No Image

Яндекс диск отзывы безопасность

СОДЕРЖАНИЕ
0 просмотров
22 января 2020

Здравствуйте, уважаемые читатели! Из заголовка этой статьи вы поняли, что речь пойдет об актуальной нынче теме — безопасности в Интернете. В связи с последними событиями (о них чуть ниже) очень важно иметь представление о том, с чем мы имеем дело. В частности, это касается облачных хранилищ (или «облаков»), которых сейчас расплодилось большое множество.

С чего все началось

Я заинтересовался облачными хранилищами данных совсем недавно. В поисках самого простого способа переносить файлы с ноутбука на планшет, обходясь без подключения одного устройства к другому, я пришел к выводу, что «облака» — это то, что мне нужно. Мой выбор пал на Яндекс.Диск. Почему?

  • Во-первых, не нужно скачивать никакой программы на ноутбук (доступ осуществляется через аккаунт Яндекса).
  • Во-вторых, предоставляется бесплатно до 10 Гб (мне этого вполне достаточно).
  • В-третьих, для планшета существует очень удобное приложение (которое упрощает работу с «облаком»).

Я мог пользоваться иными сервисами, например, Dropbox или Google Drive, но Яндекс.Диск был у меня на слуху, и поэтому я практически не сомневался в выборе.

А пользуетесь ли вы облачными хранилищами? И что вам известно об их безопасности?

Мне не было об этом известно НИЧЕГО. Но, изучив немного эту тему, я сделал для себя некоторые выводы, которыми спешу поделиться с вами. ВНИМАНИЕ: эта информация очень важна, поэтому читайте внимательно!

Итак, выбирая тот или иной сервис «облаков», многие обращают внимание лишь на объем памяти, который предоставляется бесплатно. Но смотреть следовало бы на другое.

Например, Dropbox, который относится к самым популярным хранилищам и услугами которого пользуются более 175 миллионов человек, не зашифровывает ваши файлы, когда вы закачиваете их в «облако». Шифровать информацию вы, если хотите, должны сами с использованием сторонних программ. В противовес Dropbox упомяну сервис SpiderOak, не слишком популярный, но использующий собственную систему шифрования информации.

Упомянутый выше Яндекс.Диск тоже не отличается особой заботой к данным пользователей — никакого шифрования там нет. Поэтому, выбирая, с каким облачным хранилищем работать, первым делом узнайте, шифрует этот сервис данные или нет.

Из самых безопасных «облаков», помимо SpiderOak , отмечу также Wuala , дающий бесплатно 5 Гб свободного пространства.

Хорошо! Более-менее безопасный сервис мы выбрали. Но стоит ли на него 100% полагаться? Или небольшой риск утечки информации все-таки существует?

Несколько месяцев назад в мировом сообществе разразился крупный скандал, связанный с тем, что бывший сотрудник Агенства национальной безопасности США Эдвард Сноуден рассказал о том, что спецслужбы США имели доступ к серверам всех крупных компаний (включая Google, Apple, Facebook и Microsoft). И таким образом получали доступ к личным данным практически любого жителя планеты.

Ведь все мы пользуемся Android-смартфонами (Android — дитя Google), компьютерами с установленной Windows (продукт Microsoft), почтой Gmail и т.д. По заявлениям Сноудена, любое средство информационной связи является дырой, через которую наши личные данные утекают к спецслужбам.

Поскольку правительство США официально не опровергло эту информацию, а сам Сноуден объявлен чуть ли не врагом №1, стоит полагать, что все, рассказанное им, является правдой. А это повод задуматься.

Не нужно думать, что АНБ и ЦРУ США сейчас пристально наблюдают за вами, пока вы занимаетесь веб-серфингом, читаете эту статью и параллельно ведете переписку ВКонтакте со своим лучшим другом. Если вы не международный террорист — им нет до вас дела.

Но стоит понимать, что у спецслужб всего мира схожие методы работы. И если разоблачили лишь США, то нет гарантии, что тем же самым не занимаются спецслужбы других стран, в том числе и России. Российские интернет-компании (ВКонтакте, Yandex, Mail, Одноклассники) — лакомый кусок, ведь, имея доступ к их серверам, можно знать практически все про любого жителя нашей страны.

Я, опять же, не говорю о том, что за вами каждую минуту ведется слежка. Пока вы не представляете угрозы национальной безопасности страны (надеюсь, до этого не дойдет), никому до вас дела нет. Но если предположить, что чисто теоретически имеется доступ к личным сведениям каждого из нас, то чисто теоретически может произойти утечка этих сведений в открытый доступ. И, опять же, чисто теоретически личные сведения могут оказаться не в тех руках.

