18 июля в кэш поисковой системы «Яндекс» попали текстовые сообщения (SMS), отправленные пользователями через сайт сотового оператора «МегаФон». В течение нескольких часов личные сообщения в открытом доступе могли читать пользователи поисковика.

Интернет-поисковик «Яндекс» проиндексировал текстовые сообщения, адресованные абонентам «МегаФон», которые были отправлены через сайт сотового оператора. В результате на всеобщее обозрение попали не только сугубо личные сообщения, но и телефонные номера адресатов SMS.

По данным блогеров, следивших за ситуацией, заниматься чтением чужой почты при желании можно было на протяжении нескольких часов. Первые новости об утечке пользовательских данных стали появляться сегодня, около 14 часов.

Просмотреть сообщения пользователей можно было на сайте поисковика, введя запрос «url:www.sendsms.megafon.ru* | url:sendsms.megafon.ru*». Кроме текста, в открытом доступе оказались и номера, чьим обладателям были адресованы сообщения. Около 15:30 доступ к переписке был закрыт.

Новость об утечке SMS-сообщений, адресованных абонентам «МегаФона», стала предметом бурного обсуждения в Интернете, а название оператора попало в мировые тренды микроблога Twitter. Многие попросту не поверили, что утечка могла произойти по вине поисковика или сотового оператора.

Тем не менее, специалисты выдвинули предположение, что сообщения оказались в публичном доступе по вине «МегаФона». «Поисковые системы, в том числе и «Яндекс», индексируют только ту информацию, которая находится в публичном доступе. В данном случае, вероятнее всего, проиндексированные сообщения пользователей, отправленные через веб-интерфейс сайта, оказались доступны публично по вине «МегаФона». Утечка подобной информации может также грозить тем, что пароли и другие аутентификационные данные, отправляемые через этот интерфейс, стали общедоступны», — предположил директор Центра вирусных исследований и аналитики ESET Александр Матросов.

В пресс-службе компании «Яндекс», хоть и не сразу, но смогли объяснить причины утечки, подтвердив версию Матросова. «Яндекс индексирует только открытую часть Интернета — те страницы, которые доступны при переходе по ссылкам без ввода логина и пароля. Страницы, индексация которых запрещена администратором сайта в файле robots.txt, Яндекс не индексирует, даже если они находятся в открытой части Интернета. Это соответствует всем общепринятым нормам и правилам взаимодействия в Интернете», — говорится в сообщении компании.

В разделе отправки SMS на сайте «МегаФона» в момент индексации файл robots.txt по какой-то причине отсутствовал. «Насколько нам известно, сейчас администраторы сайта «МегаФона» уже установили robots.txt и закрыли этот раздел для индексации. В максимально сжатые сроки все страницы этого раздела будут недоступны в результатах поиска «Яндекса», — сообщила пресс-служба «Яндекса».

Robots.txt — текстовый файл, расположенный на сайте, который предназначен для роботов поисковых систем. В этом файле веб-мастер может указать параметры индексирования своего сайта как для всех роботов сразу, так и для каждой поисковой системы по отдельности.

Представители «МегаФона» смогли дать свою оценку ситуации лишь спустя несколько часов, после первого официального запроса BFM.ru. «На нашем сайте произошел технический сбой, связанный с работой внешнего администратора сайта. Технические специалисты «МегаФона», обнаружив сбой на сайте, незамедлительно его устранили», сообщила пресс-служба оператора.

«Сбой коснулся крайне незначительной части SMS, отправленных с сайта оператора. При этом он не затронул SMS клиентов, отправленные через телефоны и другие мобильные устройства. В настоящий момент ситуация находится под контролем, сбой полностью устранен, вся информация, попавшая в поисковую выдачу «Яндекса», удалена из всех запросов», пояснил «МегаФон».

Трудно представить, что пострадавшие абоненты ( к примеру, бизнесмены, влюбленные, ревнивые жены/мужья) согласятся с такой оценкой ситуации. Кто знает, чем обернется для них слоган сотового оператора «Будущее зависит от тебя».

Это вам не США

До того, как «Яндекс» дал официальный ответ, выдвигались три версии произошедшего. Первая из них: неправильно сконфигурированный веб-сайт «МегаФона» позволил поисковым роботам «Яндекса» проиндексировать внутренние страницы. Однако довод против этого варианта — отсутствие подобной информации в поисковой выдаче, например, Google.

Кроме того, предполагалось, что доступ к страницам и их последующая индексация произошла при использовании плагина «Яндекс.Бар» клиентами веб-сайта «МегаФона». Наконец, специалисты не исключали, что «Яндекс.Метрика» на сайте «МегаФона» была установлена неправильно и отдала страницы в индексацию.

«Пока трудно представить последствия случившегося для компаний, оказавшихся в центре скандала. Однако в том, что произошло, можно усмотреть нарушение закона об охране персональных данных. Более того, сами по себе номера и информация о текстах SMS могут быть представлены только органам, осуществляющим оперативно-розыскную деятельность и то только по решению суда. Думаю, что если бы подобный инцидент произошел, например, в США, то «МегаФон» получил бы многомиллионные иски, не говоря уже о санкциях со стороны регулирующих органов», — пояснил BFM.ru главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев.

Тем не менее, о намерении провести проверку данного инцидента на предмет нарушения законодательства о персональных данных сегодня заявили Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) и Следственный комитет.

Эксперты отмечают, что публикация переписки пользователей может также подпадать под 138 статью УК РФ «Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений».

Марина Эфендиева, обозреватель BFM.ru.