"МегаФон": утечка SMS произошла из-за ошибки администратора сайта?
Вопрос обеспечения надлежащего уровня конфиденциальности переписки и защиты персональных данных в настоящее время становится все более актуальным и для нашей страны. В сети чаще появляются новостные заметки об утечках данных различного рода. Однако сегодняшний инцидент, получивший широкую огласку, может стать не только нарушением конституционного права на неприкосновенность переписки, но и нескольких федеральных законов и статей УК РФ.
Сегодня поисковой системой «Яндекс» были проиндексированы SMS сообщения, отправленные с помощью бесплатного сервиса, доступного на сайте крупного российского сотового оператора «МегаФон». Набрав незамысловатый запрос в поисковой строке, всякий желающий мог получить доступ не только к полному тексту сообщения, но и к номеру телефона абонента. Возникает вопрос, каким образом приватная переписка могла попасть в результаты поисковых запросов?
В течение дня «Яндекс» и «МегаФон» пытались определить и устранить причину. Наконец, как официально сообщили в компании, утечка произошла в результате технического сбоя, произошедшего на сайте оператора. Дело в том, что там отсутствовал файл «robots.txt», в котором указаны какие материалы и разделы не должны индексироваться роботами поисковых машин. Также было отмечено, что в сеть попала «крайне незначительная часть» SMS, отправленных именно с сайта. Пересылаемые с помощью телефона или других мобильных устройств послания скомпрометированы не были.
Однако Александр Ковалев, директор по маркетингу компании SECURIT, считает, что на момент обнаружения причина утечки, была относительно очевидной: для отображения статуса каждого SMS на сайте «Мегафон» генерировалась временная страница с уникальным URL, который, конечно, без труда попадал в кэш «Яндекс» при индексации страниц. Поскольку на этой странице, помимо статуса сообщения, отображается и его содержание, и номер телефона адресата, то и персональная переписка абонентов попала на всеобщее обозрение.
Все же факт остается фактом. Не смотря на то, что изъян удалось устранить, а также кэш «Яндекс» был изрядно почищен (но не до конца), данная ситуация причинила не мало неприятностей самим абонентам и может привести к потере репутации компании. Ведь помимо того, что хулиганы докучают пострадавшим, существует вероятность компрометации персональных данных последних. В некоторых из опубликованных сообщений содержались такие данные как номера автомобилей, логины и пароли к учетным записям различных он-лайн сервисов.
Заметим, что «Мегафон» оказался не единственным оператором, чьи абоненты могут пострадать от действий злоумышленников. Согласно сообщению известного блогера Антона Носика, в поисковую базу «Яндекса» попали и другие сайты, предоставляющие услуги бесплатной отправки SMS через интернет. С таких ресурсов можно отправить короткое послание абоненту любого из указанных на сайте операторов. Таким образом, в числе пострадавших могут оказаться еще и клиенты МТС, «Билайн» и Utel.
По мнению аналитиков и юристов, поскольку данный инцидент имел очень широкий резонанс, то скорей всего по факту нарушения будет заведено уголовное дело. Тем более, что данный инцидент может подпадать под статью №138 УК РФ «Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений», а также ФЗ – 152 «О персональных данных» и ФЗ-126 «О связи». О намерении провести проверку данного инцидента на предмет нарушения законодательства сегодня заявили Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) и Следственный комитет.
Илья Шабанов, управляющий партнер Anti-Malware.ru так прокомментировал данный инцидент: «Реальные причины этой громкой утечки данных еще предстоит выяснить и дело тут вовсе не в пресловутом файле «robots.txt» или действиях внешнего администратора, из которого пытаются сделать крайнего. Проблема намного глубже. В «МегаФоне» произошел организационный сбой, когда одни спроектировали и реализовали веб-сервис с грубейшими ошибками, другие не протестировали, а третье не провели элементарного аудита его безопасности.
Я уверен, что, несмотря на весь негатив, данный инцидент должен серьезно повлиять на процедуры обеспечения безопасности такого рода данных, проектирование веб-сервисов, а также защиту персональных данных граждан в целом и тайны переписки в частности».