Крупнейшая утечка конфиденциальной информации через поисковые системы

Йцукен · №1

http://www.ntv.ru/novosti/233687/

Сегодня утром более 8 тысяч СМС-сообщений, отправленных с сайта оператора, оказались доступны для чтения через поисковую систему «Яндекс». Позже обнаружилось, что сообщения можно найти и в Google. [...] Таким образом личная (и не всегда приличная) переписка абонентов «Мегафона» с указанием их номеров оказалась выставлена на обзор всего Рунета.

Это была цитата, а ещё добавлю, что «крайне незначительная часть SMS», отправленных через интернет-форму, - это на самом деле сотни тысяч, если не миллионы сообщений.

http://www.fontanka.ru/2011/07/18/133/

«Мегафон» ссылается на технический сбой, но уверяет — все исправлено, и тайна переписки восстановлена. «Яндекс» говорит о вине сотового оператора.
Информация о неожиданной находке в поисковой системе разлетелась через соцсети и микроблоги буквально моментально. В итоге почти целый день 18 июля каждый, кто с детства, пристыженный взрослыми, боялся, но очень хотел читать чужие письма, смог удовлетворить свой интерес, читая смс-сообщения, отправленные с сайта «Мегафона». Через некоторое время узнали об этом и в самой компании, так что канал доступа к приватной переписке, к счастью тех, кто оказался жертвой ситуации, был закрыт.
Официально произошедшее «Мегафон» прокомментировал уже ближе к вечеру: «На сайте оператора произошел технический сбой, связанный с работой внешнего администратора сайта. Технические специалисты «Мегафона», обнаружив сбой на сайте, незамедлительно его устранили», - так выглядит успокаивающее клиентов сообщение пресс-службы. Тут же компания отметила, что рассекречивание коснулось «крайне незначительной части SMS», и только тех, что были отправлены через интернет-форму, но никак не в переписке с телефона или других мобильных устройств.
Действительно, то, что оказалось в открытом доступе, датируется 7-13 июля этого года. Однако и этого достаточно, чтобы те, кто может найти в прочитанном не только повод лишний раз посмеяться над познаниями соотечественников в родном языке и уровнем обсуждаемых ими тем, но и источник для незаконных действий, получили исчерпывающий набор сведений.
В пресс-службе представительства «Мегафона» на Северо-Западе «Фонтанке» уточнили, что клиенты могут обращаться с соответствующими жалобами, и все они будут рассматриваться в индивидуальном порядке.
Объяснение технического аспекта ситуации дал и «Яндекс», в чьем поисковике легко находилось искомое. «В разделе отправки SMS на сайте «Мегафона» в момент индексации по какой-то причине отсутствовал файл robots.txt, указывающий на запрет индексации данных страниц администратором сайта. Насколько нам известно, сейчас администраторы сайта «Мегафона» уже установили robots.txt и закрыли этот раздел для индексации. В максимально скором времени все страницы этого раздела будут недоступны в результатах поиска «Яндекса», - заявили в компании.

«Известия» сообщают, что были проиндексированы сообщения пользователей столичного «МегаФона», а также абонентов МТС, «Билайна», «МегаФона» и Utel, отправленные через пермский портал prm.ru (хотя скорее имеются в виду сообщения _для_ абонентов МТС, «Билайна», «МегаФона» и Utel, поскольку отправить сообщение через веб-форму может каждый, кто имеет доступ к интернету).

http://www.dp.ru/a/2011/07/18/Sledstven … itet_vijas

Следственный комитет РФ проверит, каким образом текстовые сообщения, отправленные с сайта компании "Мегафон" ее абонентам, попали в открытый доступ.
Как заявил представитель СК РФ Владимир Маркин, соответствующее поручение дал подчиненным глава комитета Александр Бастрыкин, сообщает РИА Новости.
По итогам проверки будет решаться вопрос о возбуждении уголовного дела. О намерении подать иск к компании "Мегафон" также заявили представители Союза потребителей[/url] России.
Если Союз потребителей выиграет иск в защиту неопределенного круга потребителей, то все абоненты, пострадавшие от утечки данных, смогут потребовать возмещения морального вреда или иных убытков через районный суд.