К чему это я? Пока есть хоть малейшая возможность того, что ваша личная информация может появиться в свободном доступе в сети Интернет, не стоит 100% полагаться на защиту своих сведений в почтовых службах (Mail, Gmail, Yandex), социальных сетях (Facebook, Одноклассники, ВКонтакте) и облачных хранилищах данных (даже включая те, которые используют шифрование).

Читайте также:  Умный дом xiaomi 4pda

Посмотрим, что говорят по поводу этого эксперты компаний, занимающихся информационной безопасностью.

Андрей Комаров , директор департамента международных проектов, аудита и консалтинга компании Group-IB , заявляет, что желательно свести к минимуму использование облачных хранилищ для хранения важной информации.

Сергей Комаров , руководитель отдела антивирусных разработок компании « Доктор Веб », предупреждает о том, что пользование облачными хранилищами основано на доверии к некоей второй стороне. Все, что может сделать пользователь, это прочитать лицензионное соглашение и уповать на то, что компания будет его соблюдать. Но если вы обеспокоены конфиденциальностью ваших данных, то единственный способ обеспечить защиту — хранить их там, где ни у кого не будет к ним доступа.

Денис Безкоровайный , технический консультант компании Trend Micro в России и СНГ, говорит о том, что защита данных пользователей в облачных хранилищах — это обязанность самих пользователей.

Сергей Ложкин , эксперт « Лаборатории Касперского », советует шифровать данные перед загрузкой их в облачное хранилище.

Что следует из всего вышесказанного?

НЕЛЬЗЯ СЧИТАТЬ ОБЛАЧНЫЕ ХРАНИЛИЩА ДАННЫХ 100% БЕЗОПАСНЫМИ! Именно поэтому я дам вам следующие советы:

  • Никогда не храните в «облаках» важную информацию (например, пароли для доступа к электронным кошелькам). Лучшее место для хранения ваших данных — это рукописный блокнот либо USB-флешка, к которой ни у кого нет доступа.
  • Если все-таки возникла необходимость загрузить в облачный сервис важный файл, то прежде, чем сделать это, зашифруйте его. Самый простой способ — создать архив со сложным паролем. Настолько сложным, насколько это возможно.
  • Самый лучший вариант использования«облаков» — хранить там фильмы, музыку или электронные книги, которые и так есть в общем доступе. В этом отношении облачные сервисы очень полезны, поскольку на каждом компьютере за долгие годы накапливается масса музыки, фильмов и прочего контента, который «жалко» удалять. Загрузите их в «облако» и освободите место на своем компьютере. А если вам не хватит 10 Гб на Яндекс.Диске, то никто не мешает вам зарегистрироваться сразу в нескольких сервисах и использовать их возможности по максимуму.

Некоторые пользователи не задумываются о безопасности облачных хранилищ, загружая туда важные документы, пароли и личные фотографии. Конечно, маловероятно, что именно ваши данные утекут к злоумышленникам, но лучше перестраховаться. Чтобы потом не сожалеть…

Даже если компьютер сломается или пропадёт,
файлы на вашем Диске останутся в полной сохранности.

Из саморекламы Яндекса

Эксплуатирую облачный сервис ЯндексДиск уже почти с месяц. И недавно начал подозревать, что он, вроде как, подворовывает. Должен быть такой файл – ан нету. Однако на 100% не был уверен, да и ничего важного не исчезало. Однако, на всякий случай включил в скрипт ежедневного бэкапа архивацию этой папки в другое место, плюс скрипт удаления архивов старше двух недель (если кому интересно, могу как-нить потом рассказать подробнее, как у меня работает скрипт ежедневного бэкапа) . Однако сегодня я его поймал, сцк, за руку. День работал над текстом, сохранил файл, закрыл. Потом полез его почтой отослать – а его нету. Файл был создан в локальной папке ЯндексДиска, там же редактировался и там же был сохранен. Почему в этой папке? А для сохранности. Чтобы уж точно не проебать. Важный был файл. Между его закрытием и попыткой отправить прошло пара минут максимум.

Путь к файлу остался в “Последних документах” Word, а в самой папке ЯндексДиска остался его .tmp – так что ошибиться и сохранить его не туда я не мог. В корзине системы его нет, в корзине веб-хранилища тоже нет. Я не раз проверил, уж будьте спокойны!

Таким образом, благодаря Яндексу, я лишился готового текста, на который у меня ушел сегодняшний день. К счастью, материалы к нему лежали в другом месте и я, потратив еще день, его восстановлю. К счастью, опять же, впереди выходные и я не сорву дедлайн по заказу. Но ЯндексДиск я похвалил, как выяснилось, рано. Он украл у меня день работы, и я чертовски зол. Дропбокс за несколько лет использования не поступил так со мной ни разу.

