Пользователь
0,0
рейтинг
18 июля 2011 в 21:51

Разработка → FAQ по утечке текстов SMS с сайта «Мегафона»

Феерическая история, ставшая сегодня самой популярной новостью дня в сети, вызывает немало кривотолков. Даже люди, близкие к веб-технологиям, не всегда адекватно оценивают произошедшее, что уж говорить о прочей сетевой общественности, часть которой уже объявила случившееся вирусной рекламой. Я постараюсь развеять туман теории заговора в форме ответов на задававшиеся в комментариях вопросы.

В: Как вдруг поисковик получил доступ к текстам SMS?
О: Да они всегда были всем доступны, by design. Напомню, что речь идёт об анонимной отправке SMS с сайта. Разумеется, для этого не надо быть абонентом «Мегафона», и не требуется регистрация на портале — в этом прелесть услуги, особенно когда вам дорога каждая секунда. Однако снабдить посетителя минимальными удобствами разработчики не поленились: для каждой попытки отправки генерируется страница со случайным адресом, на которой отображается текст SMS и статус её доставки. Вот её-то и может прочитать кто угодно, включая роботов.

В: Разве нет возможности ограничить доступность этих страниц, не осложняя жизнь пользователей?
О: Разумеется, есть. Вот лишь самые очевидные: привязка к сессионной cookie в браузере, сильное ограничение времени жизни страницы и наконец, robots.txt, запрещающий индексацию этих страниц поисковиками. Файл robots.txt был добавлен лишь в ходе сегодняшнего экстренного латания дыр, что подтверждается официальным ответом «Яндекса». Почему об этом не задумались разработчики? У меня есть теория на этот счёт: раздолбайство :)

В: А почему же Google ничего не видит?
О: Для того, чтобы проиндексировать страницы, надо сначала о них узнать. Как правило, поисковики переходят на новые страницы по ссылкам с уже известных им страниц, каковых в распоряжении Google не оказалось. Впрочем, несколько страниц он всё же проиндексировал, просто на фоне «Яндекса» получилось не столь эффектно.

В: Но как же «Яндекс» их нашёл?
О: Это же «Яндекс», найдётся всё. Наиболее правдоподобная версия: установленный на сайте код «Яндекс.Метрики». Заметая следы В ходе аварийных работ «Мегафон» избавился и от него, но в данный момент в Google ещё доступен кэш от 5 июля, где он присутствует. Адреса всех посещённых на сервисе страниц становились известны «Яндексу» — в этом принцип работы «Метрики». Любопытно, что присутствовал там и код Google Analytics, но поисковики по-разному распорядились получаемой информацией. Я бы не назвал это фэйлом «Мегафона» — имело место нормальное использование хороших инструментов. А для сокрытия непубличных данных, повторюсь, надо использовать robots.txt, привязку сессии к браузеру, авторизацию на сайте и другие методы.

В: А почему так мало сообщений проиндексировано?
О: Для начала напомню, что это лишь сообщения, отправленные с сайта, их оттуда не миллионы посылается, как с телефонов. Теперь кое-что о поисковиках. «Яндекс» никогда не пытается выкачать сайт целиком, если счёт страниц идёт на десятки и сотни тысяч, и если только мы не говорим о высокоцитируемой «Википедии». Страницы скачивались постепенно, выбираясь из переполненной очереди непредсказуемым образом, так что к моменту захода робота они уже и «Мегафоном» могли быть удалены. Какая часть сообщений в итоге попадала на поиск, не ясно, но точно небольшая. Ну а старые страницы просто уходили из индекса при очередных обновлениях кэша — мусор на поиске долго не живёт.

В: А что же сообщения все такие интересные? Где односложные «Ок», «Да», «Нет»? Где «Буду через 5 минут» и «Занят, перезвоню»? Почему мало транслита и много ошибок?
О: И снова есть специфика как сервиса, так и поиска. Сайтом пользуются не на бегу, он как раз для длинных SMS кстати. Отвечать с него тоже неудобно — вопрос-то в телефон пришёл. В транслите нет нужды: не влезло в одно сообщение — пиши второе, халява же. Ну и анонимность провоцирует на многое: часть этих текстов вполне может оказаться дурацкими розыгрышами и подставами. Но даже если шаблонных сообщений будет 99%, «Яндекс» покажет на первых страницах именно 1% «интересных» с его точки зрения. Так уж устроено ранжирование по запросу, ограниченному сайтом, но не содержащему текст. Цитируемость у всех страниц нулевая, поведенческие факторы тоже одинаковые, остаётся только контент: чем больше необычных (экспрессивных, ошибочных) слов, тем выше его уникальность, тем он ценнее. Всё это и сделало из поисковой выдачи филиал «Башорга».

