С сервисом бесплатной отправки SMS с сайта оператора МегаФон произошел крайне неприятный инцидент, вследствие которого в открытый доступ попали тысячи текстовых сообщений с номерами телефонов абонентов, которым они предназначались. SMSки можно было найти в кэше поисковика «Яндекс» в течение нескольких часов, но этого времени хватило для того, чтобы базами уже начали торговать, а абоненты - готовить исковые заявления о нарушении закона «О персональных данных».
«МегаФон» выложил в открытый доступ SMS-сообщения своих абонентов», - такие сообщения начали поступать в Twitter вчера днем. Поначалу это выглядело, как очередной развод, направленный на посещение конкретного ресурса. Но не тут-то было.
И действительно, если ввести в поисковую строку «Яндекса» запрос «url:www.sendsms.megafon.ru* | url:sendsms.megafon.ru*», можно было обнаружить тексты SMS, отправленных через сайт sendsms.megafon.ru, и номера их получателей. По такому запросу «Яндекс» выдавал более 8,5 тыс. ссылок на реальные SMS-сообщения.
Большинство сообщений было связано с выяснением отношений между влюбленными, но встречались сообщения и на другие темы:
- Ты мне говоришь, что таких как я у тебя столько было,есть и будет. А я верила твоим слова, что ты мне всю жизнь ждал и никогда такую не найдешь. Верила, - пишет один пользователь МегаФона.
- Кисанька ну пожалуйста ответь мне! Ну я сказал что это самый последний раз. Прости пожалуйста! Умоляю тебя! Наверное я зря уехал от тебя! Я желею уже! - пишет другой.
- Я 100 рублей вчера положила, их уже нет или они не приходили? а билайн-симка цела? ставь ее. моя на кпк, что прислать, может с Владиком на автобусе, - пишет третий.
Вбив нужный номер в поисковике «Яндекса», можно было найти все SMS отправленные этим абонентом. Но, как такое могло произойти? Эксперты начали гадать, что бы это могло быть.
Версия «Яндекса»
Через два часа после появления первой информации о дырах с отправкой SMS нам удалось связаться с пресс-секретарем «Яндекса» Очиром Манджиковым и получить официальную информацию о происходящем.
«Яндекс» возложил всю вину за попадание в его поисковую выдачу текстов SMS-сообщений, направленных абонентам «МегаФон», на администраторов сайта сотового оператора.
- «Яндекс» индексирует только открытую часть интернета — те страницы, которые доступны при переходе по ссылкам без ввода логина и пароля. Страницы, индексация которых запрещена администратором сайта в файле robots.txt, Яндекс не индексирует, даже если они находятся в открытой части интернета. Это соответствует всем общепринятым нормам и правилам взаимодействия в интернете, - пояснил Очир Манджиков.
В «Яндексе» отметили, что тексты сообщений попали в открытый доступ потому, что в разделе отправки SMS на сайте «Мегафона» (www.sendsms.megafon.ru) в момент индексации по какой-то причине отсутствовал файл robots.txt. Если бы он был, то индексация прошла бы корректно и данные не попали в выдачу поисковика.
Очир Манджиков сообщил также, что, администраторы сайта «МегаФона» уже установили robots.txt и закрыли этот раздел для индексации.
Версия «МегаФона»
В сообщении, полученном от пресс-службы «МегаФона», сказано, что причиной утечки стала «работа внешнего администратора сайта». Согласно заявлению оператора, технические специалисты «обнаружив сбой на сайте, незамедлительно его устранили».
«Сбой коснулся крайне незначительной части SMS, отправленных с сайта оператора. При этом он не затронул SMS-сообщения клиентов, отправленные через телефоны и другие мобильные устройства. Обращаем внимание, что информация о содержании SMS-сообщений клиентов не хранится на сайте оператора. Таким образом, несанкционированный доступ к текстам сообщений наших клиентов мог возникнуть через некоторые Интернет-сервисы Яндекса. Ни в какие другие поисковые системы данная информация не попадала, - сообщили в пресс-службе «МегаФона».
К моменту публикации этого материала страницы с SMS-сообщениями, адресованными абонентам «МегаФона» исчезли из поисковой выдачи «Яндекса». Кроме того, МегаФон закрыл службу бесплатной отправки SMS через свой сайт. Теперь при попытке воспользоваться ею выводится сообщение о том, что сервис находится на реконструкции.
Ближе к вечеру 18 июля в поисковых выдачах появились не только SMS, отправленные через сайт «МегаФона» . В кэше того же «Яндекса» были обнаружены сообщения, посланные с ресурса sms.prm.ru на номера четырех операторов - МТС, «МегаФона», «Билайна» и Utel, работающих в Пермском крае. В настоящее время они также удалены.
В «Вымпелкоме» ситуацию вокруг утечки текстов SMS комментировать не стали, а вот в МТС отметили, что «не использует открытые и бесплатные счетчики для своих сайтов, так как они могут потенциально нести угрозу для информационной безопасности, МТС использует только коммерческие платные системы статистики, что гарантирует полный контроль компании в процессе передачи и анализа информации с сайта и полную конфиденциальность данных». Кроме того, отдельно отмечается, что при отправке сообщений через сайт МТС вся информация передается сразу в SMS-центр и не сохраняется на сайте оператора. Прочтение SMS сторонними лицами после его отправки невозможно.
Последствия инцидента
Но это не означает, что ситуация вокруг утечки SMS останется без внимания. В Сети уже начинают предлагать базы сообщений с «Яндекса» за 17-18 июня за $1000. Вполне возможно, что это неправда, но сам факт есть.
Между тем, следственный комитет России проверит, каким образом текстовые сообщения, отправленные с сайта МегаФона ее абонентам, попали в открытый доступ. По итогам проверки будет решаться вопрос о возбуждении уголовного дела.
Официальный запрос с требованием объяснить причины инцидента в адрес МегаФона направил и Роскомнадзор. Ведомство запросило у оператора сведения о мерах, принимаемых им для обеспечения конфиденциальности и безопасности персональных данных абонентов. В Роскомнадзоре подчеркнули, что появление в интернете SMS-сообщений абонентов свидетельствует о признаках нарушения закона «О связи», а, следовательно, и лицензионных условий. В настоящее время Роскомнадзор анализирует информацию об утечке сообщений с целью определить, имело ли место нарушение закона «О персональных данных».
О намерении подать иск к МегаФону уже заявили представители Союза потребителей России, сообщает «Интерфакс». Председатель организации Петр Шелищ назвал случившееся «очевидным нарушением требований закона о защите прав потребителей».
МегаФону в данной ситуации не позавидуешь. Ошибка человека привела к крайне негативным последствиям.
Была аналогичная ситуация, когда гугл проиндексировал секретные документы Яндекса