Безопасность в Яндекс.Директе: OAuth, права, аудит

Когда вы даёте подрядчику доступ к Яндекс.Директу, он получает право тратить ваши деньги, редактировать кампании и видеть статистику. По-умолчанию доступ выдаётся по логину — и это небезопасно. В этой статье — как правильно организовать доступы, что такое OAuth, и как не потерять контроль над рекламным кабинетом.

Три способа дать доступ

1. Общий логин (плохо)

Передаёте подрядчику логин и пароль от аккаунта. Подрядчик полностью владеет аккаунтом: может сменить пароль, привязать телефон, даже удалить. Не делайте так никогда.

2. Представительский доступ (нормально)

В Директе есть функция «Пригласить пользователя». Подрядчик получает доступ под своим логином с правами «Редактор» или «Наблюдатель». Вы в любой момент можете отозвать доступ.

3. OAuth через агентский аккаунт (хорошо)

Сервис типа Директолога подключается через OAuth — вы не передаёте логин и пароль, только временный токен с чётким scope (какие действия разрешены). Отозвать доступ можно в один клик на странице Яндекс.Паспорта.

Что такое OAuth на практике

OAuth 2.0 — открытый стандарт авторизации. Сценарий:

• Нажимаете «Подключить Директ» в стороннем сервисе
• Вас перекидывает на oauth.yandex.ru — страница Яндекса
• Вы видите список запрашиваемых прав: «Чтение статистики», «Управление кампаниями»
• Подтверждаете — Яндекс выдаёт сервису токен
• Сервис работает с вашим кабинетом через API, по токену

Важно: логин и пароль сервис никогда не видит. Они остаются только на странице Яндекса.

Права доступа (scope)

Серьёзные сервисы показывают конкретный список прав перед подключением. В Яндекс.Директ scope бывает:

• direct:api — полный доступ к API Директа (управление кампаниями, расходом)
• metrika:read_only — только чтение Метрики
• metrika:write — изменение настроек Метрики

Аудит текущих доступов

Раз в квартал проверяйте, кто имеет доступ к вашему кабинету:

• Яндекс.Паспорт → Управление аккаунтом → Подключённые приложения
• Директ → Настройки → Управление доступом
• Метрика → Настройки счётчика → Доступ

Отзывайте доступ у подрядчиков, с которыми больше не работаете. Это занимает 30 секунд, но защищает от случайных списаний или утечки данных.

Что делать, если отдали пароль

Если вы уже дали логин/пароль подрядчику — немедленно:

• Смените пароль на сложный (16+ символов)
• Включите 2FA через приложение или SMS
• Проверьте привязанные почту и телефон — там ваши
• Завершите все активные сессии (Паспорт → История входов)
• Пригласите подрядчика заново — уже через представительский доступ

Прозрачность изменений

Даже с правильными доступами подрядчик может случайно сломать кампанию. Поэтому важен журнал изменений. В Директе есть базовый лог («История изменений»), но он показывает не все действия.

Сервисы-автопилоты (в т.ч. Директолог) ведут собственный лог: что было до, что стало после, причина изменения, откат в один клик. Это защищает от потери денег из-за ошибки автоматики или человеческого фактора.

Чек-лист безопасности

• Никогда не передавайте логин/пароль
• Включите 2FA на Яндекс.Паспорте
• Используйте OAuth или представительский доступ
• Раз в квартал проверяйте список подключений
• Установите лимит дневного расхода в Директе
• Выбирайте сервисы с журналом изменений и откатом

Итог

Безопасность в Директе — это баланс между удобством и контролем. OAuth даёт и то, и другое: подрядчик/сервис работает с кабинетом, вы сохраняете полный контроль и можете отозвать доступ в любой момент. Один раз настроили — и не думаете об утечках.