В: Да точно это вирусняк! Не бывает же плохого пиара.
О: Кажется, в маркетинге, как и в футболе, у нас разбираются все :) Процитирую комментарий niketas из ушедшего в черновики топика:
Мне кажется, что ты даже когда застанешь девушку в постели с другим парнем, скажешь «Вот это ты меня разыграла, шутница!» и пойдёшь ставить чай на кухню.
Нанесён непоправимый ущерб репутации оператора, Следственный комитет РФ начал проверку по факту утечки, пострадавшие абоненты, чья переписка стала публичной, собираются подавать в суд с требованием денежной компенсации. Какая же каша должна быть в голове, чтобы увидеть в этом выгоду для «Мегафона»? Новых абонентов таким фэйлом не привлечёшь, а вот старых потерять — запросто, в придачу к потере репутации и денег.

UPD (20.07.2011): Обновил информацию по «Яндекс.Метрике», ибо обнаружились доказательства того, что она стояла на сайте (спасибо w0den). Скопировал из комментариев свой ответ про пиар.
робот @Phaker
карма
76,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (158)

  • +10
    Теперь по тому как были ранжированы sms-ки можно судить об алгоритмах яши)
    • –16
      Просто пользуются таким видом отправки смс либо дети, либо спамеры)
      • +1
        Судя по содержанию смс в основном девушки, но это не даёт права мегафону или яндексу на «публикацию» их…
        Думаю тебе тоже не понравится как тысячи людей смеются над твоими любовными смс, но не будем переходить на личности…
        • +13
          Я думаю, Мегафон вместе с Яндексом и не хотели воспользоваться этим правом. Это получилось ненарочно.
          P.s. Чуствую, кому-то из IT Мегафона устроят жесткую порку.
          • +1
            а тем не менее поиск по прежнему всё находит, правда не понимаю как оно там устроено, с работы перестало искать, у друзей не ищет, из дома находит… возможно от региона как то зависит… но факт в том что яндекс ничего не подчистил, только прикрыл выдачу, но не до конца…
            • +3
              А как вы себе представляете «подчистить» в масштабах Яндекса? Сдается мне, если бы была возможность оперативно выкинуть из выдачи 8000+ страниц, Яндекс сделал бы это по первой просьбе от Мегафона. Они ограничили доступ к выдаче, принудительно наложив фильтры. Сейчас вопрос лишь в том, как быстро бот Яндекса прочитает правила из robots.txt и удалит из выдачи копии страниц уже запрещенных к индексации.
              • НЛО прилетело и опубликовало эту надпись здесь
                • +4
                  вообще странные обвинения в адрес яндекса…
                • +4
                  ФСБ ведь направило Яндексу официальный запрос, что им оставалось делать?
                  • 0
                    Официальный запрос разгласить эту информацию третьим лицам?
                    • +3
                      1. ФСБ запрашивает данные по платежам у Яндекса.
                      2. Данные оказываются у ФСБ.
                      3. ФСБ передает их нашистам (примерно так)

                      Давно Яндекс несет ответственность за деятельность наших ведомств?
                      • НЛО прилетело и опубликовало эту надпись здесь
                        • –1
                          Кстати, вот этот вопрос мне тоже интересен, где иск яндекса к фсб…
                          • 0
                            ну не от яндекса а от пострадавшей стороны, т.е. людей чьи данные были разглашены… либо прокуратура… почему от яндекса то?
                            • –1
                              Потому что в данном случае яндекс тоже пострадавшей, люди в данной ситуации могут попытаться только извлечь с наших судов цифру равную моральному вреду, что в наших судах оценивается не шибко высоко, ну и людям это не очень интересно.

