Возвращаясь к обсуждению инцидента, связанного с утечкой более 8 тысяч смс сообщений сотового оператора "Мегафон", можно утверждать, что выдвинутые предположения ранее частично подтвердились. Утечка произошла в следствии двух факторов: уязвимости на сайте www.sendsms.megafon.ru (Insufficient Authentication) и видимо передачи посещаемых страниц пользователями поисковой системе Яндекс, на компьютерах которых установлен Яндекс.Бар.Так что-же из себя представляет Яндекс.Бар?
Это панель для широко распространенных браузеров с возможностью поиска по интернету и быстрым доступом к различным интернет-сервисам, как утверждает сам производитель. Хорошо, устанавливаем это волшебное чудо к себе на компьютер, и, не пользуясь его функциями, начинаем обычный серфинг по Интернету. Первый же запрос дублируется на хост bar-navig.yandex.ru:
Собственно, таким же образом, уникальные страницы сайта www.sendsms.megafon.ru, содержащие конфиденциальную информацию самых обычных пользователей и могли просочиться в паблик...
К слову, если заблокировать bar-navig.yandex.ru Яндекс.Бар будет обращаться к backup-bar-navig.yandex.ru.
Идем дальше. Обращаемся к внутреннему ресурсу:
(интересно, куда ушел мой секретный логин и пароль??)
Попутно встречаем другие "полезные" функции Яндекс.Бара:
Это прямо праздник (читай spyware) какой-то! Но, обратимся к лицензионному соглашению, которое где-то с краю весело при установке Яндекс.Бара. Нас интересует 5 раздел "Условия использования отдельных функций Программы":
5.1. Пользователь настоящим уведомлен и соглашается, что при включении в Программе функции показа «Индекса Цитирования» для определения индекса цитирования сайта в интернете, который посещает Пользователь во время использования Программы, Правообладателю в автоматическом режиме сообщается анонимная (без привязки к Пользователю) информация о посещаемом сайте, до момента отключения указанной функции.
5.2. Пользователь настоящим уведомлен и соглашается, что при использовании в Программе функции показа «Отзывов» для определения количества отзывов на просматриваемую Пользователем во время использования Программы страницу в интернете, Правообладателю в автоматическом режиме сообщается анонимная (без привязки к Пользователю) информация о просматриваемой странице, до момента отключения указанной функции.
5.3. Пользователь настоящим уведомлен и соглашается, что при использовании в Программе функции «Точно по адресу» для предоставления Пользователю подсказок с исправленными ошибками ввода, Правообладателю в автоматическом режиме сообщается анонимная (без привязки к Пользователю) информация о символах, введенных в адресную строку браузера, до момента отключения указанной функции.
5.4. Пользователь настоящим уведомлен и соглашается, что при использовании в Программе функции «Проверка орфографии» для проверки орфографии текстов в версии программы для Internet Explorer, все тексты, вводимые Пользователем в браузере во время использования Программы, исключая тексты, вводимые в формы ввода паролей, будут анонимно (без привязки к Пользователю) отправляться на автоматизированный сервис проверки орфографии Правообладателя. Исключительное право на словарные базы ОРФО (СБ ОРФО) для русского и украинского языков, используемые в сервисе проверки орфографии, принадлежат компании Информатик: СБ ОРФО © ОРФО™, ООО «Информатик», 2009.
5.5. Пользователь настоящим уведомлен и соглашается, что, при использовании в Программе функции «Перевод слов», перевод слов осуществляется с использованием технологий, разработанных компанией ПРОМТ (http://www.promt.ru). Логи переводов будут анонимно (без привязки к Пользователю) направляться Правообладателю.
5.6. Пользователь настоящим уведомлен и соглашается, что при использовании в Программе функции «Определение местоположения», IP-адрес компьютера Пользователя и данные о доступных Wi-FI сетях будут анонимно (без привязки к Пользователю) отправляться на автоматизированный сервис определения местоположения партнера Правообладателя.
5.7. Пользователь может в любой момент отказаться от передачи данных, указанных в п.п. 5.1. – 5.6., отключив соответствующие функции.
Так вот оно как! Оказывается я с этим согласился :) Но в отличии, например, от iPad, который после установки нового ПО обязательно спросит, а желаю ли я, чтобы ПО использовало мое текущее месторасположение и пр., Яндекс.Бар просто решил эти вопросы за меня.
Помимо этого вызывает улыбку следующее утверждение "без привязки к Пользователю" :) т.е. обращение происходит без использования IP-адреса? А если, допустим, в GET-запросе будет присутствовать Vasya.Pupkin@mail.ru? Кроме того, вызывает интерес передаваемый параметр "yandexuid" (это простите что?).