Сейчас

МегаФон→ Отправить SMS сообщение пишет

Сервис на реконструкции

Отредактировано Йцукен (28-07-2011 00:02:39)

RusDS · №2

Операторы почуяли потерю прибыли от нетленного и вместе тем грабительски-устаревшего смсинга?
Смелый наглый скрытый пеар?
..
Что сенсационного может быть в 165 глупых символах?
СМС своеобразный культ. Но доверять ему, тем более через web, кторый уже не раз на протяжении веков себя дискриминировал и тем более что то серьезное в здравом уме рискованно.
Очередная сенсации для офф-лайн, о событиях в он-лайн.

Добавлено 18-07-2011 21:30:00
Хм, а яндекс очистил и перезагрузил свои кэши по данному сабжу.
Добровольно? С чего бы это?

Отредактировано RusDS (18-07-2011 21:30:00)

igorsub · №3

В сети уже не только по Мегафону, но и по другим операторам и службам прошлись (DHL, EMS, пермский оператор связи). Все так же прекрасно кэшируется. Ну что поделаешь, если у админов этих ресурсов руки не оттуда растут.

RusDS пишет

Хм, а яндекс очистил и перезагрузил свои кэши по данному сабжу.
Добровольно? С чего бы это?

В смысле с чего бы это? В сеть попали конфиденциальные данные. Как только утечка была обнаружена, ее устранили.

Йцукен · №4

RusDS

RusDS пишет

Смелый наглый скрытый пеар?

RusDS пишет

Хм, а яндекс очистил и перезагрузил свои кэши по данному сабжу.
Добровольно? С чего бы это?

Вы в курсе, что за разглашение личной переписки хотя бы одного человека и одному человеку (то есть сотрудник компании-оператора дал своему другу прочитать СМСки одной девушки) дают реальный срок? Поэтому не думаю, что PR.

RusDS пишет

СМС своеобразный культ.

Старая шутка: "они СМСками не балуются, они в чатах сидят". Догадайтесь, какие слова тут надо поменять, чтобы фраза относилась к нам.
А SMS я использую тогда, когда или надо передать немного именно текстовой информации (например, аббевиатуру или английское название товара, которое не каждый может правильно произнести и понять), или когда разговаривать не хочется (позвонишь - слово за слово будет сравнительно долгий разговор, а по СМС в таком случае получится меньше). Электронной почтой и другими компьютерными штучками пользуются не все, да и не всегда под рукой.

RusDS пишет

Но доверять ему, тем более через web, кторый уже не раз на протяжении веков себя дискриминировал и тем более что то серьезное в здравом уме рискованно.

А вот с этим согласен. Надо ещё учитывать, что SMS и электронная почта позволяют указать любой адрес отправителя вместо своего настоящего телефона или почтового ящика.

web, кторый уже не раз на протяжении веков

Добавлено 19-07-2011 08:03:02
igorsub
О том, что у вебмастеров Мегафона не руки кривые, а извилины слишком прямые (или лень их применять), я давно знал, но не думал, что настолько!

Добавлено 19-07-2011 08:21:19

igorsub пишет

DHL, EMS

=========
http://www.vladtime.ru/2011/07/19/megaf … -shou.html

После разразившегося скандала схожие проблемы были обнаружены и на других ресурсах. В частности, оказалось, что служба экспресс-доставки EMS «Почты России» почему-то отдает «Яндексу» данные по посылкам с указанием фамилии и адреса получателя.

=========
http://www.metronews.ru/novosti/v-jande … MSZtJkdog/

В комментариях к записи блогера [Антона Носика] один из пользователей Сети указал, что «филиал ФГУП «Почта России» под названием EMS Russian Post (услуги экспресс-доставки) зачем-то отдаёт Яндексу страницы с трекингом посылок, причём делает это практически в реальном времени».

=========
А DHL что? Немцы за русскими админами не уследили?

Отредактировано Йцукен (19-07-2011 08:22:06)

=Agasfer= · №5

Не успели утихнуть страсти по утечке в открытый доступ SMS с сайта «Мегафона» через кэш Яндекса, как обнаружилось, что в кэш поисковика попали так же закрытые фотоальбомы с сайта streamphoto.ru

http://habrahabr.ru/blogs/infosecurity/124432/

igorsub · №6

Йцукен пишет

А DHL что?