                              Яндекс же в данном случае получил ухудшение деловой репутации, то есть тоже является пострадавшей стороной, и восстановить ее можно только в случае если будет выиграно (ну или хотя бы обозначено данное судебное разбирательство.
                        • +1
                          По какой статье? Сформулируйте этот иск. Так, чтобы он был принят в производство. Вообще Яндекс не является пострадавшей стороной и не может предъявить иск. В лучшем случае это могут сделать люди, информация о которых была разглашена. И то если за это предусмотрены санкции и чём я лично очень сомневаюсь (моральный вред? нужно привести доказательства причинения морального вреда. справки из больницы, например. осуществимо?). Думаю, юристы яндекса просто не нашли способа составить такой иск.
              • –3
                честно говоря думал у них там есть «большая красная кнопка» которая делает что то вроде delete all from cache where content like 'текст'; видимо нет… просто совсем не представляю их инфраструктуру…
          • 0
            Делов-то, уволят текущего вебмастера, наймут другого такого же. Зато отчитаются, что «приняли меры». Проблемы надо сверху решать, менять порядок работ и т.п., а не как обычно когда отдельный участок работы висит целиком на ком-то одном(в целях экономии на штате), что неизбежно ведет к подобным казусам рано или поздно в связи с отсутствием контроля хотя бы поверхностного.
            • 0
              Вас послушать, так вы просто гений программирования, все случаи способны предусмотреть.

              Если в ваше программе нет ошибок, значит она ничего не делает (с).

              Я считаю, что это серьезный баг, но его нельзя списать на «тупого» программиста, это одна из форсмажерных ошибок. Я бы судил мегафон по оперативности исправления, а не по факту наличия этой баги.
              • +1
                Видимо Вы путаете само программирование и организацию труда как таковую. Перечитайте еще раз что именно написано в моем посте. Ибо наоборот упор делается не на конечного исполнителя.
              • +2
                Извиняюсь, но это азы профессии web-программиста — всё равно, как если хирург во время операции полез бы в рану немытыми руками из-за того, что ему лениво их мыть.

                Подобные вещи должны сразу приходить в голову — сразу после придумывания, как реагировать на сабмит формы (что бы её нельзя было отправить дважды), и до ломания головы на тему XSS/CSRF.
            • +1
              Яндекс здесь по сути вообще не при делах. Яндекс — это инструмент. Они не создавали что-то сверхновое, направленное на индексацию конфиденциальной информации (тем более конкретно у Мегафона). Почему они должны отчитывать в суде, кого-то увольнять?
              А что там в Мегафоне произошло, какой там администратор что поменял это дело только Мегафона.
              Яндекс по просьбе оператора каким-либо образом посодействовал (полностью или частично но скрыл СМС из выдачи), хотя в принципе не обязан это делать, и ждал бы Мегафон месяц пока из выдачи вылетят СМС.
              А вот на Мегафон в праве подать в суд, что и было сделано.
              «Статья 138 УК РФ. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений» — преднамеренно или случайно, но факт остается фактом.
        • –4
          Конечно не понравилось бы) В далеком прошлом иногда прибегал к подобным услугам. Но тогда смс из интернета у многих по умолчанию заблочены были.
          • +2
            Поясните, к каким услугам?
            • –3
              Отправка сообщений через смс шлюз. Мой предыдущий пост — ответ на замечание)
              • –1
                никогда они не были заблочены. Во всяком случае от Вас впервые слышу
                • 0
                  У триопсосов можно было отключить услугу принимать SMS с сайта.
                  • +2
                    «Можно было» и «отключено по-умолчанию» вещи очень разные
                    • +1
                      В старые добрые времена, когда в Украине было 2 оператора, у одного из них они были отключены по-умолчанию.
                      • 0
                        У того оператора о котором Вы говорите по дефолта был отключен прием сообщений с гейта мейл2смс, прием сообщений с оффсайта и сайтов других операторов в этого оператора не отключался никогда (просто абонентам такой возможности не предоставляли)
      • +4
        Я, вроде бы, уже давно не ребенок. Да и к спамерам себя не причисляю.
        Иногда удобная штука.
        Лень тянутся к телефону и набирать текст на нем, если можно на хлв набрать этот же текст на клавиатуре.

