Продолжение: Яндекс и Мегафон обвиняют друг друг в утечке SMS
Полчаса назад Twitter был взбудоражен ссылкой на поиск в Яндексе. Используя нехитрый язык поискового запроса кто-то сообразительный смог получить доступ к SMS и номерам телефонов абонентов «МегаФона». Речь идет про сообщения, отправленные через интернет-шлюз компании. По всей видимости, из-за некой дыры в системе все эти сообщения индексируются Яндексом.
Все похоже на захватывающий роман — люди ревнуют, ругаются, выясняют отношения, просят купить чай и туалетную бумагу, признаются в любви, просят прощения, скрывают измены, курят и пьют втайне от родителей и так далее. От некоторых сообщений плакать хочется.
Никаких официальных комментариев от «МегаФона» пока не поступало (уже поступило — читайте в конце поста). Как верно заметил один из моих коллег в твиттере, они там наверняка бегом несутся в веб-отдел и звонят в Яндекс. Думаю, скоро все почистят. Конечно, скандал нехилый и дыра в безопасности серьезная. Представляю, как почувствуют себя те люди, которые узнают, что их SMS мог прочитать весь интернет и более того — получить доступ к их номерам мобильных. Это все совсем не смешно.
Я думаю, не стоит издеваться над этими людьми и выкладывать номера их телефонов в сеть, они же не виноваты в том, что попали в Яндекс. Это личная жизнь и личные эмоции. Именно поэтому я цифры замазала.
UPD: Возможная причина фейла называется в новости на Ленте.ру. Источник, знакомый с ситуацией, заявил, что утечка SMS могла произойти из-за установки инструмента «Яндекс.Метрика» на сайт «МегаФона», в том числе и на страницу, через которую осуществляется отправка SMS.
UPD: Спустя 3 часа после того, как история стала публичной, выдача и яндекс-кеш все еще доступны, а от «МегаФона» нет никакого заявления. На мой взгляд, это PR-фейл.
UPD: В 15-35 Яндекс включил фильтрацию — SMS-ки в поиске больше не выдаются. К сожалению, за несколько часов умельцам удалось «пропарсить» результаты поиска и вытащить все SMS и номера телефонов. Так что злоумышленники при желании и сейчас могут все найти.
UPD: Официальная позиция Яндекса по поводу индексации SMS в разделе отправки SMS на сайте МегаФона:
Яндекс индексирует только открытую часть интернета — те страницы, которые доступны при переходе по ссылкам без ввода логина и пароля. Страницы, индексация которых запрещена администратором сайта в файле robots.txt, Яндекс не индексирует, даже если они находятся в открытой части интернета. Это соответствует всем общепринятым нормам и правилам взаимодействия в интернете.
В разделе отправки SMS на сайте МегаФона (www.sendsms.megafon.ru) в момент индексации по какой-то причине отсутствовал файл robots.txt. Насколько нам известно, сейчас администраторы сайта МегаФона уже установили robots.txt и закрыли этот раздел для индексации. В максимально скором времени все страницы этого раздела будут недоступны в результатах поиска Яндекса.
Заявление «МегаФона»:
В процессе взаимодействия сайта оператора и Интернет-сервисов Яндекса произошел технический сбой, в результате которого в поисковую базу Яндекса попало некоторое количество сообщений клиентов, отправленных через сайт «МегаФона». Проблема была локализована техническими специалистами и быстро устранена. Подчеркиваем, что сбой не затронул SMS-сообщения клиентов, отправленные через телефоны и другие мобильные устройства. Для сравнения: проблема коснулась порядка 8000 сообщений, — при этом каждый час через сеть «МегаФона» проходит порядка 2 миллионов SMS-сообщений, и все они надежно защищены.
Обращаем внимание, что информация о содержании SMS-сообщений клиентов не хранится на сайте оператора. Таким образом, несанкционированный доступ к текстам сообщений наших клиентов мог возникнуть через некоторые Интернет-сервисы Яндекса. Ни в какие другие поисковые системы данная информация не попадала.
UPD: Как оказалось, сервис отправки SMS на сайте prm.ru тоже выдает сообщения в общий доступ. Сообщения не выдаются прямо в списке результатов, но текст SMS доступен, если нажать на ссылку «копия». Там засветились номера МТС, оператор уже выступил со следующим заявлением:
Компания МТС не имеет никаких соглашений с www.prm.ru об организации отправки бесплатных смс-сообщений с данного сайта, и не несет ответственность за действия сайта по обеспечению конфиденциальности отправляемой через сайт информации. Обратите внимание, что, в пользовательском соглашении на сайте prm.ru указано, что «Информационно-сервисный портал PRM.RU не несет ответственности за сохранение конфиденциальности и целостности сообщения, за доставку его адресату, а также за возможные убытки или ущерб (прямой или косвенный), которые могут произойти в связи с использованием данной услуги».
МТС не использует открытые и бесплатные «счетчики» для своих сайтов, так как они могут потенциально нести угрозу для информационной безопасности, МТС использует только коммерческие платные системы статистики, что гарантирует полный контроль компании в процессе передачи и анализа информации с сайта и полную конфиденциальность данных. Кроме того, при отправке сообщений через сайт МТС вся информация передается сразу в смс-центр и не сохраняется на сайте оператора. Прочтение смс сторонними лицами после его отправки невозможно. МТС реализует комплекс мер по обеспечению конфиденциальности и сохранности персональных данных, что гарантирует защищенность передаваемой клиентами информации.
(Обратите внимание на последний абзац — «шпилька» в сторону «МегаФона».)
UPD: Тоже интересно — Яндекс проиндексировал приватные фотоальбомы streamphoto.ru.