Занятная утечка сегодня просочилась в паблик. Дело в том, что в кеш поисковой машины Яндекс попала часть сообщений сотового оператора Мегафон , отправленные через веб-морду www.sendsms.megafon.ru .
По имеющемуся предположению это произошло в следствии двух факторов.
Первый фактор - это уязвимость в самом веб-приложении www.sendsms.megafon.ru, при отправке смс сообщения с которого существует возможность проверить статус доставки этого сообщения. Каждому отправленному смс сообщению присваивается уникальный идентификатор, который можно увидеть в адресной строке. Зная этот идентификатор любой пользователь Интернет без какой-либо авторизации может получить доступ к статусу доставки сообщения, в котором присутствует, как номер мобильного телефона, на который было отправлено сообщение, так и тело самого сообщения. Идентификатор является случайным, и далеко не факт, имеющим сильную энтропию. К слову, время хранения этой информации на сайте составляет более часа...
name='more'> Второй фактор установленный на компьютере Яндекс.Бар при некоторых условиях передает поисковой машине Яндекса, адреса, которые посещает пользователь и которые в свою очередь индексируются и кешируются поисковой системой Яндекс. Таким образом, все пользователи с установленным Яндекс.Баром воспользовавшиеся сайтом www.sendsms.megafon.ru для отправки смс сообщений отправили эти смс сообщения напрямую в кеш поисковой системы Яндекс.
В настоящее время Яндекс частично прикрыл утечку по запросу "url:www.sendsms.megafon.ru* | url:sendsms.megafon.ru*", но работают запросы, которые видимо остались в кеше выдаваемых результатов поисковой машины. Например запрос вида "url:www.sendsms.megafon.ru* | url:sendsms.megafon.ru* "встретимся"" на 18:00 MSK до сих пор выводит содержимое смс сообщений. Стоит также задуматься над тем, какая еще интересная/чувствительная информация может остаться в поисковой базе Яндекс от пользователей, на компьютерах которых установлен Яндекс.Бар.
Так, что же было интересного в этих данных для злоумышленника?
Ну, например, информация об используемых паролях (в том числе и к корпоративным системам):
Не слишком много... Все-таки в большей степени утекшие данные интересны простым людям. Например, обманутой девушке или наоборот, "рогатому" мужу:
Учитывая, что произошла утечка более восьми тысяч смс сообщений, многие могли извлечь из нее массу полезного.
Дополнительно по теме: http://ria.ru/society/20110718/403626207.html , http://top.rbc.ru/society/18/07/2011/606194.shtml , http://www.newsland.ru/news/detail/id/741576/cat/42/
Если кто пропустил: https://spreadsheets.google.com/spreadsheet/lv?hl=ru&key=t-WM8ugWq19pkYqwZMdu3CA&hl=ru&f=true&gid=3 , http://pastebin.com/Hht8DBeT , http://suhanovskiy.ru/habr/megafon.txt
Лучшие смски в комментах хабра: http://webcache.googleusercontent.com/search?q=cache:http://habrahabr.ru/blogs/infosecurity/124370/&cd=2&hl=ru&ct=clnk&gl=ru&source=www.google.ru
Для тех кто пропустил все: http://mega-sms.ru
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
Твой код — безопасный?
Расскажи, что знаешь о DevSecOps.
Пройди опрос и получи свежий отчет State of DevOps Russia 2025.
Занятная утечка сегодня просочилась в паблик. Дело в том, что в кеш поисковой машины Яндекс попала часть сообщений сотового оператора Мегафон , отправленные через веб-морду www.sendsms.megafon.ru .
По имеющемуся предположению это произошло в следствии двух факторов.
Первый фактор - это уязвимость в самом веб-приложении www.sendsms.megafon.ru, при отправке смс сообщения с которого существует возможность проверить статус доставки этого сообщения. Каждому отправленному смс сообщению присваивается уникальный идентификатор, который можно увидеть в адресной строке. Зная этот идентификатор любой пользователь Интернет без какой-либо авторизации может получить доступ к статусу доставки сообщения, в котором присутствует, как номер мобильного телефона, на который было отправлено сообщение, так и тело самого сообщения. Идентификатор является случайным, и далеко не факт, имеющим сильную энтропию. К слову, время хранения этой информации на сайте составляет более часа...
name='more'> Второй фактор установленный на компьютере Яндекс.Бар при некоторых условиях передает поисковой машине Яндекса, адреса, которые посещает пользователь и которые в свою очередь индексируются и кешируются поисковой системой Яндекс. Таким образом, все пользователи с установленным Яндекс.Баром воспользовавшиеся сайтом www.sendsms.megafon.ru для отправки смс сообщений отправили эти смс сообщения напрямую в кеш поисковой системы Яндекс.
В настоящее время Яндекс частично прикрыл утечку по запросу "url:www.sendsms.megafon.ru* | url:sendsms.megafon.ru*", но работают запросы, которые видимо остались в кеше выдаваемых результатов поисковой машины. Например запрос вида "url:www.sendsms.megafon.ru* | url:sendsms.megafon.ru* "встретимся"" на 18:00 MSK до сих пор выводит содержимое смс сообщений. Стоит также задуматься над тем, какая еще интересная/чувствительная информация может остаться в поисковой базе Яндекс от пользователей, на компьютерах которых установлен Яндекс.Бар.
Так, что же было интересного в этих данных для злоумышленника?
Ну, например, информация об используемых паролях (в том числе и к корпоративным системам):
Не слишком много... Все-таки в большей степени утекшие данные интересны простым людям. Например, обманутой девушке или наоборот, "рогатому" мужу:
Учитывая, что произошла утечка более восьми тысяч смс сообщений, многие могли извлечь из нее массу полезного.
Дополнительно по теме: http://ria.ru/society/20110718/403626207.html , http://top.rbc.ru/society/18/07/2011/606194.shtml , http://www.newsland.ru/news/detail/id/741576/cat/42/
Если кто пропустил: https://spreadsheets.google.com/spreadsheet/lv?hl=ru&key=t-WM8ugWq19pkYqwZMdu3CA&hl=ru&f=true&gid=3 , http://pastebin.com/Hht8DBeT , http://suhanovskiy.ru/habr/megafon.txt
Лучшие смски в комментах хабра: http://webcache.googleusercontent.com/search?q=cache:http://habrahabr.ru/blogs/infosecurity/124370/&cd=2&hl=ru&ct=clnk&gl=ru&source=www.google.ru
Для тех кто пропустил все: http://mega-sms.ru