        А делаать такие заявления — проще простого.
        • –3
          С комментарием Вашим я согласен.
          Смущает только формулировка «к спамерам себя не причисляю». Всем нам ведь приходилось получать письма, начинающиеся со слов «это письмо не является спамом» ;)
      • +3
        Этим способом пользуюсь, например я, когда надо срочно что-то передать какое-то сообщение из США в Россию, а деньги на счету Google Voice кончились и есть только халявный Wi-Fi в сквере.
      • +1
        Я иногда отправляю смс с сайтов операторов, когда нужно что-то скопипастить из инета, а набирать на клавитуре телефона долго/муторно.
  • +1
    И кстати, транслит там был.
  • +2
    Коротко и ясно. Не помешает скинуть линк на этот FAQ в twitter, ибо бурлит-с.
  • +1
    Не ожидал такого от оператора… robots.txt — ну это же так просто.
    • –3
      Не так уж просто, поддомен-то искусственный.
    • +2
      Его вполне мог подправить или удалить уволенный сотрудник, например
      • –1
        Говоришь не по наслышке? :)
      • 0
        Подозреваю, что в свое время Мегафон успешно переходил на некую платформу для работы с SMS от некоего именитого вендора (которая предоставляет операторам возможность запускать довольно неплохие SMS-based VAS для абонентов). Платформа весьма сложна в интеграции и вполне возможно, что при интеграции кто-то чего-то не заметил (при запуске услуг так иногда бывает :( ).
        Все вышенаписанное есть только моими личными предположениями.
    • +1
      Если бы все всё помнили, то при сдаче экзамена на вождение не было бы 5% не пристегнувшихся.
  • +9
    А куда с Хабра дели «главный» топик про фейл Мегафона?
    • +5
      НЛО негодуэ, написано же.
      • +2
        У меня он вообще как-будто пропал, даже про НЛО ничего нет.

        А почему оно, собственно, негодуэ?
        • +4
        • 0
          Видимо «интересный экспрессивный контент» привлекает неправильный трафик. :)
        • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      Из за того что все несли чушь, его удалили…
      • +12
        Чушь — это цитирование текстов СМС? Администрация, видимо, не захотела спорить с законом о публикации чужих персональных данных?
        • 0
          Здесь состав УК РФ не по персональным данным, а по тайне связи — ст.138, ч.1 и 2.
    • +17
      Он наверное перебил по популярности (фейковой) топик-картинку про тостер.
      • +4
        Когда уходил с работы там был рейтинг около 300
      • +5
        семячки от мегафон оказались вкуснее тостов от хабра
    • +3
      Один уже спросил, теперь в бане. Осторожно.
      • +2
        Опс. Что-то в бан не хочется. Я там в своё время около года просидел.
        • +4
          Да было б за что ещё.
          • 0
            Всегда есть за что!
            • +3
              Вот и они так думают, видимо. Последнюю формулировку бана вообще можно считать оскорбительной по отношению к пользователю.
      • +1


        Тоже теперь в бане.
  • +1
    Кто хотел авторских анекдотов — уже скачали СМСки, в сети есть ссылки.
  • –3
    А мне все равно кажется содержание большинства смс слишком похожим.
    Ну это или алгоритмы яндекса, или фантазия маркетологов, или их же лень — мы вряд ли узнаем.
  • +4
    Где можно всё это почитать?
    • –2
      В Яндексе
      • +1
        PS этим вопросом Вы подставляете людей, которые ниже постят ссылки на сохранённые страницы. Так и этот топик могут прикрыть…
        Ник в тему
        • +1
          Простите!? А что в этом противозаконного?
          • +2
            Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации — наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев.
            • +1
              публично демонстрирующемся произведении или средствах массовой информации

              Вот виновники. В СМИ просочилось. Мы увидели. СМИ виноваты.
              • +10
                Ну конечно, во всём виноваты СМИ и прочие корпорации зла. А те индивиды, которые тащат всё что плохо лежит, парсят и распространяют через файлопомойки приватные данные других людей — они все робингуды. А на тех людей, которые пострадают неизбежно от публикации их сообщений — на них конечно можно наплевать и поржать. Ну не уважают в этой стране людей, я привык уже. И себя не уважают. И ответственность свою перед обществом не признают. Потому и общества нет. Потому и живём в дерьме, потому и неспособны объединяться чтобы защитить свои интересы, защитить себя. А потом ищем куда бы уехать где жизнь получше, только удивляемся что там на нас как на прокажённых смотрят.
                • +3
                  А те индивиды, которые тащат всё что плохо лежит, парсят и распространяют через файлопомойки приватные данные других людей — они все робингуды.

                  Я постил ссылку именно на сохраненный оригинальный пост, а не на консолидированный массив смс-ок. Вроде, есть разница.

