Попадание SMS от МегаФона в Яндекс

Материал из Викиреальностя
Перейти к: навигация, поиск
Выдача Яндекса с SMS от Мегафона
SIM Мегафона

Попадание SMS от МегаФона в Яндекс — ошибка администратора сотового оператора МегаФон, в результате которой в поисковую выдачу Яндекса попали личные сообщения пользователей формы отправки SMS через сайт. Инцидент произошел в середине июля 2011 года.

Содержание

[править] Масштабы

Утечка SMS обнаруживалась по поисковому запросу в Яндексе (активный на 18 июля 2011 17:40 MSK):

!(url:www.sendsms.megafon.ru* | url:sendsms.megafon.ru*)

На 18 июля 2011 18:01 MSK активен также запрос url%3Awww.sendsms.megafon.ru*+|+url%3Asendsms.megafon.ru*&lr=159&tld=kz на сайте yandex.kz.

На 18 июля 2011 19:08 MSK был активен запрос site=sendsms.megafon.ru&lr=213.

К 19 июля попавшие в кэши 8 тысяч SMS были удалены администрацией Яндекса.

[править] Реакция

18 июля глава Следственного комитета РФ Александр Бастрыкин поручил провести проверку обстоятельств утечки данных, по результатам которой может быть возбуждено уголовное дело.

Мегафон объяснил утечку «техническим сбоем».

Представители Яндекса сообщили, что страницы были проиндексированы из-за временного отсутствия на сайте Мегафона файла robots.txt.

Роскомнадзор сообщил, что появление сообщений в поисковике является нарушением ФЗ «О связи». С его стороны будет проведена проверка на предмет нарушения утечкой закона «О персональных данных».

Антон Носик считает, что брешь в системе защиты личных данных на сайте Мегафона существует уже давно, но вскрылась она только сейчас.

В Словарь Большого Города 2011 года вошло выражение «Мегафон Leaks» (по аналогии с Wikileaks).

[править] Развитие событий

19 июля стало известно, что в кэши Яндекса попали еще и SMS-сообщения для 4 операторов мобильной связи, отправленные с сайта prm.ru. [1]

[править] Причины

Основные причины случившегося — уязвимость веб-приложения Мегафона и слежка за пользователями со стороны Яндекса при помощи Яндекс. Бара.

Веб-приложение www.sendsms.megafon.ru позволяло проверить статус доставки каждого смс-сообщения, ему присваивался уникальный идентификатор, который можно увидеть в адресной строке. Зная этот идентификатор любой пользователь Интернет без какой-либо авторизации мог получить доступ к статусу доставки сообщения, в котором присутствовал как номер мобильного телефона, на который было отправлено сообщение, так и тело самого сообщения.

Вторая причина — Яндекс.Бар, с помощью которого фактически осуществляется слежка за всем поведением пользователя[1], его установившего, включая передачу в Яндекс короткоживущих ссылок на страницы с SMS-сообщениями, которая вызвала их последующую индексацию (ведь доступ к страницам при условии знания их адресов был общедоступным, в том числе он был доступен и для поискового робота Яндекса, «подсмотревшего» эти ссылки через Яндекс.Бар).[2]

[править] Примечания

[править] Ссылки

Попадание SMS от МегаФона в Яндекс относится к темам: