"Мегафон" и "Яндекс" рассекретили чужие SMS

image

Теги: Мегафон, Яндекс, SMS

Текстовые сообщения, отправляемые на номера "Мегафона" через сайт сотового оператора, отобразились в кэше поисковика "Яндекс" и доступны для всеобщего просмотра.

Текстовые сообщения, отправляемые на номера "Мегафона" через сайт сотового оператора, отобразились в кэше поисковика "Яндекс" и доступны для всеобщего просмотра.

Если ввести в поисковую строку "Яндекса" запрос "url:www.sendsms.megafon.ru* | url:sendsms.megafon.ru*", можно обнаружить тексты SMS, отправленных через сайт sendsms.megafon.ru, а также номера их получателей.

В компании "МегаФон" сообщили, что техническая служба занимается выяснением причин произошедшего. В пресс-службе сотового оператора обещают предоставить подробности позже.

Пресс-секретарь "Яндекса" Очир Манджиков заявил, что специалисты компании также проводят проверку.

Появилась информация о том, что текущая ситуация - это результат сочетания нескольких ошибок Web-приложения под названием "Недостаточная авторизация", "Утечка информации" и "Отсутствие таймаута сессии" (Information Leakage, Insufficient Authorization, Insufficient Session Expiration согласно классификации Web Application Security Consortium). В результате сочетания этих ошибок поисковая система получила доступ к списку идентификаторов страниц, на которых выводился статус отправленных через сайт SMS-сообщений. Содержимое этих страниц было автоматически проиндексировано. По истечению некоторого времени страница статуса отправленного сообщения очищается, но текст сообщения остается к кэше Яндекса и доступен в результатах поиска.

Одной из возможных причин попадания сообщений на сайт поисковой системы является использование программы Яндекс.Бар. При определенных условиях посещаемые пользователем адреса передаются поисковой машине, которая в свою очередь индексируют и кешируют полученные страницы. Это частично объясняет причину отсутствия данных из «МегаФона» в кеше, например, поисковой системы Google.

Председатель Следственного комитета поручил проверить действия должностных лиц, допустивших разглашение личных данных клиентов сотовой компании.

"Мы возмущены произошедшим разглашением личных данных граждан и, безусловно, мониторим все, что происходит в связи с этой утечкой, - прокомментировал официальный представитель Следственного комитета России Владимир Маркин. - Более того, председатель СКР Александр Бастрыкин уже дал поручение провести проверку, по ее результатам будет принято процессуальное решение".

Клиенты МегаФона в свою очередь уже готовятся к судам с компанией.

"Я считаю, что это просто возмутительно. Интересная подстава со стороны МегаФона, - отреагировал один из пострадавших клиентов сотового оператора, Артем. - Подобная информация должна идти по уникальной ссылке и храниться не более, чем один день. Я буду обязательно обращаться в суд!"

По словам Артема, он собирается не просто подавать в суд, а собрать целую инициативную группу из таких же возмущенных клиентов.


comments powered by Disqus