                  Мегафонцы виноваты в любом случае, если делаешь большой и важный сервис (особенно, если он будет использоваться для разных целей, в том числе — личных) — позаботься о сохранности пользовательских данных. Их косяк. Зато теперь будут знать, что так больше делать не надо.
                • +4
                  Не часто приходится созерцать подобные события, обычно сообщество Хабра обсуждает их постфактум. Как заметил мой товарищ «и интересно тебе рыться в чужом грязном белье?». Отвечу честно — нет. Поржал ли над некоторыми SMS — да, чего греха таить. И все таки думаю, что в таких ситуациях, которые происходят буквально на глазах, необходимо пытаться вытащить больше уроков для себя, так сказать учиться на чужих ошибках, нежели пытаться сохранить побольше сообщений. В данном случае, для многих представителей айти-сообщества должно дойти, что к своей работе необходимо подходить более чем серьезно: сегодня вы пишете код или настраиваете сервер «на авось», а завтра информация с вашего ресурса/сервера станет достоянием общественности совершенно «случайно».
            • +2
              ЗЫ

              И, раз на то пошло, то мы постим ссылки на сохраненные страницы, которые просто являются постами, а не сборником личных данных. Это просто ссылка на пост о раздолбайствах в крупных компаниях.
        • +4
          Так и Гугл могут прикрыть, наверное, да? Насохранял там себе то, что удалили с Хабра, ай-яй-яй.
    • –1
      Ищи, например, на lenta.ru в популярном изложении.
    • 0
      В кеше гугла топик сохранился, но, увы, не полностью.+
      • 0
        И Бинга, если вдруг что.
        • 0
          Страницу находит, но кэш недоступен.
          • 0
            Доступен, из всплывающего окошка.
            • 0
              Или я совсем глупый, или у меня такого нет.
              Есть окошко по «дополнительно», но там про кэш ничего нет.
  • 0
    К слову, гугль тоже немного проиндексировал. Но меньше, и бОльшая часть была уже пустыми страницами.
  • +17
    Как же любят компании держать всех за лохов и любые проблемы объяснять «сбоем сервера».

    произошел технический сбой, связанный с работой внешнего администратора сайта

    Только я один не понимаю эту фразу?

    • +10
      Их сайт админит фрилансер?

      А сбой его работы — сложный переход от вечера воскресенья к утру понедельника.
      • 0
        «сложный переход от вечера воскресенья к утру понедельника» — не думаю, последний апдейт был еще 16го числа.
        • +1
          Значит, субботний опохмел помог.
    • 0
      И что здесь непонятного?
      Это обычная практика, когда крупные компании передают свои многочисленные сайты в управление внешним подрядчикам, который в данном случае и налажал.
      • 0
        То, что они кому-то чего-то передают — это их личное дело. Налажал «Мегафон». И по-моему, причиной явилось обычное раздолбайство, а не «технический сбой».
    • 0
      Яндекс в своем заявлении называет это «техническим сбоем» (в кавычках).
      Все, кому надо, понимают суть происходящего, для остальных пусть это будет «техническим сбоем».
  • 0
    В. Не следует ли Яндексу убрать эти смски из кэша совсем, а не просто прикрыть семейным фмльтром? Ведь там и паролей дофига, только слово добавь к запросу.
    • 0
      Ага, там есть пароль к акку «Мир танков» с ИСом.
    • 0
      Они, безусловно, со временем уйдут из кэша, как и любая удалённая страница. Может ли «Яндекс» ускорить этот процесс? Вероятно, но точно не мгновенно. Стоит ли это сделать? Я считаю, что стоит. Скорее всего, «Яндекс» займётся этим, но тут уж я не могу утверждать наверняка.
  • +2
    Помимо Яндекс.Метрики в твиттере сегодня звучали предположения, а не замешан ли здесь Яндекс.Бар, установленный у отправлявших смс.
  • +13
    Очень бестолковый FAQ. Где, например, ответ на вопрос «Как мне на этом заработать?»
    • +2
      А кто-нибудь знает, кто первым обнаружил и опубликовал эту проблему?
    • 0
      как заработать? легко!

      1 — находите забор;
      2 — делаете в нем дырку;
      3 — ставите кассу и начинаете продавать билеты на ПОДСМАТРИВАНИЕ
      4 — Profit!

      Судя по радостным воплям и обсасыванию деталей смсок, ПОДСМАТРИВАНИЕ будет пользоваться нехилым спросом. Причем что за забором — уже неважно. Пустырь, стройка, лес, шоссе — будут платить именно за ПОДГЛЯДЫВАНИЕ.
  • +6
    Офигеть, меня процитировали. Вот она, слава.
    • +5
      Давай я еще подкачаю тебе ЧСВ:
      Офигеть, меня процитировали. Вот она, слава.

