Компромат.Ru ®

Читают с 1999 года

Весь сор в одной избе

Библиотека компромата

"Яндекс" получил 8 тыс. SMS-сообщений, отправленных с сайта "МегаФона" абонентам оператора, с телефонными номерами получателей

Оригинал этого материала
© "Коммерсант", 19.07.2011, Абонент временно общедоступен, Фото: РИА "Новости"

Александр Малахов, Анна Балашова

Compromat.Ru

Около 8 тыс. SMS-сообщений, отправленных с сайта "МегаФона", оказались вчера в открытым доступе в "Яндексе". Беспрецедентной утечкой уже заинтересовались следственный комитет России (СКР) и Роскомнадзор, юристы прогнозируют коллективные иски абонентов оператора. "МегаФон" объясняет происшедшее техническим сбоем, но эксперты не исключают, что брешь в системе оператора могла существовать едва ли не с момента ее запуска. По аналогичной причине в интернет могли попасть данные и получателей EMS "Почты России".

О том, что около 8 тыс. SMS-сообщений оказались в открытом доступе, вчера около двух часов дня сообщили Lenta.ru и интернет-ресурс Nomobile.ru. Прочитать сообщения можно было, воспользовавшись кэшем поисковой системы. Кроме самого текста можно было получить номер адресата без указания его персональных данных, номер отправителя не указывался.

[Лента.Ру, 18.07.2011, "Мегафон" и "Яндекс" рассекретили чужие SMS": Если ввести в поисковую строку "Яндекса" запрос "url:www.sendsms.megafon.ru* | url:sendsms.megafon.ru*", можно обнаружить тексты SMS, отправленных через сайт sendsms.megafon.ru, и номера их получателей. — Врезка К.ру]

["Ведомости", 19.07.2011, "Sms нараспашку": Ежедневно абоненты «Мегафона» отправляют порядка 30 млн sms, из них через сайт — только около 5000 […].
Получается, «Мегафон» выпустил в открытый доступ хранящиеся у него данные о переписке абонентов, говорит директор департамента аудита «Информзащиты» Максим Эмм. Не совсем ясно, зачем оператор вообще хранил эти данные, недоумевает он. — Врезка К.ру]


К трем часам дня "Яндекс" почистил свой кэш. Тексты SMS стали недоступны на сайте поисковика, но к тому времени в открытом доступе появились сохраненные копии кэшированных SMS, которые еще вчера вечером были доступны в интернете.

Пресс-секретарь "МегаФона" Юлия Дорохина объясняет, что "на сайте оператора произошел технический сбой, связанный с работой внешнего администратора сайта". По ее словам, сбой коснулся крайне незначительной части SMS, отправленных с сайта оператора, он не затронул SMS-сообщения клиентов, отправленные через телефоны и другие мобильные устройства. Какой конкретно технический сбой произошел и кто администрирует сайт "МегаФона", Юлия Дорохина не сообщила.

Представитель "Яндекса" Очир Манджиков отмечает, что "поисковик индексирует только открытую часть интернета — те страницы, которые доступны при переходе по ссылкам без ввода логина и пароля". При этом страницы, индексация которых запрещена администратором сайта в файле robots.txt, "Яндекс" не индексирует, даже если они находятся в открытой части интернета. "В разделе отправки SMS на сайте "МегаФона" в момент индексации по какой-то причине отсутствовал файл robots.txt",— пояснил господин Манджиков.

Уже в пять часов вечера стало известно о том, что глава cледственного комитета РФ Александр Бастрыкин дал поручение провести следственную проверку этого инцидента. По ее итогам может быть возбуждено уголовное дело.

Роскомнадзор, в свою очередь, направил запрос оператору с требованием разъяснить, каким образом SMS-переписка попала в открытый доступ. Представитель Роскомнадзора Михаил Воробьев заявил "Интерфаксу", что, по мнению регулятора, проиcшедшее может иметь признаки нарушения закона "О связи" и "О персональных данных". Впрочем, персональные данные абонентов (например, их паспортные данные, фамилия) в открытый доступ все-таки не попали, хотя в некоторых SMS, изученных "Ъ", были указаны паспортные данные людей.

[Лента.Ру, 18.07.2011, ""Мегафон" и "Яндекс" рассекретили чужие SMS": Некоторые из сообщений, помимо телефонных номеров, содержали и другую личную информацию, например, логины и пароли к различного рода сервисам. — Врезка К.ру]

К "МегаФону" может быть подан коллективный иск, заявили вчера в Союзе потребителей России. Глава Международной конфедерации обществ потребителей (туда входит Союз потребителей РФ) Дмитрий Янин уверен, что если иск будет подан и выигран, то потребителям, которые обратятся в суд, не нужно будет доказывать вину оператора, им придется лишь обосновать величину компенсации. "Для каждого, кто докажет наличие ущерба, сумма будет установлена судом индивидуально",— уверен Дмитрий Янин.

