Утечка мегафонных SMS dl // 18.07.11 14:10
Простой поисковый запрос позволяет вытащить содержимое SMS, отправленных через сайт Мегафона за прошедшие полтора месяца. [Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2011/07/06.html] Тексты SMS начинаются с конца второй страницы результатов поиска, возможно, поэтому дырка и не была сразу обнаружена. В кэше яндекса лежит полный текст сообщения и телефон адресата. Первые сообщения датированы началом июня (легко определяется заданием диапазона дат в расширенной форме поиска).
Схема утечки вполне тривиальна и не требует конспиративных теорий для объяснения: после отправки СМС пользователю показывалась страница с подтверждением, доступ к которой был не защищен. Предположительно, на мегафоновском сайте была включена Яндекс.Метрика, с помощью которой помимо пользователя о странице немедленно узнавал Яндекс и засасывал в свой кэш (другой вариант - то же самое происходило с помощью Яндекс.Бара).
Естественно, в Яндексе можно задать и поиск всех SMS, отправленных на произвольный номер, так что счастливым пользователям Мегафона стоит проверить свой номер - just in case.
Интересно, а где-то в абонентском договоре было написано про ответственность за утечку СМСок.30.08.11 22:52 Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Оказывается это называется "нарушение правил сбора, хранения и распространения персональных данных."02.09.11 01:22 Автор: Fighter <Vladimir> Статус: Elderman
"Уже закрыли" было бы, если бы закрыли до утечки :) Увы, многочисленные сливы QIP'а ничему не научили хомячков.
это на форуме ссылка билась из-за фильтров, из заметки работает, в форуме поправил18.07.11 15:33 Автор: dl <Dmitry Leonov> Отредактировано 18.07.11 15:38 Количество правок: 1
У меня еще работает.А Роскомнадзор потребовал от "Мегафона" объяснить утечку SMS18.07.11 21:28 Автор: Fighter <Vladimir> Статус: Elderman Отредактировано 18.07.11 21:29 Количество правок: 1
подробно о проекте
Анализ криптографических сетевых...