    • +2
      Можно автограф?
      • +1
        Ну ты сейчас смеешься, а вечером к тебе чел домой завалит с ручкой и спросит где расписаться :).
        • 0
          Вау, я увижу его живьём! Того самого, которого процитировали! Будет что внукам рассказать :)
        • +4
          Вводная: Ранее воскресное утро, звонок в дверь. Вы открываете и видите с той стороны Владимира Путина, Дмитрия Медведева, Рамзана Кадырова, пятерых телохранителей и две телевизионных бригады. В руке Рамзана пачка распечаток с жэжэшечки, лепры, твиттера и раённого форума. Тех страниц, на которых вы критиковали власти этой страны не стесняясь в выражениях и mad skillz — на верхнем листе видна вашего же авторства грубая фотожаба, намекающая на то, что Рамзан еб#$ овец.

          Телохранитель мягко толкает вас внутрь квартиры, проводит в гостиную и усаживает в кресло. Вслед за ним проходят все остальные. Приглашённый популярный телеведущий встаёт в красивую позу, на камерах загораются красные огоньки и он говорит — «Сегодня мы решили навестить непримиримого интернет–оппозиционера %username%, чтобы задать ему несколько вопросов о его деятельности»…

          Что будете делать дальше?
          • 0
            Facepalm, пока не уйдут? :-)
            • 0
              Уйдут?
      • +2
  • 0
    Возмущает сохранение данных AS-IS.
    Забавно то, что Мегафон покупает рекламу на Хабре. Наткнулся в сохраненной статье за прошлый месяц.
    Еще более забавным является тот факт, что по выше обозначеной ссылке среди рекламы присутствуют зелено-фиолетовые тона Мегафона, с каким то супер дупер тарифом. И цена ему подходящая — три копейки.
    Стоимость смс не указали.

    Кстати человека зря заминусовали, не его мопед вроде, да и вспомним недавний скандал с индусами(да-да представителями индуизма, которых нельзя путать с индейцами и все конечно же имеют ввиду индийцев, по-сути все мы тут индусы, разделяем кармические принципы), которыеупустили из локального груп-она данные в кэш гугла, на западе людям дали возможность проверить свои данные, сменить пароли, etc/
  • –5
    Сейчас прибегут продажные хабравладельцы и потрут все — осторожнее с упоминаниями мегафонов и всего связанного с событиями!
  • +1
    Сюжет про утечку на Вести-24 уже крутят. Даже взяли интервью у одного из пострадавших — автора вот этого сообщения
    Лапуль, ответь мне пожалуйста на вопрос: насколько для тебя важно, ТО С КЕМ ИМЕННО Я ОБЩАЮСЬ? Или это не имеет значения!?

    www.vesti.ru/videos?vid=349436

    А еще и сюжет в Вести.NET вышел
    www.vesti.ru/videos?vid=349429
  • +4
    Разместить объявление по запросу «url:sendsms.megafon....»
  • +3
    «Мегафон» заявил, что на сайте оператора произошел технический сбой, связанный с работой внешнего администратора сайта, и что он был оперативно устранен.

    Сбой или администратор?
  • 0
    Иногда просто удобно быстро набрать длинную смску на компе и отправить, чем морочить себе голову с Т9 или даже набирать по буковке смску из 150 символов. Так что не всегда в халяве причина.
    Единственный минус — не видно отправителя. У Киевстара есть (или была) простенькая программа для PC — ставишь ее, подтверждаешь свой телефон и спокойно отправляешь смски со своего номера и с компа, естественно, снимают деньги с счета как за обычную отправку смс.
    • 0
      У мегафона есть сервис-гид, через который можно бесплатно отправить сообщения на их же номера. При этом отправитель указывается. Но этот сервис с авторизацией и https.
  • +2
    А почему никто не пишет о том, что проблема скорее не в robots.txt, а в том, что параметры передаются GETом?
    • 0
      скорее и то и то есть проблема.
  • –2
    Есть версия, что утечка была у пользователей, у которых стоит яндекс.бар и поэтому количество смс не настолько большое.
  • 0
    Похоже у Мегафона ребрендинг кадров, «пионеров» на практику набрали.
    буквально пару дней назад по почте была переписка с участниками рассылки
    customer@retail-center.ru с темой Новости салонов «МегаФон»
  • 0
    Где транслит?

