Безопасность личной переписки. Мегафон и СМС с сайта.

Безопасность личной переписки. Мегафон и СМС с сайта.

Не спам и не шутка, так наверное стоит начать эту запись.

Сегодня наткнулся на информацию о возможности читать СМС отправленные с сайта Мегафона.

Достаточно ввести простой запрос на Яндексе, который выдаёт личную переписку пользователей мегафона:
url:www.sendsms.megafon.ru* | url:sendsms.megafon.ru*

Если немного модифицировать запрос, то в поиске уже появятся смс с паролями к почтам и сайтам:
пароль url:www.sendsms.megafon.ru* | url:sendsms.megafon.ru*

Полученная информация может использоваться в корыстных целях мошенниками.

Должна ли быть какая то реакция в сторону Мегафона, или достаточно будет просто прикрыть возможность такого поиска через Яндекс? Какую реакцию это сообщение вызывает у Вас?

477
Комментарии (27)
  • 18 июля 2011 в 21:04 • #
    Александр Токаренко

    Начнем с того, что незащищенный протокол для обмена данными от юзверя до сайта ОпСоС-а.

    Далее данные хранятся на сайте и в незашифрованном виде.

    Про robots.txt отдельная "пестня" - см. http://dobryi-leshii.livejournal.com/9669.html

    Т.ч. за такое действительно надо наказывать.

    С другой стороны:
    - требование по шифрованию канала сертифицированными СКЗИ невыполнимо без установки клиентской части у юзверя

  • 19 июля 2011 в 10:26 • #
    Олег Глебов

    Александр, полностью с Вами согласен.

    С другой стороны требования шифрования канала налагаемые законодательством многими признаются слишком чрезмерными. Вспомнить достаточно то же письмо "обращение" к президенту по поводу ФЗ-152.

    Создаётся впечатление, что реальность требует ещё более жёстких требований, и тем более действенных мер для наказания. Но практика показывает, что даже текущий вариант закона бездейственен во многих сферах. Если уж проблемы с утечками возникают в таких крупных компаниях, то что уж говорить про "низы" ИТ-отрасли.

  • 19 июля 2011 в 21:35 • #
    Александр Токаренко

    Если Вы помните, то в обращении указывалось на то, что у нас зарегулирован вопрос средств защиты и ничего не говорится про права субъектов.

    Здесь типичный случай: максимум за что может ответить Мегафон это за нарушение обработки ПДн - и то если будет доказано, что там есть ПДн.
    То, что некоторые "эксперты" пишут про 50-100 тыс. руб. морального ущерба не соответствует практике. По практике от 200 (двухсот) руб. компенсации женщине за опубликовании ее паспортных данных на сайте суда до 10 тыс. руб отсуженных адовкатом у ФНС и 30 тыс. отсуженных "блондинкой" у приставов

    Ну и не все стыкуется с тем, что заявляют. Гугль точно лезет в robots.txt т.ч. эти сообщения должны были давно им отиндексироваться... А на практике отиндексировал из всех поисковиков лишь Яндекс...

  • 19 июля 2011 в 18:27 • #
    Александр Вобликов

    Считаю что оператор сети должен не просто обслуживать клиентов услугами связи, но и участвовать в разработке нового продукта защиты информации. Если какой-либо оператор не принимает действенных мер в обеспечении информационной безопасности сети, таких необходимо лишать лицензий.

  • 19 июля 2011 в 21:38 • #
    Александр Токаренко

    Вообще-то лучше максимально ужесточить отвественность за утечку, но оставить выбор средств защиты за оператором.

    Пока мы, как обчно, "пойдем другим путем (с)"

  • 20 июля 2011 в 08:45 • #
    Александр Вобликов

    Наши операторы пока способны информацией торговать, остальному нужно учитьться.

  • 20 июля 2011 в 20:56 • #
    Александр Токаренко

    Оператор оператору рознь

    Для примера посмотрите статистику утечек за этот год (даже специальную группу на ФБ сделал) - http://www.facebook.com/groups/182475465139034?ap=1

  • 21 июля 2011 в 18:59 • #
    Александр Вобликов

    Это понятно так же как и человеческий фактор.