В общем – КАТЕГОРИЧЕСКИ НЕ РЕКОМЕНДУЮ использовать ЯндексДиск для хранения важных документов. Отныне я его исключил из своей системы хранения файлов и вам того же желаю.

Читайте также:  Что такое эппл пай

Но, сцк, как обидно-то! Мне он было успел понравится – шустрый такой, стабильный и памяти жрет мало…

Ну и издевательская цитата из FAQ:

Безопасно ли хранить мои файлы на Яндекс.Диске?

Абсолютно безопасно. Ваш Диск защищён самыми современными технологиями, а передача информации осуществляется по зашифрованному соединению. Все файлы, добавляемые в ваш Диск, автоматически проверяются на вирусы. Более того, хранить данные в Яндекс.Диске надёжно — не важно, что случится с вашим компьютером или телефоном, данные в вашем Диске будут в полной сохранности!

Шоб ваши файлы так безопасно хранились, уважаемые яндексоиды!

Можете смело меня цитировать и распространять эту информацию – более того, я буду вам за это очень благодарен. Это единственное, чем я могу поблагодарить Яндекс за доставленное удовольствие. Мой блог он давно уже принципиально не индексирует, поиском не находит и вообще в упор не видит, но может из ваших узнает, как я его люблю?

«Пост о том, как поддержка Яндекс.Диска динамила почти 400 дней баг с вероятной утечкой приватных данных и в итоге признала это не багом, а фичей! Куча текста, переписки и совсем без картинок — под катом.»

Чуть более года назад наткнулся я на одну "особенность" в работе Яндекс.Диска, которая при стечении обстоятельств позволяет получить файлы, явно не предназначенные тебе. Т.е. по сути — это получение приватных данных. Решил отписаться по этому поводу в саппорт ЯДа и. и далее то, к чему пришла моя переписка.

Тут проще будет описать алгоритм действий, приводящий к возможности получения доступа к приватному файлу. Возьмем для этого кусок моего письма в тех.поддержку ЯДа:

1) Забрасываем файл в любую папку Яндекс Диска и ждем окончания синхронизации.

2) После того, как диск синхронизируется, ПКМ по файлу и "Яндекс Диск: скопировать публичную ссылку".

3) Ссылка копируется в буфер обмена. Открываем ссылку в браузере и видим только что сохраненный на ЯДе файл.

4) Перезаписываем файл (т.е. сохраняя те же имя и расширение) другим файлом (именно перезаписываем, подтверждая это в проводнике Windows).

5) Ждем, когда данные синхронизируются.

7) Открываем ЯКОБЫ новую ссылку на файл в браузере и видим новый файл. Но ссылка осталась прежней.

(все описанные действия актуальны для Windows/MacOS систем с самой свежей версией клиента на 26 марта 2018 года. На никсах не проверял)

Как не трудно догадаться, доступ к НОВОМУ файлу будет у того же круга лиц, которому была отправлена ссылка на СТАРЫЙ файл когда-то ранее. Т.е. если СТАРЫЙ файл был архивом с фотографиями котиков и был разослан куче народа, то теперь, заменив его, скажем, архивом со сканом паспорта — все любители котиков получат к нему доступ. Весело ? Я считаю что очень.

А что говорит саппорт ?

И вот тут наступает самый интересный момент.

Впервые о проблеме я отписался в саппорт 20 февраля 2017 года. Писал по программе "Охота за ошибками". Не скажу, что рассчитывал на получение миллионов, уважение и почет. просто на такие "заявки", как мне казалось, должна быть самая быстрая реакция у команды сервиса. Ага. 2 раза и 1 с собой.

Заявка была получена саппортом, о чем пришло письмо с номером. И все. Тишина и мрак. Время шло и наткнувшись в почте на старое письмо с подтверждением о получении заявки, я решил поинтересоваться как там дела. К сожалению, точной даты не скажу, когда я решил уточнить статус заявки, но это было спустя месяца 2.

Ответ на этот запрос пришел 7 ноября 2017 года. Т.е. спустя 6.5 месяцев с момента сообщения о баге. Шустро, что сказать. Вот текст того письма:

Прошу прощения за задержку с ответом.
Благодарим за интерес, проявленный к безопасности сервисов Яндекса.
Информация об этой уязвимости уже была нам ранее прислана другим исследователем.
В связи с этим, к сожалению, мы не можем присудить за нее вознаграждение.

"Ну и хрен с Вами" — подумал я и забил. Спустя неделю (14 ноября 2017 года) получаю еще одно письмо от саппорта:

Здравствуйте!
Прошу прощения за задержку с ответом.
Благодарим за интерес, проявленный к безопасности сервисов Яндекса.
К сожалению, нам не удается выявить уязвимость, о которой вы сообщили. Пожалуйста, опишите более подробно, как её можно обнаружить. Возможно, нам нужно обратить внимание на какие-то детали.

