Заранее извиняюсь за разжевывание перед теми читателями, для которых ситуация очевидна, но все-таки хочется расставить точки над i. Для случившейся утечки необходимо было сочетание четырех факторов:

1. Вывод подтверждений о доставке sms вместе с их полным текстом на страницы с уникальными адресами, которые существовали в течение некоторого времени. Понятно, что сделано это было ради упрощения реализации: в обработчике формы генерируем случайный id, отправляем асинхронный запрос на отправку sms, редиректим пользователя на url, включающий этот id, - на случай, если сообщение ушло не сразу, и чтоб пользователь мог его рефрешнуть. Нет никаких проблем реализовать тот же функционал, повесив все подтверждения на один и тот же адрес и дать обновлять их хоть через аякс, хоть через кнопку из формы с POST для любителей чистого CGI. Собственно говоря, даже показ всего текста сообщения тут был избыточным. Чистый минус в копилку Мегафона.

2. Открытый доступ к этим страницам. Тут тоже понятно - решили, что случайного 16-символьного id в сочетании с кратким временем жизни страницы будет достаточно для защиты от посторонних. Запароливание потребовало бы предварительной регистрации. Не будь следующего пункта, могло бы и пронести. Но все же еще один минус Мегафону.

3. Передача адресов "секретных" страниц поисковику. Сам по себе поисковик на висящую в пустоте страницу попасть не может, она каким-то образом должна попасть в очередь на обработку индексирующего робота - либо через ссылку, либо вручную. Тут есть две версии - утечка адресов либо через Яндекс.Бар, который стоял у всех пользователей, отправлявших эти sms, либо через установленную на сайте Мегафона Яндекс.Метрику. Тут с полной уверенностью могут что-то сказать разве что специалисты Яндекса либо Мегафона, но лично мне больше нравится версия с Метрикой. Она, по крайней мере, хорошо объясняет, почему такой массовой утечки не было в других поисковиках. Яндекс ссылается на то, что были тексты и в Google с Bing'ом, но там явно не было таких масштабов (и там как раз могли отработать тулбары). Так что еще один минус, но условный.

4. Отсутствие robots.txt, позволяющего запретить доступ поисковиков к публичным страницам. И вот только четвертым пунктом добрались до того, что М и Я называют едва ли не главной причиной утечки. Ребята, ну это ведь вопрос исключительно доброй воли поисковика, сам по себе robots.txt никак нельзя считать чем-то, относящимся к защите информации, ну публичные это страницы, доступные всем желающим. Поставили бы сдуру на эту страницу какой-нибудь внешний счетчик или баннер, и все точно так же утекло бы к сервисам, которые вообще про эти robots.txt не в курсе. Ну и в оправдания "а файл все-таки был" не особо верится - насколько я помню вчерашние обсуждения, появился он днем, когда все, что могло, уже утекло. О чем косвенно свидетельствует Last-Modified: Mon, 18 Jul 2011 09:55:10 GMT у http://sendsms.megafon.ru/robots.txt.

Итого, с технической точки зрения на утечку мы имеем 2 стопроцентных косяка со стороны Мегафона, один условный и еще один весьма вероятный. Со стороны Яндекса же наблюдается честное исполнение своей работы по индексированию информации, находящейся в публичном доступе.

Ну а наезды типа "а чё они заиндексировали смски без письменного согласия пользователей", простите, смотрятся рефлекторной безнадежной попыткой сохранить остатки лица, особенно забавной в сочетании с текстом из того же пресс-релиза, где говорится про отсутствие персональных данных в опубликованной информации. А с чего бы действующему законодательству требовать письменного согласия (и у кого?) на публикацию информации, не содержащей персональных данных, у меня как-то не складывается.

Источник: РБК

теги: leak, клоуны  |  предложить новость  |  обсудить  |  все отзывы (6)

[7178]

назад «  » вперед

аналогичные материалы Маск поддержал создателя Дилберта, обвиненного в расизме // 27.02.23 20:39 Утечка сертификатов GitHub Desktop и Atom // 31.01.23 21:59 Очередной взлом LastPass: все хуже, чем казалось // 26.12.22 17:26 Dropbox посеял 130 репозиториев // 02.11.22 02:34 Крупнейшая утечка из облачного хранилища Microsoft // 20.10.22 22:59 Крупный взлом GoDaddy // 23.11.21 20:52 Have I Been Pwned начнёт получать скомпрометированные пароли от ФБР // 29.05.21 16:46

последние новостиBugTraq.Ru: последние новости Бэкдор в xz/liblzma, предназначенный для атаки ssh-серверов // 30.03.24 17:23 Три миллиона электронных замков готовы открыть свои двери // 22.03.24 20:22 Doom на газонокосилках // 28.02.24 17:19 Умер Никлаус Вирт // 04.01.24 14:05 С наступающим // 31.12.23 23:59 Четверть приложений, использующих Log4j, до сих пор уязвима // 11.12.23 18:29 Google Drive находит файлы // 07.12.23 01:46

Комментарии: Всякие robots.txt и nofolow не спасут от того, кто захочет... 21.07.11 16:21   Автор: www2 Статус: Незарегистрированный пользователь <"чистая" ссылка> Всякие robots.txt и nofolow не спасут от того, кто захочет прошерстить сайт. Такой человек может даже наоборот - воспользоваться robots.txt и nofolow для того, чтобы найти информацию, скрытую в поисковиках. Соблюдение требований robots.txt и nofolow - это просто жест доброй воли, хороший образец поведения, сетевой этикет. Средством защиты информации они не являются. Читаем внимательно 21.07.11 19:59   Автор: Den <Denis> Статус: The Elderman Отредактировано 21.07.11 20:00  Количество правок: 1 <"чистая" ссылка> Если бы отправленные сообщения были доступны из БД сообщений по идентификатору и только в пределах одной сессии пользователя, то никакой бы робот ничего не нашел. Разработчики сервиса отправки сообщений даже не подумали сделать элементарную защиту от несанкионированного доступа к содержимому СМС сообщений.. И robots.txt играет в этой пьесе последнюю роль. Спасибо, что расписал. Не мог понять как такое возможно,... 20.07.11 23:42   Автор: redbrick Статус: Незарегистрированный пользователь <"чистая" ссылка> Спасибо, что расписал. Не мог понять как такое возможно, думал что Мегафон передаёт Яндексу информацию для индексирования из рук в руки. Невероятно безответственный подход к конфиденциальности, просто уму не постижимо, каков же профессиональный уровень разработчиков сего сервиса. Яндекс отмазывается 20.07.11 03:13   Автор: Fighter <Vladimir> Статус: Elderman <"чистая" ссылка> http://lenta.ru/news/2011/07/19/andnotus/ Но, в общем, очевидно, что прокол со стороны Мегафона. Использование robots.txt, noindex и прочих nofollow хорошо описано в справке Яндекса. да я вообще-то к тому вел, что robots.txt - это самое последнее, на что нужно было рассчитывать 20.07.11 03:20   Автор: dl <Dmitry Leonov> <"чистая" ссылка> Про Яндекс - да, видел, не стал вставлять, может еще добавлю. Ага, я понял. 21.07.11 19:26   Автор: Fighter <Vladimir> Статус: Elderman <"чистая" ссылка> Я имел в виду, что аргументы Мегафона яйца выеденного не стоят.

<добавить комментарий>