https://bugtraq.ru/review/archive/2011/19-07-11.html

Whale Rider 2011; Яндекс сделал вид, что устранил утечку мегафонных SMS; Утечка мегафонных SMS; Трансляция в Google+.

#303, 19.07.2011

Whale Rider 2011
dl // 18.07.11 23:04
19-20 сентября в Москве пройдет третья ежегодная профессиональная конференция по управлению проектами в сфере Интернет Whale Rider. Цель конференции - профессиональный рост каждого из ее участников, приобретение практических знаний в различных сферах управленческой деятельности, установление новых полезных связей и контактов.

В этом году предполагается разговор об Управлении с большой буквы, включающий анализ того, как сегодня эффективнее всего управлять проектом, какие методы и технические решения применяют гуру в своей работе, как они работают с командой и заказчиками. Будут разобраны особенности управления в организациях: стандарты, качество, мотивация, а также вопросы, касающиеся самих руководителей - управление своим временем и стиль жизни лидера, выходящий за границы рабочего времени.

Ожидается довольно насыщенный график работы. Конференция разбита на четыре секции: "Управление проектом", "Управление продуктом", "Управление организацией", "Управление самим собой".

Участие в конференции платное, первые тридцать билетов уйдут за 13 тысяч рублей, всего ожидается до 500 участников.
Источник: Whale Rider

Яндекс сделал вид, что устранил утечку мегафонных SMS
dl // 18.07.11 16:32
Яндекс частично блокировал поисковый запрос, позволявший просматривать тексты SMS, отправленных с мегафоновского сайта. Однако достаточно добавить в текст запроса любое слово, которое заведомо может встретиться в сообщении - например, код (927) или даже просто цифру 7 - и вся простыня выведется как ни в чем не бывало.

Update: молодцы, починили еще быстрее. Впрочем, если что-то утекло, то это уже безвозвратно - по сети уже ходит куча ссылок на архивы с вытянутыми сообщениями. Плюс нашлись и другие пациенты. А ведь уже восемь лет назад эта тема казалась такой старой и всем известной.

Update 2: любопытно, но добавление простой буквы "а" еще дает просмотреть несколько страниц сообщений, плюс срабатывают и другие модификации запросов. Заглушка на заглушке. Видимо, до полного обновления базы все таким дырявым и останется (ну хоть ссылки на кэш уже 404 отдают).

Утечка мегафонных SMS
dl // 18.07.11 14:10
Простой поисковый запрос позволяет вытащить содержимое SMS, отправленных через сайт Мегафона за прошедшие полтора месяца. Тексты SMS начинаются с конца второй страницы результатов поиска, возможно, поэтому дырка и не была сразу обнаружена. В кэше яндекса лежит полный текст сообщения и телефон адресата. Первые сообщения датированы началом июня (легко определяется заданием диапазона дат в расширенной форме поиска).

Схема утечки вполне тривиальна и не требует конспиративных теорий для объяснения: после отправки СМС пользователю показывалась страница с подтверждением, доступ к которой был не защищен. Предположительно, на мегафоновском сайте была включена Яндекс.Метрика, с помощью которой помимо пользователя о странице немедленно узнавал Яндекс и засасывал в свой кэш (другой вариант - то же самое происходило с помощью Яндекс.Бара).

Естественно, в Яндексе можно задать и поиск всех SMS, отправленных на произвольный номер, так что счастливым пользователям Мегафона стоит проверить свой номер - just in case.
Источник: golubchikav LJ, dirty.ru

Трансляция в Google+
dl // 16.07.11 16:10
В качестве пробного шара добавил трансляцию новостей на Google+. Адрес простой - http://gplus.to/bugtraq. Ну и до кучи полный список доступных трансляций:

Facebook, Twitter, LiveJournal, исходный RSS.
Источник: Google+