То, что данные тоже кэшируются. И их можно найти через поиск.

Йцукен · №7

=Agasfer=
Опять же сервис МТСовский. Наводит на мысль, что, кроме сотовых, больше просто почти никого не проверили. Потому что я знаю и о том, чего нигде не читал...

Добавлено 19-07-2011 21:23:04

chainik на http://habrahabr пишет

А вывод же таков, что если хочешь оставить какую-то информацию в тайне — не сливай ее в сеть в открытом виде.

И в закрытом тоже...

Отредактировано Йцукен (19-07-2011 21:23:04)

igorsub · №8

Йцукен пишет

Потому что я знаю и о том, чего нигде не читал...

Ну-ка, ну-ка.

Йцукен · №9

igorsub
Да уже писал о том, не хочется повторять. Фича одного известнейшего сайта, позволяющая, по крайней мере, при настройках "по умолчанию" видеть то, что в закрытых альбомах. Думаю, что на самом деле многие знают, так как там очень явно всё.

Йцукен · №10

РИА Новости. 19:26 19/07/2011. Утечка SMS абонентов "МегаФона": поиск виноватых продолжается
По ссылке - хронология событий.

В открытом доступе, по данным "МегаФона", оказалось 8 тысяч "объектов", 3 тысячи из которых - сообщения.

3000? Сколько нулей они "забыли" дописать? Даже когда баг уже закрывали, по запросу с одним не самым частым словом Яндекс выдал _не_меньше_ десяти страниц результатов, причём - точные и многократные совпадения...

При этом ежедневно абоненты "МегаФона" отправляют 40 миллионов SMS, из них 135 тысяч - с сайта компании.

Это похоже на правду, с учётом того, что утечка шла как минимум несколько дней.

в "МегаФоне" уверены, что не нарушили закон "О персональных данных", поскольку в сеть не попали имена, фамилии, отчества, паспортные данные и другие сведения абонентов.

В чём уверены? В том, что никто из тысяч (если не миллионов) не отправил в сообщении ничего из перечиленного? :-)

igorsub · №11

Йцукен пишет

поиск виноватых продолжается

Ну однозначно виноват «Мегафон». Его админы напортачили. А вот наезды на «Яндекс», о которых я слышал, — вообще клоунада. Поисковый робот-то причем?

Йцукен пишет

в "МегаФоне" уверены, что не нарушили закон "О персональных данных"

Вот только сегодня слышал комментарий Барщевского, что нарушили. Да это и так понятно, так как в сеть как минимум попали номера телефонов.

Добавлено 20-07-2011 01:58:25
Ну вот же.

Первым на утечку информации и публикацию ее в своей поисковой выдаче отреагировал поисковик "Яндекс". Специалисты компании сообщили, что поисковый робот индексирует только открытую информацию, уточнив, что тексты SMS и номера получателей не были защищены файлом robots.txt.

"МегаФон" подтвердил информацию, что на самом деле утечка данных произошла из-за ошибки на сайте. Какого рода была ошибка, в компании не уточнили.

Проблема такая бородата и в свитере.

Он отметил, что номера и тексты сообщений появились только в поисковой выдаче "Яндекса".

Ну что же поделаешь, если поисковый механизм «Яндекса» более прозорливый.

Отредактировано igorsub (20-07-2011 01:58:25)

=Agasfer= · №12

Сотовый оператор Мегафон считает, что к обнародованию в интернете личных СМС, отправленных через веб-интерфейс на номера Мегафона, может быть причастен поисковик Яндекс.
В то же время, представители компании Яндекс настаивают, что причиной раскрытия в интернете СМС сообщений стало возможно из-за отсутствия запрета индексации.
По словам первого замгендиректора Мегафона Валерия Ермакова, после отправки СМС через сайт компании создается временная служебная страница с текстом сообщения и номером его получателя. Копии этих страниц по какой-то причине попали в выдачу Яндекса.
Оператор предполагает, что отправлять копии страниц на сервер Яндекса могло дополнение Яндекс.Бар. Оно представляет собой панель инструментов для браузера для быстрого доступа к сервисам Яндекса и устанавливается по желанию пользователя.
Ермаков также отметил, что файл robots.txt, в котором прописываются инструкции для поисковых роботов, на сайте Мегафона имеется и "работает со всеми ресурсами". Информация об SMS попала только в выдачу Яндекса, добавил он.

Российский поисковик, в свою очередь, заявил, что "еще раз можем подтвердить, что страницы с СМС с сайта МегаФона были публично доступны как Яндексу, так и другим поисковым системам (к заявлению прилагаются скриншоты "выдачи" поисковиков Bing и Google, - ред.)".
"Такое могло произойти из-за возможной ошибки администраторов сайта оператора, которые по какой-то причине не запретили индексацию раздела отправки СМС в специальном файле robots.txt. Яндекс индексирует любую публично доступную информацию и только ее", - говорится в заявлении Яндекса.
По словам представителей посиковика, файл robots.txt в разделе отправки СМС был установлен в раздел Отправка SMS сайта МегаФона лишь во второй половине дня в понедельник, после чего он был закрыт для индексации. "В максимально быстрые сроки все страницы этого раздела стали недоступны в результатах поиска Яндекса", - подчеркивается в сообщении пресс-службы.

Мегафон пытается делать хорошую мину при плохой игре. Ну-ну. Впрочем, если это поможет похоронить глючный тыкдексбар, или хотя бы довести его до вменяемого состояния, то я на стороне Мегафона.

igorsub · №13

=Agasfer= пишет

Впрочем, если это поможет похоронить глючный тыкдексбар, или хотя бы довести его до вменяемого состояния, то я на стороне Мегафона.

Ой-ой-ой, кто-то переходит на темную строну силы. «Мегафон» — неимоверно ушлая компания, которая всеми правдами неправдами пытается вытянуть из абонентов денюжки (сталкивался с этим постоянно) и которая очень сильно напортачила.

=Agasfer= · №14

igorsub
Я ж пошутил.
Сам я с мегафоном не сталкивался, пользуюсь услугами яйца, но, зная не по наслышке, как имеет своих клиентов мтс, предполагаю, что большой разницы между ними нет. Впрочем, и тындекс не такой уж белый и пушистый, каким пытается казаться.

Tiger.711 · №15

Коммерческая организация не бывает "доброй". Кто-то с этим не согласен?

igorsub · №16

Tiger.711
Ну тут вопрос, что вы считаете добром.

Йцукен · №17

=Agasfer=
igorsub
Все они (руководство компаний) хороши... Однако Яндекс сам сообщает даже о мелочных ложных срабатываниях нашей подписки на своих страницах, в то время как другие сайты чаще стараются их сами тайком вызвать.
А немного зная о прибылях от одной антенны Мегафона, вспоминаешь песенку Семёна Слепакова "Обращение к акционерам Газпрома".

Tiger.711 · №18

igorsub пишет

Tiger.711
Ну тут вопрос, что вы считаете добром.

Это вопрос отдельной темы во флудилке (=
Но в контексте можно ответить, что опенсорс (;

Йцукен · №19

http://www.vesti.ru/doc.html?id=518973

26.07.2011 06:42
"Яндекс" рассекретил данные о клиентах интернет-магазинов

Точнее, они сами её не засекретили:

Новая утечка персональных данных в российской поисковой системе "Яндекс". Информагенства сообщают, что в открытом доступе оказалась информация о клиентах различных интернет-магазинов - парфюмерии, одежды, запчастей и даже [...]-шопов.
Набрав в строке поиска определенный кодовый запрос, можно узнать имена покупателей, IP-адреса, а также адреса доставки. Как сообщили в компании "Яндекс", утечка информации произошла из-за некорректного использования файла, который защищает информацию от индексирования поисковиками, сообщает телеканал "Россия-24".

=================
Чего и следовало ожидать: SMSки были лишь верхушкой айсберга.

Отредактировано Йцукен (26-07-2011 09:32:55)

krigstask · №20

Кто-то, наконец, откроет для себя файл /robots.txt… но будет поздно.

