Личные Sms абонентов «МегаФона» выложили в интернете

[MarfyIIIa]

Сообщения, отправленные с официального сайта мобильного оператора, появились в «Яндексе»

 

Сегодня, 18 июля, в России разгорелся скандал с обнародованием SMS абонентов «МегаФона». В поисковой системе «Яндекс» стали доступны тексты сообщений, отправленные абонентами с официального сайта «МегаФона». Таким образом, личная, а иногда и интимная переписка стала достоянием общественности.

 

Проведя проверку, специалисты «Яндекса» пришли к выводу, что утечка текстов SMS-сообщений произошла по вине сайта «МегаФона».

 

В компании пояснили, что «Яндекс» индексирует только открытую часть Интернета — те страницы, которые доступны при переходе по ссылкам без ввода логина и пароля. В разделе отправки SMS на сайте «МегаФона» (www.sendsms.megafon.ru) в момент индексации ссылка была общедоступна. Сейчас эту ошибку исправили. В пресс-службе «МегаФона» сообщили, что обстоятельства случившегося выясняет техническая служба.

 

Между тем, глава Следственного комитета Александр Бастрыкин поручил провести проверку обстоятельств произошедшего. По её итогам будет решаться вопрос о возбуждении уголовного дела.

http://news.moe-online.ru/view/231436.html

[Nenormalniy]

Это еще считается новостью?

[sailor_m8n]

во всей это истории непонятен один момент.

для чего мегафон накапливает все смс-сообщения прошедшие через его сайт в "некоторую" базу данных?

[Толстый тролль]

sailor_m8n

 

очевидно же

 

МЫ ВСЕ ПОД КОЛПАКОМ - разговоры(абсолютно) пишут все операторы, на срок до 5 лет, и смс они хранят

 

для нашей любимой крававай гэбни. ГЭБНЯ, поцелуй мой зад

[sailor_m8n]

МЫ ВСЕ ПОД КОЛПАКОМ

походу ты прав

[Himeras]

походу ты прав wink.gif

походу это он глупость сморозил. базу отправленных смсок опсосы хранят на внутренних ресурсах системы. так зачем им понадобилось дублировать в отдельной базе смски, отправленные с сайта? это ж глупость.

[Простой Обыватель]

«Мегафон» возлагает вину за появление в открытом доступе sms-сообщений, отправленных с сайта оператора, и номеров получателей на «Яндекс», заявил на пресс-брифинге первый заместитель гендиректора «Мегафона» Валерий Ермаков.

 

Ранее представитель «Яндекса» объяснял инцидент тем, что в разделе отправки sms на сайте «Мегафона» отсутствовал файл robots.txt, который устанавливает параметры индексации веб-страниц, в том числе запрет на включение определенных страниц в поиск.

 

Однако, по словам Ермакова, файл robots.txt на сайте «Мегафона» существует: «Остается вопросом, почему информация попала только в «Яндекс». По одной из версий «Мегафона», это произошло из-за того, что у пользователей, которые отправляли sms с сайта компании, было установлено браузерное дополнение «Яндекс.Бар», которое считывало информацию и отправляло на сервер «Яндекса».

 

В свою очередь «Яндекс» настаивает на том, что причиной утечки стало отсутствия запрета индексации. «Еще раз можем подтвердить, что страницы с SMS с сайта “МегаФона” были публично доступны как “Яндексу”, так и другим поисковым системам. Такое могло произойти из-за возможной ошибки администраторов сайта оператора, которые по какой-то причине не запретили индексацию раздела отправки SMS в специальном файле robots.txt. Яндекс индексирует любую публично доступную информацию и только ее», — цитирует «Интерфакс» заявление пресс-службы компании.

 

По словам представителей «Яндекса», файл robots.txt в разделе отправки SMS был установлен в раздел «Отправка SMS» сайта «МегаФона» лишь во второй половине дня в понедельник, после чего он был закрыт для индексации.

 

 

 

Читайте далее: http://www.vedomosti.ru/companies/news/132...a#ixzz1SchCU2PR

 

 

Лично я практически ничего не поняла из этой статьи, но, думаю, вы разберетесь что к чему!

[Watashi]

так зачем им понадобилось дублировать в отдельной базе смски, отправленные с сайта? это ж глупость.

чтобы отображать их по запросу, вестимо)

Позавчера, когда мега еще не поняла всю эпичность своего фейла и не закрыла сервис отсылки онлайн-смс, я зашел на сайт и попробовал отправить смску. Фишка в том, что после отправки тебе выдается ссылка "Проверить статус", которая действует, как мне думается, какое-то продолжительное время. И там, помимо самого статуса (доставлено, отправлено и т.д.) и номера получателя, был полный текст смски

Страница была доступна по адресу вида http://сенд-чего-то-там-мегавонь/блаблабла/некий-уникальный-аля-хэш/

Очевидно, что раз такая страница доступна из веба - то она видна поисковым роботам. Единственное - что ссылок на нее с других страниц сайта нет, роботам она не видна - но проблемы у меги начались после установки Я.Метрики, которая, помимо основной работы, видимо и помещает страницу в индекс поиска. Типа - ускорение индексирования ресурса. При этом роботс.тхт был либо пустой, либо отсутствовал - я его открывал сразу после начала скандала, там было пусто. Позже уже там появились запреты на индексирование раздела с онлайн-смс.

 

Истина в том, что мега лажанулась просто эпически. Понабрав быдлокодеров и быдлосеошников, наверняка не из-за отсутствия средств, а из банального желания сэкономить - нарвалась на результат.

 

З.Ы.: вообще, давать доступ к персональным данным без авторизации, а лишь по какому-то якобы-секретному-почти-уникальному-почти-без-коллизий-идентификатору - иначе как кривомозгостью и полнейшим непрофессионализмом не назовешь.

[Preslilvs]

Истина в том, что мега лажанулась просто эпически. Понабрав быдлокодеров и быдлосеошников, наверняка не из-за отсутствия средств, а из банального желания сэкономить - нарвалась на результат.

 

Сто пудово

[Wanrell]

не зря Билл Гейтс боится компов, считая, что они за ним наблюдают...

[Himeras]

но при этом стрелки лепят классически:

«МегаФон» информирует о первых результатах расследования ситуации с размещением данных об SMS в Интернет-поиске «Яндекса»

11:34 20 Июля 2011

Компания «МегаФон» проводит служебное расследование по факту распространения на ресурсах «Яндекса» информации об SMS, отправленных с сайта оператора. В компании создана рабочая группа из технических специалистов, юристов и сотрудников службы безопасности. «МегаФон» представляет первые результаты собственного расследования.

Рабочей группой установлено, что в открытом доступе оказалось порядка 8 тысяч объектов. Из них порядка 3 тысяч SMS, отправленных на 2,5 тысячи номеров пользователей сети. Информация, которая стала публичной в «Яндексе», не содержит персональных данных (только номера абонентов-получателей без привязки к их ФИО, а также и тексты сообщений). То есть в открытый доступ попала односторонняя переписка, не позволяющая восстановить диалоги конкретных физических лиц.

На данный момент рассматривается версия технического сбоя, возникшего при взаимодействии сайта «МегаФона» и специальных сервисов «Яндекса», занимающихся сбором и хранением информации о действиях пользователей Интернета. Сбой заключался в том, что не было введено специальное защитное ограничение для сервисов «Яндекса», скачивающих информацию в свою поисковую базу. Особую озабоченность оператора вызывает тот факт, что в данной ситуации компания «Яндекс» не только использовала данные о содержании SMS, но и позволила им попасть в поисковые запросы, что сделало их публичными. При этом действующее законодательство не дает поисковым системам право собирать, хранить и распространять подобную информацию без предварительного письменного согласия пользователей.

Произошедший инцидент наглядно демонстрирует, что защита информации в Интернете – сфера совместной ответственности всех участников Интернет-взаимодействия, имеющих отношение к работе с данными.