  • 20 июля 2011 в 02:13 • #
    Сергей Меньшиков

    Не вижу причины для шума, кроме одной
    Разве то, что появилось в яндексе - Пдн???
    Разве громофон обещал эти данные защищать?
    Где-то есть соглашение о конфиденциальности смс с сайта?

    Так что причина одна - побольше шума
    И как нельзя вовремя - именно тогда, когда обсуждается новый закон и нужны страшилки

    Говорите, что женщина отсудила 200 рублей??
    А сколько надо???
    200 тысяч? Два миллиона???
    Чем обосновано?
    Что за секрет такой?

    Правильно уже сказано - не надо доходить до идиотизма - уже даже фото на доске почета - приравнивают к разглашению персональных данных!!

  • 20 июля 2011 в 08:55 • #
    Александр Вобликов

    Зачем же тогда такие липовые услуги нужны если информация получает огласку? Если инфа попадет в руки человека ради смеха это одно. А если инфа попадает в руки преступника тогда это совсем другое. Или может быть Вы считаете себя защищенным?

  • 20 июля 2011 в 20:37 • #
    Сергей Меньшиков

    Я не считаю себя защищенным
    Я просто отдаю себе отчет в том, ГДЕ я размещаю информацию
    Глупо написать что-то на заборе и рассчитывать на тайну переписки
    А Интернет - это именно такой общедоступный забор!

    Не вина операторов, что люди не понимают разницу между общедоступным протоколом http и защищенным https

    Так же глупо завести себе ящик на майл.ру
    И поставить на него пароль
    qwerty
    Потом сидеть и удивлялся, что Тайна переписки нарушена

    Да, грамофон лоханулся
    Но если кто-то в своих смс писал что-то конфиденциальное - то он не меньший лопух
    И вопить о тайне нет смысла - протокол не защищен и это видно

  • 21 июля 2011 в 18:49 • #
    Александр Вобликов

    Теперь получается никому нельзя верить потому, что никто ни за что не отвечает. Как же людям жить дальше?

  • 21 июля 2011 в 20:03 • #
    Сергей Меньшиков

    Верить можно в бога
    Давайте не путать божий дар с яичницей

    Согласен, оператор лопух
    По закону о связи должен защищать переписку

    Но и клиент не должен быть идиотом
    И если видно, что информация защищена плохо (а Интернет изчально, априори сеть общего доступа) то нужно иметь башку на плечах и думать, что пишешь
    СМС - не самый лучший способ передавать тайны

  • 22 июля 2011 в 19:12 • #
    Александр Вобликов

    Сергей, Вы не правы.
    Клиент выбрал оператора и заплатил деньги за получение обещанной услуги и идиотом его называть не корректно. Оператор же в свою очередь должен не просто оказать услугу, но и принять все меры по защите информации. Как он это будет делать никого не волнует, ему же заплатили деньги! Если оператор заметил, что клиент нарушает условия договора или осуществляет действия которые могут привести к потере информации, то такого клиента необходимо предупредить о возможных последствиях.

  • 20 июля 2011 в 20:53 • #
    Александр Токаренко

    >Разве то, что появилось в яндексе - Пдн???

    ПДн тем есть, но не факт, что идентифицирующие (необезличенные)

    >Разве громофон обещал эти данные защищать?

    Как оператор связи он обязан был обеспечивать тайну связи (ст. 63 закона о связи)

    >И как нельзя вовремя - именно тогда, когда обсуждается новый закон и нужны страшилки

    Поддержу. Тем более дело темное с тем как утекли - кроме Яндекса никто не отиндексировал. А если там действительно были данные в открытом виде под robots.txt, то другие поисковики должны были хоть пару штук захватить (а там нифига нет)...

    Тем более, что накат уже идет, например с такими репортажами по 1 каналу - http://www.1tv.ru/sprojects_utro_video/si33/p35196/pg2

    >Говорите, что женщина отсудила 200 рублей??

    Ну за паспортные данные на сайте суда можно было наказать и покрепче ;)
    см. http://personal-data.livejournal.com/166373.html
    Тем более, что не один тот суд этим грешил - http://personal-data.livejournal.com/184694.html

    >уже даже фото на доске почета - приравнивают к разглашению персональных данных!!

