Яндекс и МегаФон: найдутся все SMS

Понятно, что не все, но даже восемь с половиной тысяч отправленных с сайта и «утекших» в интернет сообщений заставляют призадуматься. Каковы бы ни были технические причины и кого бы ни объявили «стрелочником», вывод очевиден: интернет-пространство весьма уязвимо, а поисковые роботы беспощадны и не прощают ошибок. Думайте, что и где пишете, это единственный гарантированный способ избежать неприятностей.

SMS утекли в интернет

В понедельник 18 июля после полудня в форумах начали обсуждать тексты «опубликованных» в интернете SMS-сообщений, отправленных с сайта МегаФона. Определенным образом выстроенный поисковый запрос выдавал 8750 результатов, из которых, по утверждениям оператора, порядка восьми тысяч являлись реальными SMS-сообщениями вместе с телефонными номерами получателей. К двум-трем часам дня интернет-сообщество уже бурлило, заветная ссылка растеклась по форумам-твиттерам и тема стала самой обсуждаемой в рунете. Скриншот третьей страницы (см. выше) быстро обошел все онлайновые СМИ и процесс стал неуправляем.

Как и следовало ожидать, любителей покопаться в чужом белье оказалось предостаточно. SMS-ками зачитывались, их цитировали в твиттере, ретвитили и пере-ретвитили. Даже видел на форуме фразу «весь день сегодня читал». Хэштэг #Мегафон превратился во всероссийскую помойку, в которой до позднего вечера с упоением копались поклонники такого рода «литературы».

Дальше — хуже. Конечно же, нашлись умельцы, заботливо собравшие и отсортировавшие все сообщения в экселевские файлы с их «врожденной» удобной схемой поиска. Это был, можно сказать, завершающий аккорд в этой короткой, но бурной истории. По некоторым оценкам, по интернету в той или иной форме успело «растечься» порядка полутора тысяч сообщений, больше из поисковой машины Яндекса вытащить не смогли или не успели. С момента начала широкого обсуждения до блокирования показа отправленных SMS Яндексом прошло порядка трех часов, для интернет-пространства это очень большой срок. Видимо, для подобных ситуаций пора разрабатывать какие-то схемы экстренного реагирования. Чтобы сперва оперативно устранять последствия технических ляпов, а потом уже не спеша разбираться в том, кто виноват и как такое могло произойти.

Официальный комментарий МегаФона:

«В процессе взаимодействия сайта оператора и Интернет-сервисов Яндекса произошел технический сбой, в результате которого в поисковую базу Яндекса попало некоторое количество сообщений клиентов, отправленных через сайт «МегаФона». Проблема была локализована техническими специалистами и быстро устранена. Подчеркиваем, что сбой не затронул SMS-сообщения клиентов, отправленные через телефоны и другие мобильные устройства. Для сравнения: проблема коснулась порядка 8000 сообщений, — при этом каждый час через сеть «МегаФона» проходит порядка 2 миллионов SMS-сообщений, и все они надежно защищены.

Обращаем внимание, что информация о содержании SMS-сообщений клиентов не хранится на сайте оператора. Таким образом, несанкционированный доступ к текстам сообщений наших клиентов мог возникнуть через некоторые Интернет-сервисы Яндекса. Ни в какие другие поисковые системы данная информация не попадала.»

Из многочисленных обсуждений и комментариев специалистов можно сделать предположение, что на сайте оператора отсутствовал файл, запрещающий индексацию сообщений. И, возможно, определенную роль сыграл установленный во многих браузерах Яндекс-toolbar. Впрочем, технические подробности интересны специалистам. Для абонентов и пользователей сервиса важно то, что отправленные с официального сайта оператора SMS-сообщения попали в открытый доступ и ответственность за это в любом случае несет прежде всего оператор.

