Возвращаясь к
обсуждению инцидента, связанного с утечкой более 8 тысяч смс сообщений сотового оператора "
Мегафон", можно утверждать, что выдвинутые
предположения ранее частично подтвердились. Утечка произошла в следствии двух факторов: уязвимости на сайте
www.sendsms.megafon.ru (
Insufficient Authentication) и видимо передачи посещаемых страниц пользователями поисковой системе
Яндекс, на компьютерах которых установлен
Яндекс.Бар.
Так что-же из себя представляет Яндекс.Бар?
name='more'>
Это панель для широко распространенных браузеров с возможностью поиска по интернету и быстрым доступом к различным интернет-сервисам, как утверждает сам производитель. Хорошо, устанавливаем это волшебное чудо к себе на компьютер, и, не пользуясь его функциями, начинаем обычный серфинг по Интернету. Первый же запрос дублируется на хост bar-navig.yandex.ru:
Собственно, таким же образом, уникальные страницы сайта
www.sendsms.megafon.ru, содержащие конфиденциальную информацию самых обычных пользователей и могли просочиться в паблик...
К слову, если заблокировать bar-navig.yandex.ru Яндекс.Бар будет обращаться к backup-bar-navig.yandex.ru.
Идем дальше. Обращаемся к внутреннему ресурсу:
(интересно, куда ушел мой секретный логин и пароль??)
Попутно встречаем другие "полезные" функции Яндекс.Бара:
Это прямо праздник (читай
spyware) какой-то! Но, обратимся к лицензионному соглашению, которое где-то с краю весело при установке Яндекс.Бара. Нас интересует 5 раздел "Условия использования отдельных функций Программы":
5.1. Пользователь настоящим уведомлен и соглашается, что при включении в Программе функции показа [Индекса Цитированияkдля определения индекса цитирования сайта в интернете, который посещает Пользователь во время использования Программы, Правообладателю в автоматическом режиме сообщается анонимная (без привязки к Пользователю) информация о посещаемом сайте, до момента отключения указанной функции. 5.2. Пользователь настоящим уведомлен и соглашается, что при использовании в Программе функции показа [Отзывовkдля определения количества отзывов на просматриваемую Пользователем во время использования Программы страницу в интернете, Правообладателю в автоматическом режиме сообщается анонимная (без привязки к Пользователю) информация о просматриваемой странице, до момента отключения указанной функции. 5.3. Пользователь настоящим уведомлен и соглашается, что при использовании в Программе функции [Точно по адресуkдля предоставления Пользователю подсказок с исправленными ошибками ввода, Правообладателю в автоматическом режиме сообщается анонимная (без привязки к Пользователю) информация о символах, введенных в адресную строку браузера, до момента отключения указанной функции. 5.4. Пользователь настоящим уведомлен и соглашается, что при использовании в Программе функции [Проверка орфографииkдля проверки орфографии текстов в версии программы для Internet Explorer, все тексты, вводимые Пользователем в браузере во время использования Программы, исключая тексты, вводимые в формы ввода паролей, будут анонимно (без привязки к Пользователю) отправляться на автоматизированный сервис проверки орфографииПравообладателя. Исключительное право на словарные базы ОРФО (СБ ОРФО) для русского и украинского языков, используемые в сервисе проверки орфографии, принадлежат компании Информатик: СБ ОРФО Y ОРФО, ООО [Информатикk, 2009. 5.5. Пользователь настоящим уведомлен и соглашается, что, при использовании в Программе функции [Перевод словk, перевод слов осуществляется с использованием технологий, разработанных компанией ПРОМТ (http://www.promt.ru). Логи переводов будут анонимно (без привязки к Пользователю) направляться Правообладателю. 5.6. Пользователь настоящим уведомлен и соглашается, что при использовании в Программе функции [Определение местоположенияk, IP-адрес компьютера Пользователя и данные о доступных Wi-FI сетях будут анонимно (без привязки к Пользователю) отправляться на автоматизированный сервис определения местоположения партнера Правообладателя. 5.7. Пользователь может в любой момент отказаться от передачи данных, указанных в п.п. 5.1. 5.6., отключив соответствующие функции. Так вот оно как! Оказывается я с этим согласился :) Но в отличии, например, от iPad, который после установки нового ПО обязательно спросит, а желаю ли я, чтобы ПО использовало мое текущее месторасположение и пр., Яндекс.Бар просто решил эти вопросы за меня.
Помимо этого вызывает улыбку следующее утверждение "без привязки к Пользователю" :) т.е. обращение происходит без использования IP-адреса? А если, допустим, в GET-запросе будет присутствовать Vasya.Pupkin@mail.ru? Кроме того, вызывает интерес передаваемый параметр "yandexuid" (это простите что?).
Итак, я не согласен с 5.1. 5.6 и хочу отключить соответствующий функционал. Лезем в настройки панели Яндекс.Бар и что мы видим? Да ровным счетом ни одного крыжика с именем "отключить" там нет.
Так как же отключить spyware функционал? Оказывается, отключение функций и вывод иконок на панель Яндекс.Бар это одно и тоже. (интуитивно понятно)
Мораль сей басни такова, не устанавливайте к себе на компьютер ничего лишнего, а если устанавливаете новый софт, не поленитесь и изучите лицензионное соглашение. В противном случае, ваша личная жизнь может оказаться достоянием общественности, как у этих счастливчиков
http://mega-sms.ru
P.S. Используйте Фаерфокс! Он плохого не посоветует! :)
Возвращаясь к обсуждению инцидента, связанного с утечкой более 8 тысяч смс сообщений сотового оператора " Мегафон", можно утверждать, что выдвинутые предположения ранее частично подтвердились. Утечка произошла в следствии двух факторов: уязвимости на сайте www.sendsms.megafon.ru ( Insufficient Authentication) и видимо передачи посещаемых страниц пользователями поисковой системе Яндекс, на компьютерах которых установлен Яндекс.Бар.