    Eto ya, simka ne rabotaet. Vse horosho, veshy zabrala, idu kupatsya, Mina vel discotecu i bil na show. Mamku uspokoy esli chto. Iz otelya pozvonyu.
  • –1
    Все же, если это не вирусный маркетинг, почему на первой строке в выдаче яши, почти сразу появилась реклама от мегафона?
    • 0
      Нанесён непоправимый ущерб репутации оператора, Следственный комитет РФ начал расследование по факту нарушения статьи 138 УК РФ, пострадавшие абоненты, чья переписка стала публичной, собираются подавать в суд с требованием денежной компенсации. Какая же каша должна быть у вас в голове, чтобы увидеть в этом выгоду для «Мегафона»? Новых абонентов таким фэйлом не привлечёшь, а вот старых потерять — запросто, впридачу к потере репутации и денег.

      Кстати, о какой такой рекламе в первой строке выдачи вы говорите?
      • 0
        Реклама наверно была всегда, просто debugg возможно так часто искал мегафон. что яндекс директ теперь ему и рекламу мегафона выдает ;)
  • –2
    И что-то ни слова о том, что в Гугле тоже есть, даже наоборот, говорится о том, что Гоша не узнает :)
    spreadsheets.google.com/spreadsheet/lv?hl=ru&key=t-WM8ugWq19pkYqwZMdu3CA&toomany=true#gid=0 — а это что тогда?
  • 0
    А не осталось ниукого той страницы из блога «информационная безопасность»?
    Чисто поугарать.
  • 0
    Не знаю насколько это соответствует действительности, но Лайфньюс пишет:
    «Утечка СМС абонентов „МегаФона“ и других сотовых операторов может быть связана с хищением кодов программ крупнейшего российского поисковика.»
    lifenews.ru/news/64117
  • 0
    «Как заявил первый заместитель гендиректора „Мегафона“ Валерий Ермаков, после отправки SMS через сайт „Мегафона“ создается временная служебная страница с текстом сообщения и номером его получателя. Копии этих страниц по какой-то причине попали в выдачу „Яндекса“.

    Оператор предполагает, что отправлять копии страниц на сервер „Яндекса“ могло дополнение „Яндекс.Бар“. Оно представляет собой панель инструментов для браузера для быстрого доступа к сервисам „Яндекса“ и устанавливается по желанию пользователя.»

    Хабр подсказал Мегафону отмазку? Это правда инфо с Ленты.

    А в пресс-релизы они пишут интереснее

    «Сбой заключался в том, что не было введено специальное защитное ограничение для сервисов «Яндекса», скачивающих информацию в свою поисковую базу. ».

    Наехать что-ли самому на Яндекс? Чего это он мой сайт проиндексировал, лично у меня не спросил разрешения?
    • 0
      «Особую озабоченность оператора вызывает тот факт, что в данной ситуации компания «Яндекс» не только использовала данные о содержании SMS, но и позволила им попасть в поисковые запросы, что сделало их публичными.»

      !!!
      • 0
        *Что-то про бельгийские газеты*
        • 0
          Кстати да, супер решение для Яндекса.

          Сказать — «мы не знаем, где у вас на сайте можно индексировать, а где нельзя. Уберем мы вас вообще из индекса, чтоб не засудили».
    • +1
      отправлять копии страниц на сервер „Яндекса“ могло дополнение „Яндекс.Бар“

      Бред полнейший. «Яндекс.Бар» мог только сообщить адреса страниц поисковому роботу (и это ещё одно возможное объяснение, откуда «Яндекс» про них узнал), никакие копии страниц на сервер он не отправляет!

      Надеюсь, что это просто неграмотные журналисты «Ленты» переврали, потому как мегафоновцы с таким профессионализмом ещё немало дров наломают.
    • +1
      А дальше то:
      «В данной ситуации компания „Яндекс“ не только использовала данные о содержании SMS, но и позволила им попасть в поисковые запросы, что сделало их публичными. При этом действующее законодательство не дает поисковым системам права собирать, хранить и распространять подобную информацию без предварительного письменного согласия пользователей»

      Яндекс позволил попасть SMS в поисковые запросы, что значит позволил? Такое представление что в Яндексе сидят специально обученные люди, которые ходят по нашим сайтам и добавляют их в индексацию.
      Я абсолютно уверен в невиновности Яндекса. При всех обстоятельствах. Яндекс — это всего лишь инструмент. Хорошо настроенный и отлаженный для достижения высокой релевантности выдачи, работающий по определенным правилам. И в нем уж точно не указано что нельзя заходить на сайты операторов и индексировать SMS сообщения.
      Мегафон позволил, а я «Яндекс — найдется все» Яндекс нашел.
  • 0
    Автор, Вы, скорее всего сотрудник Мегафона, и понятно почему Вы этот текст написали и зачем. Объясните пожалуйста, почему не стоял запрет на индексирование поисковыми роботами страниц?
    • 0
      Потому что robots.txt это только рекомендация, и полно примеров, когда поисковики на него забивают. Он ничего никому не гарантирует, и не может
      • 0
        Верно говорите. robots.txt ни от чего не защищает.