Правовое поле

Ошибки были, есть и будут, это неизбежно. Беда в том, что интернет-рукописи чрезвычайно пожароустойчивы и могут вылеживаться годами для того, чтобы материализоваться во всей красе в самый неподходящий момент. SMS-переписка — не публичный форум, содержимое писем широкой огласке не подлежит в любом случае, а ограниченный доступ к этой информации может быть получен только по решению суда или в рамках оперативно-розыскных мероприятиях (система СОРМ). В обязанности оператора входит обеспечение конфиденциальности переписки, это закреплено в Статье 63 «Закона о Связи»:

1. На территории Российской Федерации гарантируется тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электросвязи и сетям почтовой связи.
   Ограничение права на тайну переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электросвязи и сетям почтовой связи, допускается только в случаях, предусмотренных федеральными законами.
2. Операторы связи обязаны обеспечить соблюдение тайны связи.
3. Осмотр почтовых отправлений лицами, не являющимися уполномоченными работниками оператора связи, вскрытие почтовых отправлений, осмотр вложений, ознакомление с информацией и документальной корреспонденцией, передаваемыми по сетям электросвязи и сетям почтовой связи, осуществляются только на основании решения суда, за исключением случаев, установленных федеральными законами.
4. Сведения о передаваемых по сетям электросвязи и сетям почтовой связи сообщениях, о почтовых отправлениях и почтовых переводах денежных средств, а также сами эти сообщения, почтовые отправления и переводимые денежные средства могут выдаваться только отправителям и получателям или их уполномоченным представителям, если иное не предусмотрено федеральными законами.

Обязанность оператора связи по соблюдению тайны связи наступает с момента, когда сообщение поступило в распоряжение оператора, независимо от формы его передачи. Это означает, что оператор связи, например, не может ссылаться на невозможность обеспечения тайны связи в случаях, когда форма почтовых отправлений носит открытый характер.

Также статья 138 Уголовного Кодекса недвусмысленно говорит о последствиях нарушения тайны переписки, цитата:

«Статья 138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений

1. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан - наказывается штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года...»

Неудивительно, что событием всерьез занялись официальные органы. Цитата из сообщения Lenta.ru:

«Следственный комитет РФ проверит, каким образом текстовые сообщения, отправленные с сайта компании "Мегафон" ее абонентам, попали в открытый доступ, сообщает РИА Новости. Как заявил представитель СК РФ Владимир Маркин, соответствующее поручение дал подчиненным глава комитета Александр Бастрыкин.

По итогам проверки будет решаться вопрос о возбуждении уголовного дела. О намерении подать иск к компании "Мегафон" уже заявили представители Союза потребителей России, сообщает "Интерфакс". Председатель организации Петр Шелищ назвал случившееся "очевидным нарушением требований закона о защите прав потребителей".

Шелищ пояснил, что если Союз потребителей выиграет иск в защиту неопределенного круга потребителей, то все абоненты, пострадавшие от утечки данных, смогут потребовать возмещения морального вреда или иных убытков через районный суд.

<...> ...Представители компании пояснили, что сообщения попали в открытый доступ из-за отсутствия на сайте www.sendsms.megafon.ru файла robots.txt, в котором прописаны инструкции для поисковых роботов. Таким образом, поисковики могли индексировать сообщения, отправляемые пользователями через сайт. Представители компании "Мегафон" подчеркнули, что утечка затронула только часть сообщений, отправленных с сайта.»

Роскомнадзор также не остался в стороне от события, усмотрев в нем нарушение законодательства о связи и, возможно, нарушения закона о персональных данных. Об этом «Интерфаксу» сообщил представитель Роскомнадзора Михаил Воробьев. В настоящее время специалисты Роскомнадзора анализирует поступившую информацию и выясняют, можно ли на основании появившейся в открытом доступе информации идентифицировать субъектов персональных данных.

Последствия

Говорить об административных и уголовных последствиях для оператора пока рано. Но урон имиджу нанесен серьезный, это бесспорно. Что касается нас с вами, то это крайне печальное событие для непосредственных участников и хороший урок для остальных. Наверняка в некоторых SMS содержалась очень «чувствительная» информация личного характера, в каких-то сообщениях могли быть пароли, логины, номера кредиток и т.п. SMS- удобный канал передачи той информации, которую сложно продиктовать и записать с голоса без ошибок. Можно долго распространяться об этике чтения и последующего распространения чужих сообщений, но люди без моральных тормозов среди нас есть, от этого факта никуда не денешься. И среди десятков тысяч «читателей» легко наберется сотня-полторы недобрых шутников, которые получат удовольствие от глумления над ни в чем не повинными получателями опубликованных сообщений.