Йцукен · №21

krigstask

Кто-то

Точнее сказать, вебмастера известнейших сайтов узнают о существовании такого файла.

но будет поздно.

Не исключено, что "поздно" в довольно мрачном (и даже тесном) для них смысле слова: УК РФ, глава 19 (Преступления против контитуционных прав и свобод человека и гражданина), ст. 138 (а могут пришить и 137-ю).

=Agasfer= · №22

И в продолжение (цитирую с одного развлекательного сайта)

Еще свежи в нашей памяти раны от недавнего "залета мегафона", еще не затянулись рубцы, но вот уже нарыт новый компромат. Теперь уже с помощью QIP.
И на этот раз виноваты не криворукие программисты. Сами ламеры нубы пользователи qip 2010 успешно "сливают" компромат на себя в добровольном порядке во всемирную паутину.
Фоток будет прилично (41).
Предыстория
Те, кто сидит на новом квипе знают, что файлы на нем передаются через сервис file.qip.ru. Но, мало кто задумывался о том, что:
его файлы там хранятся ДОЛГО!
его файлы могут быть доступны ВСЕМ!
А теперь проявим немного смекалки, вспомним какие названия (префиксы) дают Вашим фоткам телефоны, фотоаппараты, прочие гаджеты, вводим заветные слова в поиск и - понеслась!!
DSCN_, DSC_, IMG_, Изображение_
Список можно дополнять дальше

И это тоже через Яндекс.

Йцукен · №23

Вот и узнали, о чём в России пишут, что пересылают, что (и кто!) в чего-то-там-шопах покупает...

скрытый текст

=Agasfer= пишет

Фоток будет прилично

И не только...

hydrolizer · №24

=Agasfer= пишет

но вот уже нарыт новый компромат. Теперь уже с помощью QIP.

Совсем не удивлен, такие штуки квипу сопутствуют чуть ли не с рождения. Не зря же в инете полным-полно параноидальных тем, связанных с этим IM. Вот, например:

ребят, при запуске квип2010 автоматом запускается веб-камера. Как это отключить и почему она так?

=Agasfer= · №25

Йцукен
Ну фотки-то я не стал выкладывать, ибо там такое есть.... О_О Ни одна цензура не пропустит.

Полезная информация

Крупнейшая утечка конфиденциальной информации через поисковые системы

Re: Крупнейшая утечка конфиденциальной информации через поисковые системы

Re: Крупнейшая утечка конфиденциальной информации через поисковые системы

Re: Крупнейшая утечка конфиденциальной информации через поисковые системы

Re: Крупнейшая утечка конфиденциальной информации через поисковые системы

Re: Крупнейшая утечка конфиденциальной информации через поисковые системы

Re: Крупнейшая утечка конфиденциальной информации через поисковые системы

Re: Крупнейшая утечка конфиденциальной информации через поисковые системы

Re: Крупнейшая утечка конфиденциальной информации через поисковые системы

Re: Крупнейшая утечка конфиденциальной информации через поисковые системы

Re: Крупнейшая утечка конфиденциальной информации через поисковые системы

Re: Крупнейшая утечка конфиденциальной информации через поисковые системы

Re: Крупнейшая утечка конфиденциальной информации через поисковые системы

Re: Крупнейшая утечка конфиденциальной информации через поисковые системы

Re: Крупнейшая утечка конфиденциальной информации через поисковые системы

Re: Крупнейшая утечка конфиденциальной информации через поисковые системы

Re: Крупнейшая утечка конфиденциальной информации через поисковые системы

Re: Крупнейшая утечка конфиденциальной информации через поисковые системы

Re: Крупнейшая утечка конфиденциальной информации через поисковые системы

Re: Крупнейшая утечка конфиденциальной информации через поисковые системы

Re: Крупнейшая утечка конфиденциальной информации через поисковые системы

Re: Крупнейшая утечка конфиденциальной информации через поисковые системы

Re: Крупнейшая утечка конфиденциальной информации через поисковые системы

Re: Крупнейшая утечка конфиденциальной информации через поисковые системы

Re: Крупнейшая утечка конфиденциальной информации через поисковые системы

Board footer