информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Spanning Tree Protocol: недокументированное применениеСтрашный баг в WindowsАтака на Internet
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft обещает радикально усилить... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / RSN / архив / 2011 / июль
2011
главная
январь
февраль
март
апрель
май
июнь
июль
август
сентябрь
октябрь
ноябрь
декабрь





Мегафон переводит стрелки на Яндекс
dl // 20.07.11 01:40
В один и тот же день Мегафон в своем пресс-релизе, посвященном недавней утечке, рассказал, что причиной утечки было то, "что не было введено специальное защитное ограничение для сервисов «Яндекса», скачивающих информацию в свою поисковую базу", а устами зама гендиректора поведал, что заветный robots.txt на серверах все-таки был (хотя Яндекс и настаивает на обратном).
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2011/07/09.html]
При этом озабоченно добавляется, что "действующее законодательство не дает поисковым системам право собирать, хранить и распространять подобную информацию без предварительного письменного согласия пользователей".

Заранее извиняюсь за разжевывание перед теми читателями, для которых ситуация очевидна, но все-таки хочется расставить точки над i. Для случившейся утечки необходимо было сочетание четырех факторов:

1. Вывод подтверждений о доставке sms вместе с их полным текстом на страницы с уникальными адресами, которые существовали в течение некоторого времени. Понятно, что сделано это было ради упрощения реализации: в обработчике формы генерируем случайный id, отправляем асинхронный запрос на отправку sms, редиректим пользователя на url, включающий этот id, - на случай, если сообщение ушло не сразу, и чтоб пользователь мог его рефрешнуть. Нет никаких проблем реализовать тот же функционал, повесив все подтверждения на один и тот же адрес и дать обновлять их хоть через аякс, хоть через кнопку из формы с POST для любителей чистого CGI. Собственно говоря, даже показ всего текста сообщения тут был избыточным. Чистый минус в копилку Мегафона.

2. Открытый доступ к этим страницам. Тут тоже понятно - решили, что случайного 16-символьного id в сочетании с кратким временем жизни страницы будет достаточно для защиты от посторонних. Запароливание потребовало бы предварительной регистрации. Не будь следующего пункта, могло бы и пронести. Но все же еще один минус Мегафону.

3. Передача адресов "секретных" страниц поисковику. Сам по себе поисковик на висящую в пустоте страницу попасть не может, она каким-то образом должна попасть в очередь на обработку индексирующего робота - либо через ссылку, либо вручную. Тут есть две версии - утечка адресов либо через Яндекс.Бар, который стоял у всех пользователей, отправлявших эти sms, либо через установленную на сайте Мегафона Яндекс.Метрику. Тут с полной уверенностью могут что-то сказать разве что специалисты Яндекса либо Мегафона, но лично мне больше нравится версия с Метрикой. Она, по крайней мере, хорошо объясняет, почему такой массовой утечки не было в других поисковиках. Яндекс ссылается на то, что были тексты и в Google с Bing'ом, но там явно не было таких масштабов (и там как раз могли отработать тулбары). Так что еще один минус, но условный.

4. Отсутствие robots.txt, позволяющего запретить доступ поисковиков к публичным страницам. И вот только четвертым пунктом добрались до того, что М и Я называют едва ли не главной причиной утечки. Ребята, ну это ведь вопрос исключительно доброй воли поисковика, сам по себе robots.txt никак нельзя считать чем-то, относящимся к защите информации, ну публичные это страницы, доступные всем желающим. Поставили бы сдуру на эту страницу какой-нибудь внешний счетчик или баннер, и все точно так же утекло бы к сервисам, которые вообще про эти robots.txt не в курсе. Ну и в оправдания "а файл все-таки был" не особо верится - насколько я помню вчерашние обсуждения, появился он днем, когда все, что могло, уже утекло. О чем косвенно свидетельствует Last-Modified: Mon, 18 Jul 2011 09:55:10 GMT у http://sendsms.megafon.ru/robots.txt.

Итого, с технической точки зрения на утечку мы имеем 2 стопроцентных косяка со стороны Мегафона, один условный и еще один весьма вероятный. Со стороны Яндекса же наблюдается честное исполнение своей работы по индексированию информации, находящейся в публичном доступе.