        Но запретить или ограничить индексацию можно и некоторыми другими способами, как-то проверка реферера, привязка псевдосекретной ссылки к ip, ограничение времени жизни псевдосекретной ссылки, проверка user-agent… вот то, что мне сразу пришло в голову.

        Раз уж не предусмотрена авторизация.

    • +1
      Никогда не имел к «Мегафону» отношения и даже не был их абонентом. Более того, в этом топике я утверждаю, что утечка имела место и вина всецело лежит на «Мегафоне», в то время как в официальных сообщениях компания пытается переложить вину на «Яндекс». И на ваш вопрос я уже высказал теорию в тексте: раздолбайство сотрудников «Мегафона», за что им стоило бы понести ответственность.
  • 0
    Мегафон в своем пресс-рилизеутверждает, что данные стали публичными в Яндексе.
    Я здесь есть некое лукавство, т.к. публикация текстов sms на публичной части публичного сайта публичной сети Интернет — результат действий именно Мегафона.

    В том же абзаце Мегафон утверждает, что в публично доступных материалах нет персональных данных («только номера абонентов-получателей без привязки к их ФИО, а также и тексты сообщений»).
    Получается, что упоминавшая выше в комментах тайна переписки не нарушена, т.к. сообщения анонимны, происхождение их не известно.

    • 0
      Но и в обычной почте отправитель, фактически, всегда анонимен. Заполнение обратного адреса на конверте не является обязательным, и туда вообще можно вписать что угодно — он нужен лишь для возврата недоставленной корреспонденции. Фактически, бросая в почтовый ящик конверт, вы делаете то же самое, что и на сайте «Мегафона».
      • 0
        Я обратил внимание на анонимность вот почему: никто не может пожаловаться на Мегафон (мол, нарушена, тайна моей переписки), т.к. врядли кто-то сможет доказать, что это именно его переписка.
        • 0
          В любой переписке всегда есть по меньшей мере две стороны — и получатель одна из них. Тайна переписки получателей этих SMS грубо нарушена. Не хотите же вы сказать, что несанкционированный доступ к чьей-то входящей почте вполне законен, если авторов отправлений невозможно установить наверняка?
          • 0
            Я не юрист, поэтому не стану аппелирвоать к законности.

            Но в данном случае нельзя наверняка установить не только отправителей, но и получателей.

            Предположим, что кто-то сделает сайт с некими номерами и текстами, скормит его боту Яндекса.
            Как именно может быть доказано, что это переписка, что некие персоны отправили сообщение другим персонам?

            Входящая почта, о которой вы говорите, как правило запечатана в конверты, иногда лежит в запираемых индивидуальных почтовых ящиках.
            Она не публикуется в открытых источниках, местечковых газетах и не висит на досках объявлений.

            • 0
              Э… «Мегафон» уже признал, что утечка была, и сомневаюсь, что они вдруг бросятся во все тяжкие, начнут врать следователям и суду, уничтожат логи (или БД) в своём SMS-центре и придумают красивую историю о том, что на sendsms.megafon.ru ещё недавно был всего лишь форум. В СК России не совсем уж дураки сидят.
              • –1
                Ну, у Мегафона было не много вариантов. Признал, так признал.

                Дело в том, что для суда тут ничего нет.

                Если кто-то и пожалуется на Мегафон, то ему придется доказывать, что Мегафон виноват. Ну и какие есть возможности у обычного интернет пользователя для этого? Я думаю, никаких.

                В логах и БД может быть записано, что сообщение отправлено, но об отправителе там ничего — он неизвестен.

  • 0
    > В: Как вдруг поисковик получил доступ к текстам SMS?
    > О: Да они всегда были всем доступны, by design. Напомню, что речь идёт об анонимной отправке SMS с сайта. Разумеется, для этого не надо быть абонентом «Мегафона», и не требуется регистрация на портал

    Что значит by desing?! Ясно, что отправка анонимна, но зачем хранить тексты СМС сообщений на сайте, а тем более допускать возможность их просмотреть?
    • 0
      By design означает, что так и было задумано при проектировании системы, и ничего в этом месте вдруг не сломалось. Я лишь объясняю, как оно всегда было устроено, а насколько это хорошо или плохо — другой вопрос.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.