Статья
1351 19 июля 2011 1:06

Тайна связи прохудилась

Достоянием интернета стала конфиденциальная информация клиентов сотового оператора «Мегафон», которые отправляли SMS–сообщения.

В поисковой системе «Яндекс» стали доступны тексты сообщений. В результате личная, а иногда и интимная переписка стала достоянием общественности. Пользователи поисковика, введя определенным образом сформированный запрос, могли в течение какого-то времени узнать не только полные тексты сообщений и номера, с которых они были отправлены, но даже данные о банковских картах отправителей.

Как сообщает «Мегафон», данная информация уже заблокирована. Однако, с учетом того, что российское законодательство накладывает на сотовых операторов обязательства по защите персональных данных и персональной информации абонентов, скандал может серьезным образом сказаться на репутации «Мегафона».

Так, Союз потребителей раздумывает об иске к оператору сотовой связи за некачественное и ненадлежащее оказание услуг.

«Основания для иска, безусловно, есть, поскольку была опубликована персональная информация. Это также противоречит договору между абонентом и компанией», - заявил председатель организации Петр Шелищ.

По словам Шелища, в случае положительного решения каждый из абонентов, пострадавших в результате опубликования сообщений, сможет обратиться в районный суд с требованием возмещения морального ущерба. «Если была опубликована коммерческая информация, и абонент понес убытки или недополучил прибыль, компания также должна будет возместить ущерб», - считает Шелищ.

Он отметил, что абоненты могут обращаться в суд индивидуально, но целесообразно выступить с коллективным иском.

В управлении «К» МВД России (подразделение в составе Бюро специальных технических мероприятий МВД РФ, занимающееся раскрытием преступлений в сфере высоких технологий. Образовано в 1998 году.) утверждают, что к ним пока не поступало заявлений в связи с утечкой SMS-сообщений, отправленных с портала «Мегафона». Официальный представитель управления Лариса Жукова сообщила, что если заявления поступят, они будут рассмотрены в установленном законом порядке.

Реакция на инцидент последовала и на самом высоком уровне. Так, глава следственного комитета РФ Александр Бастрыкин дал поручение провести доследственную проверку по факту утечки SMS-сообщений. А Роскомнадзор усмотрел в действиях «Мегафона» нарушение законодательства о связи. «Оператор обязан соблюдать тайну связи», - заявил представитель Роскомнадзора Михаил Воробьев.

Эксперты считают, что «обнародование» SMS произошло из-за некомпетентности сотрудников «Мегафона», так как роботы «Яндекса» индексируют только информацию, которая отмечена соответствующим образом и предназначена для общего пользования.

В частности, в сообщении компании «Яндекс» отмечается,  что раскрытие в открытом доступе в поисковой системе SMS-сообщений, отправленных с сайта компании-оператора ее абонентам, стало возможно из-за отсутствия на сайте «МегаФона» специального файла, препятствующего раскрытию данной информации. Речь идет о файле robots.txt - текстовом файле, который предназначен для роботов поисковых систем и в котором веб-мастер может указать параметры индексирования своего сайта.

«В разделе отправки SMS на сайте "Мегафона" в момент индексации по какой-то причине отсутствовал файл robots.txt.», - отмечается в сообщении.

Поясняется, что «Яндекс» индексирует только открытую часть интернета - те страницы, которые доступны при переходе по ссылкам без ввода логина и пароля. Страницы, индексация которых запрещена администратором сайта в файле robots.txt, «Яндекс» не индексирует, даже если они находятся в открытой части интернета, что соответствует всем общепринятым нормам и правилам взаимодействия в Интернете.

В свою очередь пресс-служба «Мегафона» объяснила инцидент техническим сбоем, который связан с работой внешнего администратора.

По данным пресс-службы, сбой коснулся крайне незначительной части SMS, отправленных с сайта оператора. При этом он не затронул SMS-сообщения клиентов, отправленные через телефоны и другие мобильные устройства.

