В Сети регулярно проскакивают новости об атаке на тот или иной сервис – особенно досталось от хакеров компании Sony. Но бывает о взломе и говорить не приходится – разработчики ресурса сами отдают информацию злоумышленникам. Принято считать, что операторы связи должны заботиться о безопасности абонентов, однако компании “Мегафон” сегодня удалось прогреметь на весь Рунет.

Пользователи обратили внимание, что в выдаче поисковой машины Яндекс появились тексты отправленных абонентам “Мегафона” SMS с указанием номеров телефонов. Я не знаю, каков формальный статус отправленных сообщений с точки зрения российского законодательства и являются ли они приватными данными. Но с точки зрения владельца телефона – подобный ляп уже за гранью.

Скриншот поисковой выдачи Яндекс

Ситуацию активно обсуждают в форумах и социальных сетях. Похоже, есть хорошие шансы вывести слово “Мегафон” в тренды Twitter (там недавно разрешили русские хештеги).

Хуже всего, что короткие текстовые сообщения часто используют для управления доступом к другим сервисам. Притом, эти сервисы могут присылать пользователям пароль в открытом виде, как это делает, например, “ВКонтакте” (безопасность подобного подхода заслуживает отдельной заметки). Уязвима не только самая популярная в России социальная сеть – владельцы многих ресурсов надеются на высокий уровень защиты инфраструктуры операторов связи. Как показала практика – напрасно. Один из посетителей анонимного форума Два.ч утверждает, что ему удалось найти в выдаче Яндекса пароль для “Одноклассников” (если тред недоступен, значит его уже не существует на сервере). Впрочем, эта опасность сильно преувеличена – в поисковую машину попали, по моим сведениям, только отправленные через сайт оператора SMS.

Еще раз скажу, что юридический статус SMS мне не известен. Возможно, сообщения не относятся к персональным данным и операторы имеют право передавать их содержание третьим лицам. Но такая безалаберность недопустима – отдать контент на растерзание сетевых хулиганов… это чревато. Абоненты ведь могут и рублем проголосовать.

С другой стороны, подлинность этих SMS подтвердить непросто (возможно, речь идет об атаке злоумышленников) и я обратился за комментариями в “Мегафон”, а также к другим операторам (чтобы выяснить, грозит ли их абонентам эта опасность). Пока никакой информации для цитирования сотрудники компании предоставить не могут – они разбираются с возникшей ситуацией. Но в пресс-службе пообещали дать официальный ответ в течение часа.

UPD. Ответ пресс-службы “Билайн”: “Абоненты “Билайн” защищены от возникновения подобных ситуаций, поскольку текст СМС, которые они отправляют через наш сайт, не публикуется на веб странице с прямой ссылкой после отправки (как это произошло в толь обсуждаемом случае сегодня)”.

UPD. Компания “Яндекс” удалила тексты отправленных через сайт “Мегафона” SMS из результатов поиска.

UPD. Официальную позицию “Яндекса” нам сообщил Очир Манджиков, пресс-секретарь компании:

Яндекс индексирует только открытую часть интернета – те страницы, которые доступны при переходе по ссылкам без ввода логина и пароля. Страницы, индексация которых запрещена администратором сайта в файле robots.txt, Яндекс не индексирует, даже если они находятся в открытой части интернета. Это соответствует всем общепринятым нормам и правилам взаимодействия в интернете.

В разделе отправки SMS на сайте МегаФона (www.sendsms.megafon.ru) в момент индексации по какой-то причине отсутствовал файл robots.txt. Насколько нам известно, сейчас администраторы сайта МегаФона уже установили robots.txt и закрыли этот раздел для индексации. В максимально скором времени все страницы этого раздела будут недоступны в результатах поиска Яндекса.

Robots.txt – текстовый файл, расположенный на сайте, который предназначен для роботов поисковых систем. В этом файле веб-мастер может указать параметры индексирования своего сайта как для всех роботов сразу, так и для каждой поисковой системы по отдельности. Подробнее о robots.txt. в Яндекс.Вебмастере: http://help.yandex.ru/webmaster/?id=996567

UPD. Официальный комментарий пресс-службы “Мегафона”: “На сайте оператора произошел технический сбой, связанный с работой внешнего администратора сайта. Технические специалисты «МегаФона», обнаружив сбой на сайте, незамедлительно его устранили. Сбой коснулся крайне незначительной части SMS, отправленных с сайта оператора. При этом он не затронул SMS-сообщения клиентов, отправленные через телефоны и другие мобильные устройства. В настоящий момент ситуация находится под контролем, сбой полностью устранен, вся информация, попавшая в поисковую выдачу «Яндекса», удалена из всех запросов”.

UPD. Русское слово “Мегафона” все-же попало в тренды Twitter.

UPD. Официальный комментарий пресс-службы МТС:

Для анализа посещаемости сайтов многие компании используют сервисы статистики – это могут быть бесплатные сервисы (как Яндекс Метрика) или платные. Счетчики «встраиваются» в код каждой страницы сайта и таким образом собирается статистическая информация о посещаемости сайта, запросах, просматриваемых разделах и пр. В случае, если сервис статистики открытый и бесплатный, владельцу сайта сложно контролировать, какую информацию сохраняет и передает встроенный счетчик.

МТС не использует открытые и бесплатные счетчики для своих сайтов, так как они могут потенциально нести угрозу для информационной безопасности, МТС использует только коммерческие платные системы статистики, что гарантирует полный контроль компании в процессе передачи и анализа информации с сайта и полную конфиденциальность данных. Кроме того, при отправке сообщений через сайт МТС вся информация передается сразу в смс-центр и не сохраняется на сайте оператора. Прочтение смс сторонними лицами после его отправки невозможно.

МТС реализует комплекс мер по обеспечению конфиденциальности и сохранности персональных данных, что гарантирует защищенность передаваемой клиентами информации.

UPD. Разумеется, представители компании МТС в первую очередь пытаются успокоить собственных абонентов, однако они упомянули предполагаемого “виновника” торжества – службу “Яндекс.Метрики”. Я обратился за консультацией к техническому директору сети дата-центров “Селектел“, Вячеславу Ахметову.

Вячеслав сообщил, что сайт “Мегафон” после отправки SMS создает страницу с хешем в адресе, на которой размещен код “Яндекс.Метрики”. По его мнению, база “Яндекс.Метрики” обменивается данными с другими сервисами “Яндекса”, откуда информация могла дойти до поискового робота, который добросовестно принялся опрашивать полученные адреса. “На данный момент мы видим, что у “Мегафона” запрещена индексация /send/ в robots.txt, но вероятнее всего, ранее этого запрета не было, либо же файл robots.txt вообще отсутствовал, что и привело к попадению SMS в поисковую выдачу “Яндекса”, – заявил эксперт корреспонденту “Компьютерры”.

Кроме всего прочего, это объясняет, почему другие поисковые машины не индексируют отправленные через сайт “Мегафона” SMS. Но здесь есть весьма забавный момент – файл robots.txt говорит роботам, что сюда ходить не надо. Но ведь хакеры – не роботы. И если в настройках веб-сервера доступ к данным не запрещен, потенциальная возможность перехвата информации сохраняется. Впрочем, я с трудом представляю себе, как можно получить доступ, не зная имени файла, если в конфигурации сервера, скажем, запрещено получение листинга содержимого каталога. Этот вопрос экспертам я задам завтра и опубликую разбор сегодняшних “полетов” в отдельной заметке.