Т.е. про баг они знают и уже давно, но повторить его не могут. А поэтому никто устранением проблемы не занимался в принципе. Хрен с ним, мне не сложно, я отправляю в тот же день мануал с картинками, где описываю как добиться косого поведения клиента Яндекс.Диска.

Читайте также:  Что можно сделать из сломанного жесткого диска

Что дальше ? А дальше — ТИ ШИ НА. Нет, мне конечно же до фонаря, как там и что, если бы ответ не пришел вновь. 20 февраля 2018 уже года, т.е. спустя ровно год с момента отправки инфы о баге — мне присылают письмо следующего содержания:

Прошу прощения за задержку с ответом.
Благодарим за интерес, проявленный к безопасности сервисов Яндекса.
К сожалению, нам не удается выявить уязвимость, о которой вы сообщили.
При выполнении описанных вами действий мы каждый раз получали разные ссылки.
Пожалуйста, опишите более подробно, как её можно обнаружить. Возможно, нам нужно обратить внимание на какие-то детали.

"Прошу прощения за задержку с ответом." — это как "%username%, Добрый день!" в деловой переписке. Тупо шаблон.

Описывать каждый раз одни и те же действия меня откровенно ломало. Так же меня ломало заниматься этим тратя свое время, хотя результат будет один и тот же. Поэтому я пишу им следующий текст:

Ребят, Вы ровно год рассматриваете эту заявку. Я дважды описывал алгоритм действий, который приводил к одному и тому же результату. Сейчас, кстати, ничего не изменилось.
После того, как Вы же мне сообщили, что ". Информация об этой уязвимости уже была нам ранее прислана другим исследователем. В связи с этим, к сожалению, мы не можем присудить за нее вознаграждение. " — Вы просите в 3-й раз описать как добиться ошибочной работы сервиса ? Если это было не ясно с первого раза, то во второй раз я описал все от А до Я. В третий раз нужно снять видео ? Я не буду этого делать. Нет стимула тратить время еще раз. Да и мурыжить 365 дней заявку — ну Вам виднее.
Куда как логичнее описать эту недокументированную особенность работы Я.Диска на том же
habrahabr , дабы народ не наступил на те же грабли, что и я, обнаружив ее. Один черт, "мы не можем присудить за нее вознаграждение" и рассматривать заявки хотя бы в течении месяца, а не года — тоже.
Всех благ.

Ну реально уже достали.
Ответ не заставил себя ждать:

Длительный срок обработки заявки связан с проблемами в воспроизведении поведения. Алгоритм, который вы описываете, не приводит к описанному поведению, и, поэтому, не является достоверным.
Наличие скринкаста действительно помогло бы.
Сообщение о том, что информация уже была прислана ранее, является ошибочной. Мы извиняемся за введение вас в заблуждение.

Делаем логичный вывод — левая рука не знает, что делает правая. И письмо, в котором я описывал алгоритм с картинками — они явно просрали. Тут мне стало уже откровенно интересно, если им отправить порядок действий, снабдить его картинками — то каков будет результат ? А главное — когда они ответят вновь ? Сказано — сделано. Ман был написан в третий раз и отправлен все по тому же адресу.

Ответили в этот раз почти мгновенно, через месяц.

Прошу прощения за задержку с ответом.
Благодарим за интерес, проявленный к безопасности сервисов Яндекса.
После длительного общения с разработчиками сервиса выяснилось, что проблема, о которой вы сообщили нам, является запланированным поведением.
В связи с этим, к сожалению, мы не можем присудить за нее вознаграждение.


БИНГО! Утечка приватных данных, хоть и при стечении некоторых обстоятельств — это не баг, это фича!

Спасибо, дорогой Яндекс. Теперь я буду хранить у тебя только то говно, которое не жалко потерять, но забивать им дисковое пространство на машине жалко. Так и только так. Пора вновь накатить на сервак старый добрый SeaFile и организовать свой ЯД с блэкджеком и шлюхами.

Имя сотрудника Яндекса я специально не стал указывать. Так же, как и номер тикета, присвоенный системой учета заявок Яндекса.

статью писал мой муж, публикую ее с его разрешения и со ссылкой на первоисточник, поэтому тег "мое"

Комментировать
0 просмотров
Комментариев нет, будьте первым кто его оставит

Это интересно
No Image Компьютеры
0 комментариев
No Image Компьютеры
0 комментариев
No Image Компьютеры
0 комментариев
No Image Компьютеры
0 комментариев
Adblock detector