Как отметил «Актуальным комментариям» известный блогер и журналист Антон Носик, подобные «дыры» он обнаружил и на других сайтах, которые предлагают отправку SMS через Интернет. «Веб-интерфейс "Мегафона" - не единственный, где можно поживиться подобным счастьем», - сказал он. Например, есть пермский портал PRM.RU, принимающий SMS-сообщения через веб-интерфейс для абонентов МТС, «Мегафона», «Билайна» и Utel. При этом сообщения доставляются адресатам, а ссылки на их содержимое - в базу «Яндекса».

Носик не исключил, что  в связи с инцидентом понесут ответственность те сотрудники «Мегафона», которые отвечают за защиту персональных данных и за разработку портала отправки сообщений.

При этом Носик отметил, что «дырка» на «Мегафоне» уже закрыта, однако сейчас предстоит подсчитать, сколько еще существует таких «дырявых» порталов. «В любом случае, после такого скандала происходит пересмотр действующих систем защит и принятие мер по закрытию той дырки, которую нашли», - успокоил он пользователей.

По его словам, во избежание подобных инцидентов в будущем следует не хранить SMS абонентов в принципе, как это делают западные компании.

В свою очередь преподаватель Высшей школы экономики, обозреватель Кирилл Мартынов в беседе с «Актуальными комментариями» также выразил уверенность, что ответственность за инцидент несет «Мегафон», так как «Яндекс» «просто делает свою работу и индексирует информацию, которая в открытом доступе».

«То, что содержание SMS появилось в поисковой системе, - это свидетельство того, что у «Яндекса» - хорошая поисковая машина», – отметил он.

Мартынов уверен, что случившееся ударит по репутации оператора связи. «Здесь дело не в том, как мы настроены к "Мегафону". Дело в том, что каждая компания, как игрок на рынке, должна отвечать за свою деятельность и за свой непрофессионализм», - подчеркнул он.

При этом Мартынов не исключает, что в связи с тем, что российские потребители не привыкли защищать свои права, история может достаточно быстро забыться. «У меня есть подозрение, что сегодня все об этом говорят, а через несколько дней уже скорее об этом забудут, и люди продолжат совершенно спокойно пользоваться "Мегафоном". Даже те, кто сегодня обещал этого не делать», – отметил он, подчеркнув, что системе защиты информации следует уделять больше внимания, в том числе и на государственном уровне.

Комментарии экспертов

Никакой вины «Яндекса» в данном случае нет. Он просто делает свою работу. То есть та информация, которая в открытом доступе, индексируется «Яндексом» и добавляется в базу поисковика.

То, что SMS вытащили на свет, просто свидетельствует, что у «Яндекса» - хорошая поисковая машина.

Ответственность в данном случае - на сайте «Мегафона». То есть, есть конкретная группа программистов «Мегафона», которая за эту ошибку несет ответственность. По крайней мере, мне так кажется, если никаких новых фактов не узнаем.

Это вообще большая проблема, потому что мы вынуждены пользоваться современными техническими средствами связи и, таким образом, вынуждены полагаться на профессионализм специалистов, которые обеспечивают безопасность этих средств. Как показывает практика, профессионализм этих людей зачастую оставляет желать лучшего.

Если говорить о средствах защиты информации, то, на мой взгляд, следует следить за историей компании.

Компания, которая работает с информацией (скажем, Google), ее благосостояние, надежность и отношение пользователей напрямую связаны с тем, насколько бережно она заботится о личных данных своих клиентов. Если компания год за годом показывает свою состоятельность, то тогда ей можно доверять чуть больше, чем другим.

Мне трудно предположить, какие юридические последствия будут у «Мегафона», если все эти факты подтвердятся после проверки. Но думаю, что этот факт ударит по репутации компании, и пользователи примут соответствующее решение, что этим оператором связи лучше не пользоваться.

И здесь дело даже не в том, как мы настроены к «Мегафону», а в том, что каждая компания как игрок на рынке должна за свою деятельность и за свой непрофессионализм отвечать.

Правда, у меня есть подозрения, что сегодня все об этом говорят, а через несколько дней уже скорее об этом забудут, и люди продолжат совершенно спокойно пользоваться «Мегафоном». Даже те, кто сегодня обещал этого больше не делать. У нас не так хорошо развита защита потребительских прав.

Что касается защиты информации, то у нас с этим есть проблемы.