Важно отметить, что технологический сбой затронул только относительно небольшую часть SMS-сообщений, отправленных абонентам через сайт оператора в ограниченный период времени. Обмен сообщениями через телефоны и другие мобильные устройства работал и продолжает работать в штатном режиме: через мобильную сеть оператора ежедневно проходит более 40 миллионов SMS-сообщений, и все они надежно защищены специальными программными и аппаратными средствами.

«МегаФон» заинтересован в скорейшем расследовании причин публикации в поиске «Яндекса» SMS-сообщений и готов сотрудничать и давать пояснения по ситуации всем заинтересованным государственным организациям.

РИА АВЕРС © 1999 - 2011 г. При полном или частичном использовании материалов ссылка на РИА "Аверс" обязательна

по выделенному: ну это уже вообще охренеть, так внаглую свою вину перекладывать. робот индексирует всё, что ему попадётся, не выискивая спецом персональных данных. ситуация ведь элементарная, и называется она "просрали". ибо за сохранность персоданных отвечает тот, кто собирал данные - то есть опсос.

[Dimradio]

Ранее представитель «Яндекса» объяснял инцидент тем, что в разделе отправки sms на сайте «Мегафона» отсутствовал файл robots.txt, который устанавливает параметры индексации веб-страниц, в том числе запрет на включение определенных страниц в поиск.

Что-то я непойму при чём тут этот файл. У них всё открытым кодом там храниться? Думаю должна быть некая база, пусть и гдето продублированная. А доступ к ней должен быть ограничен другими средствами.

[Watashi]

У них всё открытым кодом там храниться?

я же писал выше

Страница была доступна по адресу вида http://сенд-чего-то-там-мегавонь/блаблабла/некий-уникальный-аля-хэш/

Очевидно, что раз такая страница доступна из веба - то она видна поисковым роботам.

[Himeras]

и получается, что поисковые роботы только вскрыли суть проблемы: любой желающий мог вручную просматривать тексты смс

[jnc]

Нет, это не так. Для просмотра нужен был уникальный идентификатор страницы, который генерировался после отправки смс. Не зная его, ничего просматривать нельзя было. Любой желающий их просматривать не мог.

[Himeras]

типа, его нельзя было писать от балды, по аналогии?

[S10]

типа, его нельзя было писать от балды, по аналогии?

Вручную практически бесполезно, только перебором.

[Himeras]

ну то есть, имея собственного "узко заточенного" робота - вполне можно?

[jnc]

Нет, это невозможно.

[Slifi]

http://safe.cnews.ru/news/top/index.shtml?2011/07/18/447845

Кстати я вчера слил текстовик с сотней смсочег)))))))))

[Dimradio]

Slifi Тех кто сливает тоже вычислять будут. Зачем он тебе?

[Простой Обыватель]

26.07.2011 02:07 : Новая крупная утечка в интернет персональных данных.

 

Новая крупная утечка в интернет персональных данных. В российской поисковой системе "Яндекс" в публичном доступе оказались фамилии и контактная информация клиентов различных интернет-магазинов, в том числе и интим. При наборе определенного кодового запроса поисковик выдает несколько десятков страниц ссылок на информацию о заказах в различных магазинах. Пройдя по ссылкам, можно получить имена покупателей, их IP-адреса, контактные данные и сведения о покупках – среди которых книги, парфюмерия, одежда и интимные товары. Причиной такого сбоя, вероятно, стали некорректно составленные записи в файлах, запрещающих индексацию поисковым системам.

На прошлой неделе "Яндекс" оказался в эпицентре скандала с смс-сообщениями сотового оператора "Мегафон". Стало известно, что "Яндекс" проиндексировал тексты смс, отправленных с сайта "Мегафона". Поисковик обвинил в небрежности сотового оператора, "Мегафон" в свою очередь выдвинул встречные обвинения.

http://echo.msk.ru/news/796477-echo.html

[BMR]

http://safe.cnews.ru/news/top/index.shtml?2011/07/18/447845

Кстати я вчера слил текстовик с сотней смсочег)))))))))

куда слил? делись ссылками

[Простой Обыватель]

"Личные данные о пассажирах РЖД попали в Интернет!"