Ну а наезды типа "а чё они заиндексировали смски без письменного согласия пользователей", простите, смотрятся рефлекторной безнадежной попыткой сохранить остатки лица, особенно забавной в сочетании с текстом из того же пресс-релиза, где говорится про отсутствие персональных данных в опубликованной информации. А с чего бы действующему законодательству требовать письменного согласия (и у кого?) на публикацию информации, не содержащей персональных данных, у меня как-то не складывается.

Источник: РБК    
теги: leak, клоуны  |  предложить новость  |  обсудить  |  все отзывы (6) [7303]
назад «  » вперед

аналогичные материалы
Ядро Linux избавляется от российских мейнтейнеров // 23.10.24 23:10
Docker Hub закрыл доступ из России // 30.05.24 15:34
Маск поддержал создателя Дилберта, обвиненного в расизме // 27.02.23 20:39
Утечка сертификатов GitHub Desktop и Atom // 31.01.23 21:59
Очередной взлом LastPass: все хуже, чем казалось // 26.12.22 17:26
Dropbox посеял 130 репозиториев // 02.11.22 02:34
Крупнейшая утечка из облачного хранилища Microsoft // 20.10.22 22:59
 
последние новости
Microsoft обещает радикально усилить безопасность Windows в следующем году // 19.11.24 17:09
Ядро Linux избавляется от российских мейнтейнеров // 23.10.24 23:10
20 лет Ubuntu // 20.10.24 19:11
Tailscale окончательно забанила российские адреса // 02.10.24 18:54
Прекращение работы антивируса Касперского в США // 30.09.24 17:30
Microsoft Authenticator теряет пользовательские аккаунты // 05.08.24 22:21
Облачнолазурное // 31.07.24 17:34

Комментарии:

Всякие robots.txt и nofolow не спасут от того, кто захочет... 21.07.11 16:21  
Автор: www2 Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Всякие robots.txt и nofolow не спасут от того, кто захочет прошерстить сайт. Такой человек может даже наоборот - воспользоваться robots.txt и nofolow для того, чтобы найти информацию, скрытую в поисковиках. Соблюдение требований robots.txt и nofolow - это просто жест доброй воли, хороший образец поведения, сетевой этикет. Средством защиты информации они не являются.
Читаем внимательно 21.07.11 19:59  
Автор: Den <Денис Т.> Статус: The Elderman
Отредактировано 21.07.11 20:00  Количество правок: 1
<"чистая" ссылка>
Если бы отправленные сообщения были доступны из БД сообщений по идентификатору и только в пределах одной сессии пользователя, то никакой бы робот ничего не нашел.
Разработчики сервиса отправки сообщений даже не подумали сделать элементарную защиту от несанкионированного доступа к содержимому СМС сообщений..
И robots.txt играет в этой пьесе последнюю роль.
Спасибо, что расписал. Не мог понять как такое возможно,... 20.07.11 23:42  
Автор: redbrick Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Спасибо, что расписал. Не мог понять как такое возможно, думал что Мегафон передаёт Яндексу информацию для индексирования из рук в руки.
Невероятно безответственный подход к конфиденциальности, просто уму не постижимо, каков же профессиональный уровень разработчиков сего сервиса.
Яндекс отмазывается 20.07.11 03:13  
Автор: Fighter <Vladimir> Статус: Elderman
<"чистая" ссылка>
http://lenta.ru/news/2011/07/19/andnotus/

Но, в общем, очевидно, что прокол со стороны Мегафона. Использование robots.txt, noindex и прочих nofollow хорошо описано в справке Яндекса.
да я вообще-то к тому вел, что robots.txt - это самое последнее, на что нужно было рассчитывать 20.07.11 03:20  
Автор: dl <Dmitry Leonov>
<"чистая" ссылка>
Про Яндекс - да, видел, не стал вставлять, может еще добавлю.
Ага, я понял. 21.07.11 19:26  
Автор: Fighter <Vladimir> Статус: Elderman
<"чистая" ссылка>
Я имел в виду, что аргументы Мегафона яйца выеденного не стоят.
<добавить комментарий>


анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd fsf github gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint programming pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssh ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru



  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach