Война между Мегафоном и Яндекс


Утечка была обнаружена в первой половине дня в понедельник, 18 июля (хотя, вероятно, продолжалась уже некоторое время), и в 13.40 московского времени в «Яндекс» было направлено сообщение с просьбой удалить информацию из поисковой выдачи. В 16.00 сервис по отправке SMS с сайта «Мегафона» (sendsms.megafon.ru) был закрыт для пользователей, но тексты с номерами телефонов оставались доступны в поисковике до 19.30. В открытом доступе, по данным самого «Мегафона», оказалось 8 тысяч «объектов», 3 тысячи из которых – короткие сообщения. По статистике, ежедневно абоненты «Мегафона» отправляют 40 миллионов SMS, из них 135 тысяч – через сервис на сайте компании.

Речь идет об утечке не просто личной, а скорее даже интимной информации. «Яндекс» отреагировал первым, сообщив, что на сайте отсутствовал специальный файл robots.txt, который указывает поисковикам, какие страницы сайта можно и нужно направлять в поисковую выдачу, а какие следует скрыть от публичного доступа. «Мегафон» подтвердил эту информацию, однако это не объясняет одного нюанса: утечка произошла лишь через «Яндекс», другие поисковики (Google, Bing) в этом не замешаны. Потому дело явно сложнее, чем просто «детская» ошибка программистов, забывших установить запреты.



Во  вторник первый заместитель гендиректора «Мегафона» Валерий Ермаков воспользовался фактом отсутствия утечки в остальных поисковиках, и попытался перевести стрелки на «Яндекс». Он заявил на спешно созванном брифинге, что пресловутый robots.txt на сайте все-таки был, а «Яндекс» сознательно «позволил именно эту информацию, которую он забирал, публично разместить на своих поисковых серверах». Ермаков вспомнил даже положение закона, согласно которому оператор персональных данных обязан запросить разрешения клиента на публикацию, и по его мнению, это должен был сделать именно «Яндекс», в поисковой выдаче которого «засветились» сообщения (что, естественно, на практике нереализуемо). С другой стороны, Ермаков отрицает, что данные относятся к персональным - в них отсутствуют полные имена-отчества-фамилии, которые позволили бы идентифицировать отправителя.

Юристы  еще квалифицируют этот случай, а  пока интересно разобраться –  так кто же виноват? Специалисты склоняются к тому, что произошедшее – «косяк» со стороны именно «Мегафона». По моей просьбе, специально для читателей «Новой», ситуацию разбирает Дмитрий Леонов, создатель и редактор информационного сайта для профессионалов-системщиков BugTraq.Ru:

«Ситуация ведь вполне очевидная, для утечки потребовалось несчастливое совпадение нескольких неудачных решений. Насколько можно судить по результатам, после отправки SMS через сайт «Мегафона» генерировалась страница подтверждения доставки со случайным адресом, на которую перенаправлялся пользователь. Страницу эту не стали никак защищать, поскольку это потребовало бы предварительной регистрации -понадеялись на то, что длинный адрес и краткий срок жизни страницы обеспечат достаточную защиту от посторонних. Если бы страницам с подтверждениями не выделялись уникальные адреса (видимо, для упрощения проверки статуса не сразу доставленных SMS), проблема бы вообще не возникла.

Но  сама по себе незащищенная страница еще недостаточна для массовой утечки, никакой поисковик не будет заниматься перебором 16-значных случайных адресов. Пока есть две основные версии того, как поисковый робот Яндекса вышел на эти страницы: использование пользователями расширения для браузеров Яндекс.Бар, либо установленная на сайте «Мегафона» статистическая служба Яндекс.Метрика - в обоих случаях страница поступала в очередь поискового робота. С полной уверенностью утверждать могут, наверное, только специалисты самого «Мегафона» либо «Яндекса», но лично мне более вероятной кажется версия с Яндекс.Метрикой - хотя бы потому, что другие поисковые серверы не были замечены в подобной утечке, в то время как и у Google, и у Bing есть аналогичные «бары» для браузеров. Но даже и в этом случае проблем можно было бы избежать, задав ограничения в стандартном файле robots.txt. В оправдания "а файл все-таки был" не особо верится - насколько я помню обсуждения, появился он в районе трех часов дня, когда все, что могло, уже утекло.

Итого, с технической  точки зрения мы имеем 2 стопроцентных косяка со стороны «Мегафона», один условный и еще один весьма вероятный. Со стороны «Яндекса» же наблюдается честное исполнение своей работы по индексированию информации, находящейся в публичном доступе».

Ситуацией немедленно заинтересовался Роскомнадзор. В случае, если вина «Мегафона» будет доказана, ему грозит немаленький штаф - до 40 тысяч рублей за каждого из недовольных. А их официально к утру среды набралось уже около 50 абонентов, и это число, несомненно, будет увеличиваться.

Интересно, что практически одновременно произошел аналогичный скандал в Перми, где в понедельник же стало известно об утечке текстов SMS, отправленных через сервис регионального портала prm.ru. Как сообщает информационный сайт Life News, в этом случае утечка коснулась всех четырех местных сотовых операторов - МТС, «Билайн», «Мегафон» и U-tel. Операторы немедленно открестились от скандала, например, МТС заявил, что никаких соглашений с «засветившимся» сайтом не имеет.

Программисты, будьте бдительны!





Наш Instagram - @oppps_verrdi для улыбок





Комментарии:



Поиск по сайту
Архивы
© 2017   ОПТИМИСТ   //  Вверх   //