Во-первых, сказывается  низкий профессионализм наших специалистов. Многие, к сожалению, явно не дотягивают до мирового уровня. Я думаю, что если бы Google допустил подобную ошибку при программировании, то это было бы просто огромной катастрофой, которая стоила бы миллионы долларов.

Во-вторых, у нас в этой сфере достаточно такое странную позицию занимает государство, которое считает, что интересы бизнеса важнее, чем интересы граждан.

В-третьих, у нас сами люди беззаботно относятся к защите собственной информации. Скажем, Mail.Ru тоже не отличалась хорошей защитой своих почтовых служб. Однако, огромное количество людей продолжает этой компанией пользоваться.

Я не жду особых изменений в области защиты информации в связи с данным инцидентом. Скорее всего, последуют какие-то громкие декларации, а потом все продолжится, к сожалению, по-старому.

У вас есть система. Она работает, но есть какие-то «дырки», которые рано или поздно всплывут, и их нужно будет заделывать. Но получилось, что некоторые «дырки» - такого размера, что возникает вопрос о профессиональной квалификации людей, которые не сообразили заделать их изначально. Технология отправки СМС- сообщений через веб-интерфейс подразумевает, что сообщение на сайте, откуда оно отправляется, записывается в некий текстовой файл. Честно сказать, я не знаю, почему так делается.

По большому счету, с точки зрения самой процедуры, никакой надобности хранить эти данные не существует. Может быть, есть какие-то требования определенных служб. У меня нет такой информации. Но в любом случае, если вы храните эти сообщения, то извольте позаботиться, чтобы они были в закрытом режиме. На Западе информацию смс- сообщений не хранят. Точнее, хранят до тех пор, пока она не доставлена получателю.

В данном конкретном случае претензий к «Яндексу», в общем-то, нет. Есть файл, который описывает все инструкции для робота по отношению к индексации данного сервера. В этом файле прописывается, какие папки должны индексироваться, а куда соваться не следует. По этому принципу работают все поисковики.

Робот же не может сам догадаться, какая информация закрыта, а какая - нет. Вот ему в «Мегафоне» ссылочку эту кто-то и скормил.

Я думаю, что понесут ответственность какие-то сотрудники оператора, отвечающие за защиту официальных данных в этой системе и за разработку собственно этого портала отправки сообщений. Но я не думаю, что кто-то будет предъявлять претензии к «Мегафону».

В принципе, дырка найдена и уже закрыта. И подобного прокола в «Мегафоне» не повторится. Сколько есть еще таких порталов у других операторов, сейчас еще только предстоит подсчитать.

В любом случае, после такого скандала происходит пересмотр действующих систем защиты.

3 ноября 2020 Новости
Объём производства высокоэкологичного бензина «Евро-6» на Рязанском НПЗ «Роснефти» превысил 1 млн тонн
 Объём производства высокоэкологичного бензина «Евро-6» на Рязанском НПЗ «Роснефти» превысил 1 млн тонн Рязанский нефтеперерабатывающий завод (НПЗ), крупнейший нефтеперерабатывающий актив «Роснефти», произвёл более 1 млн тонн бензина марки «Евро-6» с улучшенными экологическими и эксплуатационными свойствами.
1 июня 2018 Новости  Алло, я по объявлению: как западные спецслужбы меняют подход в наборе кадров В Сети начинают появляться наглядные доказательства того, что западные спецслужбы полностью меняют стратегию рекрутинга кадров — вместо привычных методов вербовки они используют социальные сети и рекламу на телевидении. 13 апреля 2018 Новости  СМИ и соцсети помогут авторам телеграм-каналов Социальные сети и традиционные СМИ после решения суда о блокировке Telegram решили поддержать авторов, которые ведут популярные телеграм-каналы.
© 2008 - 2024 Фонд «Центр политической конъюнктуры»
Сетевое издание «Актуальные комментарии». Свидетельство о регистрации средства массовой информации Эл № ФС77-58941 от 5 августа 2014 года, Свидетельство о регистрации средства массовой информации Эл № ФС77-82371 от 03 декабря 2021 года. Издается с сентября 2008 года. Информация об использовании материалов доступна в разделе "Об издании".