Косвенно «в прибыли» окажутся контентные мошенники, распространяющие свои напичканные троянами «программы» для смартфонов. К сегодняшнему дню когда-то многочисленные интернет-ресурсы, предлагающие «чтение чужих SMS», успели захиреть и утратить популярность, но в связи с этими событиями всплеск активности мошенников практически гарантирован. Средства массовой информации эту историю растиражировали и заложили миллионам читателей/телезрителей в головы тот факт, что чужие SMS-сообщения можно читать в интернете. Поле вспахано и засеяно, можно реанимировать мошеннические сайты и собирать урожай.

Круги на воде

На волне случившегося начали всплывать и другие интересные подробности, также связанные с отправкой SMS-сообщений через интернет. «Под раздачу» угодил пермский портал, предоставляющий сервис бесплатной отправки SMS-сообщений на мобильные телефоны всех операторов Пермского края. Все отправленные сообщения, независимо от оператора получателя, прекрасно индексировались все тем же замечательным Яндексом.

Правда, не так эффектно, как в случае с сайтом МегаФона и «выдачей» результатов в виде ленты сообщений. Для чтения отправляемых с Пермского сайта сообщений каждую ссылку нужно было открывать отдельно. Но не будем заниматься сравнительным анализом вкусовых качеств редьки и хрена, отправителям сообщений не до смеха. Сиди теперь и вспоминай, кому что отправлял и кто этой информацией теперь владеет.

По этому поводу в МТС уже успели отреагировать информационным сообщением, цитата:

«...в связи с многочисленными запросами по поводу ситуации с отправкой сообщений с пермского сайта www.prm.ru, обращаю ваше внимание на то что:

Компания МТС не имеет никаких соглашений с www.prm.ru об организации отправки бесплатных смс-сообщений с данного сайта, и не несет ответственность за действия сайта по обеспечению конфиденциальности отправляемой через сайт информации. Обратите внимание, что, в пользовательском соглашении на сайте www.prm.ru указано, что:

«Информационно-сервисный портал PRM.RU не несет ответственности за сохранение конфиденциальности и целостности сообщения, за доставку его адресату, а также за возможные убытки или ущерб (прямой или косвенный), которые могут произойти в связи с использованием данной услуги»

Предварительное резюме

Что касается пермского сайта, то могу только повторить пословицу про местонахождение бесплатного сыра. Всякие шлюзы, программы и сайты по отправке бесплатных SMS определенно не стоит рассматривать в качестве надежного транспорта для передачи конфиденциальной информации. Максимум — для бытового трепа на тему «разогревай обед, скоро буду».

Что касается ситуации с сайтом МегаФона, то выводы будут сделаны и «дырки» закрыты, это понятно. Хотя уже пострадавшим от этого не легче. Вопрос в том, где и у кого в следующий раз образуется прореха, век информационных технологий не отменил простое человеческое разгильдяйство. Остается посоветовать употреблять SMS с телефона для мало-мальски важной и/или конфиденциальной информации, риск при этом несопоставимо меньший. Да, и еще раз напомнить о том, что набранный в интернете текст начинает жить своей, порой непредсказуемой, жизнью. Наверное, даже анонимно не стоит писать в сети того, что было бы стыдно показать друзьям, родственникам и любимым. Интернет-рукописи не горят.

Обсуждение на форуме >>>

Сергей Потресов (sergey.potresov@mobile-review.com)
Опубликовано - 19 июля 2011 г.

Есть, что добавить?! Пишите... eldar@mobile-review.com

18:56, 24 мая:LG LS860 Cayennе — QWERTY-слайдер для Sprint

18:26, 24 мая:Новый iPad и месяц бесплатного Интернет – в салонах Розничной сети МТС

13:17, 24 мая:QIWI открывает россиянам доступ к оплате покупок на AliExpress.com

10:08, 24 мая:Tele2 объединяет Twitter и SMS

22:38, 23 мая:Yota запустила LTE в Самаре

22:15, 23 мая:Samsung Galaxy Appeal – недорогой Android смартфон с выдвижной QWERTY клавиатурой

18:28, 23 мая:Абоненты life:) могут пополнять счет еще легче с услугой Регулярный платеж

17:43, 23 мая:Абонентам «Билайн» Бизнес стала доступна оплата услуг мобильной связи через мобильный телефон

14:41, 23 мая:МегаФон: состоялся первый в мире радиоэфир из метро

10:00, 23 мая:Более 5000 подписчиков на нашем канале в твиттере!