Адвокат Павел Ламбров считает, что по ст. 138 УК РФ ("Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений") возбудить уголовное дело вряд ли удастся, так как "умысла в данном случае не было". "Скорее всего, речь идет о простой халатности рядовых сотрудников, которые могут понести за это разве что дисциплинарную ответственность",— считает господин Ламбров. По его словам, пострадавшие могут взыскать через суд с "МегаФона" компенсацию, но для этого придется доказать наличие морального ущерба.

"Если придется куда-то ехать, то, конечно, предъявлять претензии не буду, так как у меня грудной ребенок. Но если надо просто что-то подписать, то я за",— сообщила "Ъ" одна из пострадавших. Еще один абонент, получивший SMS об отказе в кредите, сообщил, что не намерен судиться, так как "не хочет тратить время".

["Московские новости", 19.07.2011, "SMS от "Яндекса": По мнению Марии Пригариной, заместителя директора гражданско-правового департамента юридической фирмы «Клифф», налицо нарушение правил оказания услуг подвижной связи со стороны «Мегафона». А также нарушение тайны телефонных сообщений. «В лучшем случае можно подать иск о возмещении убытков и морального вреда», — считает эксперт. По ее оценке, сумма компенсации морального вреда могла бы составить 10–50 тыс. руб. на одного пользователя. Но поскольку с сайта «Яндекса» были удалены SMS-сообщения, то теперь трудно будет доказать, имело ли место нарушение со стороны оператора, считает Пригарина. Пользователь может рассчитывать на компенсацию в том случае, если он успел сделать скриншот SMS-сообщений на сайте «Яндекса» и нотариально его заверить. Суд, впрочем, может счесть за доказательство скриншоты, сделанные информационными агентствами, рассуждает юрист. — Врезка К.ру]

Блогер Антон Носик считает, что брешь в системе "МегаФона" существует давно, но обнаружили ее лишь сейчас. "Смысл в том, что при отправке заполненной формы генерируется веб-страница с введенными данными. Но она нигде не сохраняется, перестает существовать, но может оставить следы в кэше",— поясняет господин Носик. Он удивился тому, почему администраторы сайта не проверили, какие данные выдаются их ресурсом поисковику. "Но хотел бы подчеркнуть, что такие проблемы еще будут выявляться. Только сегодня удалось обнаружить аналогичную дыру на сайте по пересылке SMS prm.ru. Кроме того, служба экспресс-доставки EMS "Почты России" зачем-то отдает "Яндексу" данные по посылкам с указанием фамилии и адреса получателя",— отмечает Антон Носик.

В пресс-службе EMS "Почты России" вчера заявили, что со стороны компании "предпринимается максимум усилий по разрешению данной ситуации. В ближайшее время причина будет выявлена и устранена".

Пресс-секретарь "Вымпелкома" Анна Айбашева утверждает, что абоненты оператора защищены от возникновения подобных ситуаций, поскольку текст SMS, которые они отправляют через сайт, не публикуется на веб-странице с прямой ссылкой после отправки. "При отправке сообщений через сайт МТС вся информация передается сразу в SMS-центр и не сохраняется на сайте оператора. Прочтение сообщений сторонними лицами после его отправки невозможно",— говорит представитель МТС Валерия Кузьменко.

Аналитик ACM-Consulting Антон Погребинский считает, что "утечка" SMS вряд ли спровоцирует отток абонентов и другие негативные последствия для бизнеса "МегаФона". У операторов связи, в том числе сотовых были гораздо более глобальные случаи утечки информации, когда в свободную продажу попадала информация об их абонентах, включая номера телефонов и их регистрационные данные. Данные абонентов сотовых операторов неоднократно попадали в открытую в продажу, в частности, на специализированных рынках. В частности, в 2002 году в продажу в Москве поступил диск с данным об абонентах МТС, через год тоже самое произошло с базой "МегаФона" в Санкт-Петербурге, а в 2004 году и "Вымпелкома" (в обоих городах). "Действительно серьезный урон бизнесу телеком-компаний приносят серьезные сбои в работе сети",— рассуждает господин Погребинский. Данные абонентов сотовых операторов неоднократно попадали в открытую продажу, в частности, на специализированных рынках.

