В Сети регулярно проскакивают новости об атаке на тот или иной сервис — особенно досталось от хакеров компании Sony. Но бывает о взломе и говорить не приходится — разработчики ресурса сами отдают информацию злоумышленникам. Принято считать, что операторы связи должны заботиться о безопасности абонентов, однако компании «Мегафон» сегодня удалось прогреметь на весь Рунет.
Пользователи обратили внимание, что в выдаче поисковой машины Яндекс появились тексты отправленных абонентам «Мегафона» SMS с указанием номеров телефонов. Я не знаю, каков формальный статус отправленных сообщений с точки зрения российского законодательства и являются ли они приватными данными. Но с точки зрения владельца телефона — подобный ляп уже за гранью.
Ситуацию активно обсуждают в форумах и социальных сетях. Похоже, есть хорошие шансы вывести слово «Мегафон» в тренды Twitter (там недавно разрешили русские хештеги).
Хуже всего, что короткие текстовые сообщения часто используют для управления доступом к другим сервисам. Притом, эти сервисы могут присылать пользователям пароль в открытом виде, как это делает, например, «ВКонтакте» (безопасность подобного подхода заслуживает отдельной заметки). Уязвима не только самая популярная в России социальная сеть — владельцы многих ресурсов надеются на высокий уровень защиты инфраструктуры операторов связи. Как показала практика — напрасно. Один из посетителей анонимного форума Два.ч утверждает, что ему удалось найти в выдаче Яндекса пароль для «Одноклассников» (если тред недоступен, значит его уже не существует на сервере). Впрочем, эта опасность сильно преувеличена — в поисковую машину попали, по моим сведениям, только отправленные через сайт оператора SMS.
Еще раз скажу, что юридический статус SMS мне не известен. Возможно, сообщения не относятся к персональным данным и операторы имеют право передавать их содержание третьим лицам. Но такая безалаберность недопустима — отдать контент на растерзание сетевых хулиганов… это чревато. Абоненты ведь могут и рублем проголосовать.
С другой стороны, подлинность этих SMS подтвердить непросто (возможно, речь идет об атаке злоумышленников) и я обратился за комментариями в «Мегафон», а также к другим операторам (чтобы выяснить, грозит ли их абонентам эта опасность). Пока никакой информации для цитирования сотрудники компании предоставить не могут — они разбираются с возникшей ситуацией. Но в пресс-службе пообещали дать официальный ответ в течение часа.
UPD. Ответ пресс-службы «Билайн»: «Абоненты «Билайн» защищены от возникновения подобных ситуаций, поскольку текст СМС, которые они отправляют через наш сайт, не публикуется на веб странице с прямой ссылкой после отправки (как это произошло в толь обсуждаемом случае сегодня)».
UPD. Компания «Яндекс» удалила тексты отправленных через сайт «Мегафона» SMS из результатов поиска.
UPD. Официальную позицию «Яндекса» нам сообщил Очир Манджиков, пресс-секретарь компании:
Яндекс индексирует только открытую часть интернета — те страницы, которые доступны при переходе по ссылкам без ввода логина и пароля. Страницы, индексация которых запрещена администратором сайта в файле robots.txt, Яндекс не индексирует, даже если они находятся в открытой части интернета. Это соответствует всем общепринятым нормам и правилам взаимодействия в интернете.
В разделе отправки SMS на сайте МегаФона (www.sendsms.megafon.ru) в момент индексации по какой-то причине отсутствовал файл robots.txt. Насколько нам известно, сейчас администраторы сайта МегаФона уже установили robots.txt и закрыли этот раздел для индексации. В максимально скором времени все страницы этого раздела будут недоступны в результатах поиска Яндекса.
Robots.txt — текстовый файл, расположенный на сайте, который предназначен для роботов поисковых систем. В этом файле веб-мастер может указать параметры индексирования своего сайта как для всех роботов сразу, так и для каждой поисковой системы по отдельности. Подробнее о robots.txt. в Яндекс.Вебмастере: http://help.yandex.ru/webmaster/?id=996567
UPD. Официальный комментарий пресс-службы «Мегафона»: «На сайте оператора произошел технический сбой, связанный с работой внешнего администратора сайта. Технические специалисты «МегаФона», обнаружив сбой на сайте, незамедлительно его устранили. Сбой коснулся крайне незначительной части SMS, отправленных с сайта оператора. При этом он не затронул SMS-сообщения клиентов, отправленные через телефоны и другие мобильные устройства. В настоящий момент ситуация находится под контролем, сбой полностью устранен, вся информация, попавшая в поисковую выдачу «Яндекса», удалена из всех запросов».
UPD. Русское слово «Мегафона» все-же попало в тренды Twitter.
UPD. Официальный комментарий пресс-службы МТС:
Для анализа посещаемости сайтов многие компании используют сервисы статистики – это могут быть бесплатные сервисы (как Яндекс Метрика) или платные. Счетчики «встраиваются» в код каждой страницы сайта и таким образом собирается статистическая информация о посещаемости сайта, запросах, просматриваемых разделах и пр. В случае, если сервис статистики открытый и бесплатный, владельцу сайта сложно контролировать, какую информацию сохраняет и передает встроенный счетчик.
МТС не использует открытые и бесплатные счетчики для своих сайтов, так как они могут потенциально нести угрозу для информационной безопасности, МТС использует только коммерческие платные системы статистики, что гарантирует полный контроль компании в процессе передачи и анализа информации с сайта и полную конфиденциальность данных. Кроме того, при отправке сообщений через сайт МТС вся информация передается сразу в смс-центр и не сохраняется на сайте оператора. Прочтение смс сторонними лицами после его отправки невозможно.
МТС реализует комплекс мер по обеспечению конфиденциальности и сохранности персональных данных, что гарантирует защищенность передаваемой клиентами информации.
UPD. Разумеется, представители компании МТС в первую очередь пытаются успокоить собственных абонентов, однако они упомянули предполагаемого «виновника» торжества — службу «Яндекс.Метрики». Я обратился за консультацией к техническому директору сети дата-центров «Селектел«, Вячеславу Ахметову.
Вячеслав сообщил, что сайт «Мегафон» после отправки SMS создает страницу с хешем в адресе, на которой размещен код «Яндекс.Метрики». По его мнению, база «Яндекс.Метрики» обменивается данными с другими сервисами «Яндекса», откуда информация могла дойти до поискового робота, который добросовестно принялся опрашивать полученные адреса. «На данный момент мы видим, что у «Мегафона» запрещена индексация /send/ в robots.txt, но вероятнее всего, ранее этого запрета не было, либо же файл robots.txt вообще отсутствовал, что и привело к попадению SMS в поисковую выдачу «Яндекса», — заявил эксперт корреспонденту «Компьютерры».
Кроме всего прочего, это объясняет, почему другие поисковые машины не индексируют отправленные через сайт «Мегафона» SMS. Но здесь есть весьма забавный момент — файл robots.txt говорит роботам, что сюда ходить не надо. Но ведь хакеры — не роботы. И если в настройках веб-сервера доступ к данным не запрещен, потенциальная возможность перехвата информации сохраняется. Впрочем, я с трудом представляю себе, как можно получить доступ, не зная имени файла, если в конфигурации сервера, скажем, запрещено получение листинга содержимого каталога. Этот вопрос экспертам я задам завтра и опубликую разбор сегодняшних «полетов» в отдельной заметке.