Вы можете находить пароли, секретные PDF-документы и списки паролей с помощью поискового запроса Google, но при этом сами можете стать уязвимым. Рассказываем, как работает технология и как обезопасить свои данные.
Как можно получить секретные данные?
Для этого подойдет любой поисковик и Google-хак — это запрос, в ответ на который посетитель получает или список случайно проиндексированных секретных страниц, или доступ к служебной странице, позволяющей внести изменения в конфигурацию сервера.
Например, вы можете вбить в Google запрос «site:macdigger.ru Яндекс Сбербанк». Поисковик выдаст на сайте Macdigger страницы, где «Яндекс» и Сбербанк упоминаются в контексте своего «развода».
«site:» — это оператор поиска, а «macdigger.ru» — аргумент, который передается оператору. Таких операторов у разных систем много, и при определенной доли креативности они позволяют найти секретные страницы и документы, не предназначенные для всеобщего доступа.
Что можно найти с помощью таких «хаков»?
Все зависит от вашего усердия. В базе данных хаков есть рубрикация по типам найденного контента, например:
- Страницы входа в системы управления сайтом
- Электронные таблицы, результаты опросов, аналитические отчеты
- Списки паролей
- Трансляции видеокамер
- Незащищенные админские интерфейсы
- Каталоги с конфигурационными файлами сервера (даже почтовые)
Поисковики по умолчанию выдают все, что есть на сайте и даже то, что вы по каким-то причинам забыли скрыть от индексации.
Что же делать?
Есть только два способа исключить файл из индексации — не хранить его по прямой ссылке или потребовать авторизации (также как с Google-доками, где можно закрыть документ для всех). А также существует меры предосторожности, вроде:
- Не публикуйте файлы, документы, видео и т.д по прямой ссылке;
- Не оставляйте в документе пометок вроде «только для служебного пользования», придумайте что-то более оригинальное;
- При работаете в служебных документах (текстом или, например, таблицей), приглашайте коллег по email и не разрешайте им приглашать других;
- Пользуйтесь генераторами паролей и двухфакторной аутентификацией;
- Никогда не пишите то, что не готовы видеть опубликованным.