["Вебпланета", 18.07.2011, "(обновлено) "МегаФон" сдал онлайн-SMS "Яндексу"": Информация о "внешнем администраторе", однако, заслуживает особого внимания. Дело в том, что, по мнению экспертов "Вебпланеты", содержание многих утёкших SMS-сообщений наводит на мысль о том, что они являются поддельными. Вера в человечество заставляет этих экспертов усомниться в том, что кто-либо в здравом уме мог отправить SMS вроде "Яночка, есть секундочка написать.Как же я стал дорожить тобой после вчерашнего!Ты умничка и очень дорогой мне человек!Спокойной ночи!Обнимаю тихо-тихо" или "Уважаемый Александр! Компания "Мегафон" желает Вам Приятного аппетита!", да ещё и через сайт.
Не исключено, что некий "внешний администратор" решил подгадить "МегаФону", скажем, перед увольнением, намеренно раскрыв сервис для "Яндекса" и отправив текстовые сообщения собственного сочинения по произвольным номерам. Впрочем, у этой версии есть и слабые стороны (например, в кеше удалось найти сообщения, отправленные как в начале июня, так и месяцем позже). — Врезка К.ру]

***
Оригинал этого материала
© РИА "Новости", 18.07.2011

Эксперты назвали причины утечки SMS "МегаФона"

[…] Технический директор компании Positive Technologies (разрабатывает решения для обеспечения информационной безопасности) Сергей Гордейчик считает, что к уязвимости привел ряд ошибок сайта "МегаФона", таких, как недостаточно проработанная политика авторизации и отсутствие таймаута (окончания) сессии.

По словам эксперта, в результате поисковый робот "Яндекса" получил доступ к списку идентификаторов страниц, на которых выводился статус отправленных через сайт SMS-сообщений, и проиндексировал их содержимое. По истечении некоторого времени страница статуса отправленного сообщения очищается, но текст сообщения остается в виде сохраненной копии и доступен для поиска.

Кроме того, Гордейчик отметил, что одной из возможных причин попадания сообщений на сайт поиска является использование панели для браузера "Яндекс.Бар".

"При некоторых условиях адреса, которые посещает пользователь, передаются поисковой машине, которые, в свою очередь, индексируются и кэшируются поисковой системой "Яндекс". Это также объясняет тот факт, что в кэше, например, поисковой системы Google, указанной информации не содержится", — сказал Гордейчик.

В "Лаборатории Касперского" также считают причиной инцидента ошибки сайта оператора.

По мнению главного антивирусного эксперта "ЛК" Александра Гостева, речь может идти о трех различных вариантах, один из которых — неправильно сконфигурированный сайт, который позволил поисковым роботам "Яндекса" проиндексировать внутренние страницы.

"Однако не в пользу этого варианта говорит отсутствие подобной информации в поисковой выдаче, например, Google", — отмечает Гостев.

Второй возможной причиной, по мнению Гостева, является использование абонентами, отсылавшими SMS, панели для браузера "Яндекс.Бар". Третья причина могла заключаться в неправильно установленном на сайте "МегаФона" модуле сервиса "Яндекс.Метрика", который используется для измерения посещаемости сайта и анализа поведения пользователей. По мнению Гостева, эта система могла отдать страницы с сообщениями в индексацию поисковой машины.

Директор по маркетингу компании SecurIT Александр Ковалев (занимается разработкой решений для предотвращения утечек информации) также считает, что неправильно настроенная "Яндекс.Метрика" частично могла спровоцировать утечку.

"Яндекс.Метрика" и любой другой счетчик часто собирает с конкретной страницы множество параметров, и она могла спровоцировать неправильную работу защитных систем "МегаФона"", — сказал эксперт РИА Новости. [...]

***
Нажмите мышкой на изображение для увеличения
Compromat.Ru
["НТВ", 18.07.2011: Личные СМС-сообщения с сайта «Мегафон» [...] — Врезка К.ру]

Другие материалы раздела:
Гэбистское прошлое МТС
Садо-мазообрезание МТС
Воровство у абонентов МТС
Серийные победители конкурсов
Сбои МТС в СПб
📁 МТС мутит воду в Киргизии +
📁 Взятки в Узбекистане =>
📁 США vs МТС & Вымпелком =>
МТС запеленговали в Крыму
МТС-Украину слушали из России
Номиналы "МТС Армения"
📁 Схемы СОРМа в МТС =>
Telegram перехватили в МТС
Сексотовые операторы
Сотниковая связь
Уголовное дело ВымпелКома
Кампания против "TeliaSonera"
Атака на "Би Лайн"
📁 Трафик Билайна - в офшор +
"Билайн" прячет свой плагиат
"МегаФон" "слил" SMSки
📁 Чичваркин и "Евросеть" =>
Обыски в Евросети, Dixis и др.
📁 "Связной" +
📁 Арест 300 тонн телефонов +
Система мониторинга SMS
Схемы СМС-мошенничества
Реклама Tele2 не удержалась
Что сохраняют операторы
📁 AT&T продалась АНБ +
"Закладки" в мобильных
Ericsson и взятки ИГИЛ
Наркогонка сына Ибрагимова

Знаком '+' отмечены подразделы,
а '=>' - ссылки между разделами.


Compromat.Ru ® — зарегистрированный товарный знак. Св. №319929. 18+. info@compromat.ru