    Ну об этом маразме я еще в мае на конференции CNews говорил ;)

  • 20 июля 2011 в 09:47 • #
    Алексей Скрябин

    Действительно не известно радоваться этому, или огорчаться, вопрос в морали, все продавать, или задуматься, что люди пострадают.

  • 20 июля 2011 в 11:47 • #
    Олег Глебов

    На мой взгляд здесь не совсем вопрос именно защиты или регулирования обработки и хранения ПДн.

    Не секрет, что конфиденциальности в интернете давно уже нет. Конечно, кто-то посмотрит видео выступления Стивена Рамбама и впадёт в панику. Но с другой стороны, если так легко о человеке в интернете узнать почти всё, то не проблема ли это самого человека?

    Какие бы жестокие законы не ввели мы, человеку будет свойственно так или иначе пользоваться Твиттерами, Вконтактом, Фейсбуком и тд. Такие социальные технологии плотно вошли в обиход жителей не только мегаполисов,ь но и глубинки. Может быть людям стоит попытаться самим подумать над безопасностью личной жизни?

    Наверное, это звучит цинично, но проблема то в наших головах. Определённо необходим механизм объяснения обществу не только благ Интернета, но и опасностей.

  • 20 июля 2011 в 22:29 • #
    Сергей Меньшиков

    Все дело в том, что в детстве нам миллион раз говорили: чтобы перейти улицу надо посмотреть налево, дойти до середины и потом направо смотреть
    Все опасности той жизни были понятны практически всем
    А сейчас - кто может сходу понять - хорошо ли его данные защищены?
    Нет культуры использования информации
    Не только электронной

  • 20 июля 2011 в 12:24 • #
    Евгений Труфанов

    Операторы большой тройки продадут информацию любому заинтересованному лицу. Так в Эрэфии реализуется тайна переговоров. Для бандитов в погонах эта информация доступна в режиме реального времени.

  • 20 июля 2011 в 21:01 • #
    Александр Токаренко

    Естественно бывают такие случаи - http://personal-data.livejournal.com/128082.html

    Но гораздо чаще http://personal-data.livejournal.com/115505.html
    И попробуй не отдать...

  • 6 сентября 2011 в 13:32 • #
    Денис Пукинов

    Если кому вдруг захочется освежить в памяти события: http://habrahabr.ru/blogs/infosecurity/124387/

  • 6 сентября 2011 в 20:33 • #
    Александр Токаренко

    За нарушение лицензионных требований (несоблюдение тайны связи) оштрафовали на 30 тыс. руб - http://www.lenta.ru/news/2011/08/30/fined/

    Сейчас Союз потребителей пытается чтой-то сделать на счет морального ущерба

  • 7 сентября 2011 в 11:11 • #
    Денис Пукинов

    К сожалению, российская судебная практика относительно возмещения морального вреда не блещет крупными суммами.
    А в данном случае только при крупном коллективном иске (если люди вообще захотят афишировать, что их смс попали в Сеть) возможно будет что-то сделать, но так или иначе фактически нанесенный ущерб будет очень сложно доказать.

  • 6 октября 2011 в 13:18 • #
    Александр Вашкевич

    На этом эпопея еще не заканчивается - 26 октября суд рассмотрит жалобу Мегафона о штрафе - http://www.digit.ru/state/20111004/384525483.html

    Смешно, когда такая крупная компания пытается "торговаться по мелочам". Добровольное признание своей вины было бы куда логичней и честней.

  • 6 октября 2011 в 20:36 • #
    Александр Токаренко

    Уж очень "вовремя" произошла у них "утечка", которую ни один поисковик, кроме Яндекса, не проиндексировал...

    Как раз после обращения АРБ к Гаранту на счет 19 статьи ЗоПД...

    А потом все вышло в "пшик" в 30 тыс. штрафа... Если и его оспорят невольно начнешь строить предположения по "теории заговора" ;-)

  • 3 ноября 2011 в 17:39 • #
    Александр Вашкевич

    Этого можно было ожидать, но тем не менее:
    "Суд оправдал «Мегафон» в деле об утечке данных пользователей"
    http://searchinform.ru/main/full-text-search-information-security-product-news.html?newsid=1866

  • 3 ноября 2011 в 20:55 • #
    Александр Токаренко

    Вообще-то не оправдал, а отказал истцу