Так что-же из себя представляет Яндекс.Бар?
name='more'>
Это панель для широко распространенных браузеров с возможностью поиска по интернету и быстрым доступом к различным интернет-сервисам, как утверждает сам производитель. Хорошо, устанавливаем это волшебное чудо к себе на компьютер, и, не пользуясь его функциями, начинаем обычный серфинг по Интернету. Первый же запрос дублируется на хост bar-navig.yandex.ru:
Собственно, таким же образом, уникальные страницы сайта www.sendsms.megafon.ru, содержащие конфиденциальную информацию самых обычных пользователей и могли просочиться в паблик...
К слову, если заблокировать bar-navig.yandex.ru Яндекс.Бар будет обращаться к backup-bar-navig.yandex.ru.
Идем дальше. Обращаемся к внутреннему ресурсу:
(интересно, куда ушел мой секретный логин и пароль??)
Попутно встречаем другие "полезные" функции Яндекс.Бара:
Это прямо праздник (читай spyware) какой-то! Но, обратимся к лицензионному соглашению, которое где-то с краю весело при установке Яндекс.Бара. Нас интересует 5 раздел "Условия использования отдельных функций Программы":
5.1. Пользователь настоящим уведомлен и соглашается, что при включении в Программе функции показа [Индекса Цитированияkдля определения индекса цитирования сайта в интернете, который посещает Пользователь во время использования Программы, Правообладателю в автоматическом режиме сообщается анонимная (без привязки к Пользователю) информация о посещаемом сайте, до момента отключения указанной функции. 5.2. Пользователь настоящим уведомлен и соглашается, что при использовании в Программе функции показа [Отзывовkдля определения количества отзывов на просматриваемую Пользователем во время использования Программы страницу в интернете, Правообладателю в автоматическом режиме сообщается анонимная (без привязки к Пользователю) информация о просматриваемой странице, до момента отключения указанной функции. 5.3. Пользователь настоящим уведомлен и соглашается, что при использовании в Программе функции [Точно по адресуkдля предоставления Пользователю подсказок с исправленными ошибками ввода, Правообладателю в автоматическом режиме сообщается анонимная (без привязки к Пользователю) информация о символах, введенных в адресную строку браузера, до момента отключения указанной функции. 5.4. Пользователь настоящим уведомлен и соглашается, что при использовании в Программе функции [Проверка орфографииkдля проверки орфографии текстов в версии программы для Internet Explorer, все тексты, вводимые Пользователем в браузере во время использования Программы, исключая тексты, вводимые в формы ввода паролей, будут анонимно (без привязки к Пользователю) отправляться на автоматизированный сервис проверки орфографииПравообладателя. Исключительное право на словарные базы ОРФО (СБ ОРФО) для русского и украинского языков, используемые в сервисе проверки орфографии, принадлежат компании Информатик: СБ ОРФО Y ОРФО, ООО [Информатикk, 2009. 5.5. Пользователь настоящим уведомлен и соглашается, что, при использовании в Программе функции [Перевод словk, перевод слов осуществляется с использованием технологий, разработанных компанией ПРОМТ (http://www.promt.ru). Логи переводов будут анонимно (без привязки к Пользователю) направляться Правообладателю. 5.6. Пользователь настоящим уведомлен и соглашается, что при использовании в Программе функции [Определение местоположенияk, IP-адрес компьютера Пользователя и данные о доступных Wi-FI сетях будут анонимно (без привязки к Пользователю) отправляться на автоматизированный сервис определения местоположения партнера Правообладателя. 5.7. Пользователь может в любой момент отказаться от передачи данных, указанных в п.п. 5.1. 5.6., отключив соответствующие функции. Так вот оно как! Оказывается я с этим согласился :) Но в отличии, например, от iPad, который после установки нового ПО обязательно спросит, а желаю ли я, чтобы ПО использовало мое текущее месторасположение и пр., Яндекс.Бар просто решил эти вопросы за меня.
Помимо этого вызывает улыбку следующее утверждение "без привязки к Пользователю" :) т.е. обращение происходит без использования IP-адреса? А если, допустим, в GET-запросе будет присутствовать Vasya.Pupkin@mail.ru? Кроме того, вызывает интерес передаваемый параметр "yandexuid" (это простите что?).
Итак, я не согласен с 5.1. 5.6 и хочу отключить соответствующий функционал. Лезем в настройки панели Яндекс.Бар и что мы видим? Да ровным счетом ни одного крыжика с именем "отключить" там нет.
Так как же отключить spyware функционал? Оказывается, отключение функций и вывод иконок на панель Яндекс.Бар это одно и тоже. (интуитивно понятно)
Мораль сей басни такова, не устанавливайте к себе на компьютер ничего лишнего, а если устанавливаете новый софт, не поленитесь и изучите лицензионное соглашение. В противном случае, ваша личная жизнь может оказаться достоянием общественности, как у этих счастливчиков http://mega-sms.ru
P.S. Используйте Фаерфокс! Он плохого не посоветует! :)
