“Мегафон” и “Яндекс” рассекретили чужие SMS

Текстовые сообщения, отправляемые на номера "Мегафона" через сайт сотового оператора, отобразились в кэше поисковика "Яндекс" и доступны для всеобщего просмотра.

Если ввести в поисковую строку "Яндекса" запрос " url:www.sendsms.megafon.ru* | url:sendsms.megafon.ru* ", можно обнаружить тексты SMS, отправленных через сайт sendsms.megafon.ru, и номера их получателей.

В компании "МегаФон" сообщили, что техническая служба занимается выяснением причин произошедшего. В пресс-службе сотового оператора обещают предоставить подробности позже.

Пресс-секретарь "Яндекса" Очир Манджиков заявил, что специалисты компании также проводят проверку.

Появилась информация, что текущая ситуация - результат сочетания нескольких ошибок Web-приложения под названием "Недостаточная авторизация", "Утечка информации" и "Отсутствие таймаута сессии" (Information Leakage, Insufficient Authorization, Insufficient Session Expiration согласно классификации Web Application Security Consortium ). В результате сочетания этих ошибок поисковая система получила доступ к списку идентификаторов страниц, на которых выводился статус отправленных через сайт SMS-сообщений, смогла эти страницы и проиндексировать их содержимое. По истечению некоторого времени страница статуса отправленного сообщения очищается, но текст сообщения остается к кэше Яндекса и доступен для поиска.

Одной из возможных причин попадания сообщений на сайт поиска является использование программы Яндекс.Бар. При некоторых условиях адреса, которые посещает пользователь передаются поисковой машине, которые в свою очередь индексируются и кешируются поисковой системой Яндекс. Это также объясняет тот факт, что в кеше, например, поисковой системы Google, указанной информации не содержится.

Председатель Следственного комитета поручил проверить действия должностных лиц, допустивших разглашение личных данных клиентов сотовой компании, сообщает lifenews.ru.

"Мы возмущены произошедшим разглашением личных данных граждан и, безусловно, мониторим все, что происходит в связи с этой утечкой, - прокомментировал в ответ на вопрос Life News официальный представитель Следственного комитета России Владимир Маркин. - Более того, председатель СКР Александр Бастрыкин уже дал поручение провести проверку, по ее результатам будет принято процессуальное решение".

www.securitylab.ru

публикации сходной тематики

Комментирование закрыто.

 

При наполнении сайта использована информация из открытых источников. Владелец сайта не несет ответственности за недостоверную и заведомо ложную информацию размещенную на страницах сайта. При использовании информации опубликованной на нашем сайте, ссылка обязательна.

Реклама на сайте: