выдаче уже давным-давно. Правда, касалось это только тех документов, доступ к которым был открыт для всех пользователей. Кроме того, воспользовавшись инструментом inurl, можно было получить доступ к различной «защищенной» информации, панелям администратора на сайтах с CMS, пароли к сайтам и т.д. И сотрудники системы знали об этих уязвимостях. Однако теперь, после того, как эта информация появилась и в другом поисковике, все это подверглось всеобщему осуждению.
Насколько виноват поисковик?
Google Drive обладает возможностью настройки доступа к своим файлам. Если придерживаться самых простых правил, то можно защитить свою информацию. Однако, почему же виноватым объявляют именно Яндекс?
Чтобы отыскать что-либо в интернете, нужно использовать поисковики. Это специальные структуры, которые регулируют внесение данных в индекс и выдачу их по запросам пользователей. В индекс попадают все страницы, если только владелец веб-сайта не ограничит роботам доступ. В результате, поисковая выдача может включать в себя сайты, на которых содержится нелегальный или пиратский контент. Именно поэтому раздаются призывы ограничить выдачу информации, отсеивая то, что не должны видеть пользователи.
Тем не менее, есть и одна проблема: как роботу узнать, разрешен ли конкретный контент, или нет? Даже если информация представлена в текстовом формате, поисковики часто не могут определить, о чем речь. А если данные относятся к медиа и представляют собой аудио или видео, задача становится в разы сложнее.
Давайте рассмотрим эту ситуацию подробнее. Скажем, случилось, что Яндекс выдает в поиске информацию, которая теоретически не должна была бы там оказаться, а потом все же удаляет ее из результатов. В этом случае появится другая проблема – многие пользователи пользуются сервисом Google Drive именно затем, чтобы предоставить доступ к своим файлам любым пользователям. На самом деле, это очень удобный сервис, ведь благодаря ему появляется возможность быстро и легко распространять любые файлы.
После начала шумихи в Яндекс решили выключить поиск, затрагивающий документы. Тем самым компания как бы признала, что виноват именно поисковик. На самом же деле, его вины здесь не было.
Есть еще один аспект сложившегося положения, который заключается в том, что пока в деле фигурировали только материалы, запрещенные на территории РФ, государство могло вмешаться, потребовав изменения результатов выдачи поиска. А теперь речь идет уже об абстрактном контенте и уязвимостях в безопасности. Изменить алгоритмы таким образом, чтобы удовлетворить текущие запросы пользователей и государства становится очень сложным делом.
Какие возможно решения или возможные выходы из ситуации?
Уже был предложен вариант с добавлением в поисковик специального бота, задачей которого будет уведомление администратора о том, что его данные, возможно, находятся под угрозой распространения. Хотя бот и не сможет определить сам тип данных, которые доступны пользователю, он «выкатит» предупреждение владельцу, после чего тому предстоит решить, удовлетворяет ли его такое положение дел, или нет. Это похоже на механизм действия политики конфиденциальности. Когда вы попадаете на сайт, то принимаете или не принимаете условия пользования, после чего сами отвечаете за то, что может случиться.
Возможность уведомления администраторов сайтов не потребует значительных вложений, однако сможет существенно повысить репутацию поисковика Яндекс, доказывая, что он работает над соблюдением прав пользователей. Кстати, предложенное решение даст еще одно преимущество – если администратор будет упрямо игнорировать уведомление, его сайт будет значительно понижаться в выдаче. Таким образом, система будет использовать метод кнута и пряника, чтобы стимулировать владельцев сайтов к действиям.
Если использовать такую методику, то проблема касательно безопасности и конфиденциальности пользователей может быть решена, хотя и частично. Однако полностью возлагать решение проблемы на плечи поисковых систем нельзя – нужно самому следить за сохранением своих данных.
Новые нормы регулирования, принятые в Европе (GDPR), гласят, что если какая-либо организация предоставляет доступ к своим данным, она несет ответственность за их распространение, так как, по сути, является их «контролером». А вот если эта информация была взята третьей стороной и распространена далее, то третья сторона никакой ответственности не несет, так как данные были получены ею как бы с согласия владельца.
Конечно, можно попросту запретить поисковым системам сохранять информацию о веб-камерах, которые на которые владелец не поставил пароль, или же не хранить данные о других устройствах, к которым злоумышленники могли бы получить доступ, однако это приведет к ряду других проблем. Во-первых, если поисковики не будут иметь доступа к такой информации, она окажется в даркнете, и проводить ее регуляцию станет в разы сложнее. А добросовестные пользователи не смогут пользоваться прежними инструментами, чтобы отыскивать уязвимости и закрывать их.
Все случившееся лишний раз доказывает, что не очень аккуратное регулирование информации может привести к совсем нехорошим последствиям. Вместо того, чтобы стимулировать пользователей защищать свою информацию, законодательство загоняет всех в жесткие рамки, тем самым значительно ограничивая возможности «хороших» компаний. В то же самое время пользователи даркнета, которые все равно могут свободным образом пользоваться всей доступной информацией для своих целей, ограниченными не оказываются.