 

(Кто следующий? )

 

"В поисковых системах "Яндекс" и Google обнаружились личные данные пассажиров РЖД, покупавших билеты через Интернет.

 

Если набрать в поисковой системе url:www.railwayticket.ru* | url:railwayticket.ru*, можно выяснить, куда и когда едет пассажир, сколько он заплатил за билет, а также увидеть часть цифр его паспорта.

 

При этом попасть напрямую на страницу "Бланк электронного билета" невозможно, однако в кэше она открывается без малейших проблем.

 

Пресс-секретарь РЖД Дмитрий Перцев, комментируя произошедшее в разговоре с корреспондентом РБК, заявил, что компания, занимавшаяся продажей билетов, не имеет отношения к ОАО "РЖД".

 

Стоит отметить, что за последние две недели к "Яндексу" появилось много претензий со стороны пользователей. Сначала там нашлись личные SMS, которые индексировались с сайта компании "МегаФон". Потом в общем доступе оказалась информация о клиентах десятков интернет-магазинов: их фамилии, контактные данные, IP-адреса и списки приобретаемых товаров. В частности, на всеобщее обозрение попали покупки, сделанные в секс-шопах.

 

В связи с последними событиями пресс-секретарь компании "Яндекс" Очир Манджиков призвал владельцев всех сайтов проверить корректность работы файла robots.txt, который защищает информацию от индексирования поисковиками.

 

По его словам, в момент индексации на сайте RailwayTicket.ru был файл robots.txt, но он не запрещал индексирование того раздела, данные из которого и попали в поисковые базы. На данный момент администратор сайта запретил индексацию этого раздела в файле robots.txt

 

Читать полностью: http://top.rbc.ru/society/26/07/2011/607425.shtml

[Простой Обыватель]

А вот и следующие! Недолго пришлось ждать!

 

"В интернет попали секретные документы порталов ФАС, ФМС и Счетной палаты.

Очередной "вброс" документов государственной важности произошел в кэше поисковика Google.

 

27 июля в открытом доступе оказались документы таких ведомств, как Федеральная антимонопольная служба, Федеральная миграционная служба, Счетная палата, Минэкономразвития, Главное управление специальных программ президента России, Высшая аттестационная комиссия Минобрнауки России, портал госзакупок, а также документы региональных отделений органов государственной власти.

 

Непонятно, каким образом служебные бумаги в электронном виде оказались доступны, но взглянуть на документы можно, набрав в поисковике запрос "для служебного пользования" или " секретно".

 

Google в ответ выдает несколько документов под грифом "секретно" с портала "Сервер органов государственной власти" GOV.RU и GOV.UA, уточняет РСН.

 

При этом возлагать вину на поисковик нет оснований, ведь механизм просто выдает имеющиеся в интернете страницы. Другими словами, отражает, как зеркало, в зависимости от того, кто в него посмотрел.

 

Вполне может быть, что всему виной злосчастный файл "robots.txt", который не запрещает доступ поисковому роботу к закрытым разделам сайта, поэтому появление данных документов в поисковой выдаче вполне очевидно.

 

Поисковик "Яндекс", чтобы избежать подобных казусов, рекомендовал создавать и прописывать директивы в "robots.txt". Но, видимо, не все занимаются таким ювелирным конструированием сайта, надеясь на хорошую защиту своего портала.

 

Это уже не первый подобный интернет-скандал. Накануне стало известно, что в поисковики попали данные водителей, имеющих страховку от компании «РЕСО Гарантия». В Интернете оказалась информация о ДТП, регистрационные данные автомобилей, паспортные данные автовладельцев."

 

http://kp.ru/online/news/942304/

 

 

Я что-то никак не пойму: ни в одной из "пострадавших" контор нет в штате специалиста по защите информации?