В сфере информационной безопасности одной из часто упускаемых уязвимостей является доступность внутренних файлов компании в открытом доступе через поисковые системы. Это могут быть отчёты, внутренние документы, конфигурации или даже резервные копии, случайно выложенные на сайт и проиндексированные поисковиками.

Хорошая новость — проверить это можно буквально в пару кликов, используя расширенные операторы поиска Google.

1. Поиск всего, что проиндексировано на сайте

Чтобы просмотреть, какие страницы и файлы видны Google, используйте запрос:

site:example.com

Замените example.com на домен вашей компании.

2. Поиск документов и файлов определённого типа

Часто интересуют именно документы, и Google позволяет фильтровать результаты по типу файла. Примеры:

site:example.com filetype:pdf

А также:

• filetype:doc — документы Word
• filetype:xls — таблицы Excel
• filetype:ppt — презентации PowerPoint
• filetype:txt — обычные текстовые файлы
• filetype:xml — данные в формате XML

3. Комбинированный поиск разных типов файлов

Google поддерживает логический оператор OR, что позволяет искать сразу несколько типов:

site:example.com (filetype:pdf OR filetype:doc OR filetype:xls)

4. Поиск по ключевым словам внутри файлов

Если вы хотите проверить наличие конкретных документов, например отчётов или логов, добавьте ключевые слова:

site:example.com filetype:xls "отчёт о трафике"

5. Применение в ИБ

Этот подход стоит включить в регулярный аудит публичного веб-пространства вашей организации. Иногда сотрудники по ошибке размещают на сайте файлы, которые не должны попадать в индекс — финансовые отчёты, внутренние презентации, временные бэкапы и пр.

Для выявления утечек достаточно:

1. Проверить свои сайты подобными запросами.
2. Настроить автоматический мониторинг.
3. Ограничить индексацию через robots.txt, .htaccess и заголовки HTTP.