Вчера случился один из самых крупных скандалов, связанных с российскими операторами связи, — личные SMS абонентов «МегаФона», отправленные через интернет-шлюз, были проиндексированы поисковой системой Яндекс и выдавались в списке результатов поиска и в кеше. Теперь начался черед «выяснения отношений» и поиска виноватых.
Напомню, что еще вчера обе компании сделали заявления по «горячим следам». Яндекс сообщил, что на страницах сайта «МегаФона» не было файла robots.txt, который сообщает поисковому роботу о том, можно или нет индексировать контент со страницы. «МегаФон» в свою очередь высказался более завуалированно. Мол, инцидент произошел в результате сбоя при взаимодействии их с Яндексом, а, значит, как говорится, «оба хороши».
Сегодня днем компания «МегаФон» провела брифинг для журналистов, где рассказала о первых результатах расследования произошедшего. По итогам мероприятия вышел пресс-релиз, в котором новой полезной информации почти нет. Процитирую его здесь:
Компания «МегаФон» проводит служебное расследование по факту распространения на ресурсах «Яндекса» информации об SMS, отправленных с сайта оператора. В компании создана рабочая группа из технических специалистов, юристов и сотрудников службы безопасности. «МегаФон» представляет первые результаты собственного расследования.
Рабочей группой установлено, что в открытом доступе оказалось порядка 8 тысяч объектов. Из них порядка 3 тысяч SMS, отправленных на 2,5 тысячи номеров пользователей сети. Информация, которая стала публичной в «Яндексе», не содержит персональных данных (только номера абонентов-получателей без привязки к их ФИО, а также и тексты сообщений). То есть в открытый доступ попала односторонняя переписка, не позволяющая восстановить диалоги конкретных физических лиц.
На данный момент рассматривается версия технического сбоя, возникшего при взаимодействии сайта «МегаФона» и специальных сервисов «Яндекса», занимающихся сбором и хранением информации о действиях пользователей Интернета. Сбой заключался в том, что не было введено специальное защитное ограничение для сервисов «Яндекса», скачивающих информацию в свою поисковую базу. Особую озабоченность оператора вызывает тот факт, что в данной ситуации компания «Яндекс» не только использовала данные о содержании SMS, но и позволила им попасть в поисковые запросы, что сделало их публичными. При этом действующее законодательство не дает поисковым системам право собирать, хранить и распространять подобную информацию без предварительного письменного согласия пользователей.
Произошедший инцидент наглядно демонстрирует, что защита информации в Интернете – сфера совместной ответственности всех участников Интернет-взаимодействия, имеющих отношение к работе с данными.
Важно отметить, что технологический сбой затронул только относительно небольшую часть SMS-сообщений, отправленных абонентам через сайт оператора в ограниченный период времени. Обмен сообщениями через телефоны и другие мобильные устройства работал и продолжает работать в штатном режиме: через мобильную сеть оператора ежедневно проходит более 40 миллионов SMS-сообщений, и все они надежно защищены специальными программными и аппаратными средствами.
«МегаФон» заинтересован в скорейшем расследовании причин публикации в поиске «Яндекса» SMS-сообщений и готов сотрудничать и давать пояснения по ситуации всем заинтересованным государственным организациям.
Как видите, компания явно пытается переложить часть вины на Яндекс. Мол, вы права не имели SMS публиковать! С другой стороны, надо понимать, что Яндекс — это поисковый робот. Он ходит по ссылкам и индексирует то, что не запрещено для индексации.
Сразу после выхода релиза «Мегафона» Яндекс заявил о своей непричастности к утечке личных SMS. Процитируем заявление компании:
Еще раз можем подтвердить, что страницы с SMS с сайта МегаФона были публично доступны всем поисковым системам. Такое могло произойти из-за возможной ошибки администратора раздела отправки SMS (www.sendsms.megafon.ru), который по какой-то причине не запретил его индексацию в специальном файле robots.txt. В понедельник, во второй половине дня, специалисты МегаФона установили файл www.sendsms.megafon.ru/robots.txt в разделе отправки SMS своего сайта и закрыли его для индексации. В максимально быстрые сроки все страницы этого раздела стали недоступны в результатах поиска Яндекса.
Обращаем особое внимание на то, что URL-ы страниц раздела отправки SMS с сайта www.sendsms.megafon.ru были доступны также в других поисковиках.
Яндекс индексирует только открытую часть интернета — те страницы, которые доступны при переходе по ссылкам без ввода логина и пароля. Страницы, индексация которых запрещена администратором сайта в файле robots.txt, Яндекс не индексирует, даже если они находятся в открытой части интернета. Это соответствует всем общепринятым нормам и правилам взаимодействия в интернете.
Стандарт, регламентирующий работу поисковых систем в интернете, включающий в себя описание файла robots.txt, был принят еще в 1994 году. Исходя из этих правил работают все поисковые системы, они также хорошо известны администраторам большинства интернет-ресурсов. Вся информация, не запрещенная к индексации администратором сайта в файле robots.txt, доступна роботам поисковых систем. Никакой поисковый робот не может оценить соответствие содержания страниц законодательным нормам. И ответственность за размещение информации в открытом доступе лежит на том, кто её разместил или не защитил должным образом.
Особо хотим отметить, что никакие сервисы Яндекса не виноваты в утечке данных с сайта МегаФона. Ни Яндекс.Бар, ни Яндекс.Метрика не скачивают содержимое веб-страниц. Если страница закрыта для индексации в файле robots.txt или защищена логином и паролем, то она недоступна и поисковым роботам, то есть информация, размещенная на ней, никогда не окажется в какой-либо поисковой системе.
За сегодняшний день специалисты МегаФона не обращались в Яндекс за дополнительной информацией. Мы открыты к сотрудничеству и готовы присоединиться к внутреннему расследованию МегаФона по факту «технического сбоя» на сайте оператора.
Рекомендуем администраторам сайта МегаФона и веб-мастерам других сайтов изучить информацию о файле robots.txt и его корректном использовании.
Напомню, что в утечке личных сообщений обвиняли также плагины «Яндекс.Бар» и сервис «Яндекс.Метрика», которые позволяют поисковику быстрее узнать о новых страницах на сайтах. В любом случае основная вина очевидно лежит на «МегаФоне».
Для желающих лучше разобраться в проблеме рекомендую статью FAQ по утечке текстов SMS с сайта «Мегафона» с ресурса Хабрахабр.
В заключение отмечу, что вчерашний инцидент уже привлек внимание Роскомнадзора, Следственного комитета РФ и Союза потребителей России. В «МегаФоне» пока не говорят, будет ли компенсирован какой-либо ущерб абонентам, чьи сообщения читает весь интернет. По словам представителей компании, к ним поступило уже 50 обращений от пострадавших в результате утечки данных. Решение о компенсации будет принято по окончанию расследования.
Я буду следить за развитием ситуации. Очень интересно будет послушать Radio-T в следующую субботу. Бобук обещал позвать специалиста по безопасности из Яндекса и подробно рассказать о случившемся.
Этот материал я изначально опубликовала на PCWorld.ru, здесь он в чуть измененном виде.