Итак, я не согласен с 5.1. – 5.6 и хочу отключить соответствующий функционал. Лезем в настройки панели Яндекс.Бар и что мы видим? Да ровным счетом ни одного крыжика с именем "отключить" там нет.
Так как же отключить spyware функционал? Оказывается, отключение функций и вывод иконок на панель Яндекс.Бар это одно и тоже. (интуитивно понятно)
Мораль сей басни такова, не устанавливайте к себе на компьютер ничего лишнего, а если устанавливаете новый софт, не поленитесь и изучите лицензионное соглашение. В противном случае, ваша личная жизнь может оказаться достоянием общественности, как у этих счастливчиков – http://mega-sms.ru
P.S. Используйте Фаерфокс! Он плохого не посоветует! :)
А ещё «следящее» поведение было замечено за мэйлру, -- причём, даже при отсутствии любых «его» дополнений на компьютере.
ОтветитьУдалитьhttp://www.diary.ru/~Doubleclouder/p164317287.htm
Отличная статья!
ОтветитьУдалитьЧем вы так элегантно сниффили пакеты?
Wireshark (follow tcp stream)
ОтветитьУдалитьФаерфокс с плагинами от гугла тоже всё отправляет большому братику..
ОтветитьУдалитьДмитрий, спасибо!
ОтветитьУдалитьПравда сам уже успел разобраться в Wireshark. Не сразу дошло что это окошко скрывается за "follow tcp stream"
Яндекс явно поработал, потому что:
ОтветитьУдалить1. В выдачу попали не все СМС, а избранный их срез, какие-то тысячи, когда поток - миллионы в день.
2. Как бы там кто не индексировал - были прочеканы страницы с защитными идентификаторами - не последовательными, а дискретными, откуда поисковик мог их узнать? Или от пользователей, и здесь показано, что ЯБар это делает, или набрутить. И то и то дело не честное
P.S. ИМХО. Если я заблуждаюсь, приношу всем извинения.
согласен! есть три вопроса, которые остались без ответа:
ОтветитьУдалить1. Кто первым слил информацию об утечке
2. Почему из миллионных смс в день, в кеше оказались не более 8-ми тысяч
3. Почему в кеш попали только самые сочные смс (как будто их отбирали...)
„видимо передачи посещаемых страниц пользователями поисковой системе Яндекс, на компьютерах которых установлен Яндекс.Бар”
ОтветитьУдалитьДмитрий, а почему не написали ни слова о «Яндекс.Метрике»? Ведь Вы теперь же знаете, что она там была?
Также хочу обратить внимание на то, что на страницы «Мегафона» был установлен и код «Google Analytics» и в кэш Google’а также попали так называемые «идентификаторы» (правда, текст смски не виден — видимо из-за разных алгоритмов поисковых систем).
Также, я бы хотел узнать, почему все говорят о „миллионных смс в день”? Я например, не думаю что с сайта «Мегафона» пользователи отправляют миллионы смски в день.
А вот почему в кэш Яндекса попали лишь несколько тысяч смс — думаю, по той же причине почему в кэш Google’а попали лишь несколько десяток смс: поисковые системы не любят „дублирующуюся информацию” — а большое количество страниц, где были изменены лишь 160 символов (максимум для одной смс) это и есть повод не включить такие страницы в индекс поисковой системы.
И ещё, не забываем что поисковые системы, довольно странные роботы — например, они могут индексировать базы данных, найти backup’ы, DDoS-ить сайты и много чего интересного и, я далеко не верю что это может случится из-за всяких тулбаров.
А Дмитрию все должны сказать спасибо за урок — ведь правда, прежде чем установить какую-нибудь программу, нужно дважды подумать и трижды читать лицензионное соглашение.
>> Дмитрий, а почему не написали ни слова о «Яндекс.Метрике»?
ОтветитьУдалитья решил, что будет честно восстановить пост практически в том виде, который пришлось на время (разногласий) скрыть. Но нужно сказать, что по имеющимся на текущий момент информации утечка произошла и по причине Ябара и по причине установленной ЯМетрики. Соотношение пока не известно, но по некоторым данным из "подполья", большое количество смсок утекло все-таки из-за установленной ЯМетрики (данные еще не подтверждены).
>> на страницы «Мегафона» был установлен и код «Google Analytics» и в кэш Google’а также попали так называемые «идентификаторы»
есть пруфф?
>> Также, я бы хотел узнать, почему все говорят о „миллионных смс в день”?
см. видео, это официальный ответ от представителя Мегафон
>> А вот почему в кэш Яндекса попали лишь несколько тысяч смс...
если это не заговор против Мегафона, то выглядит вполне правдоподобно. я тоже склоняюсь к этой версии.
Страно. Мой комментарий попал в спам-list?
ОтветитьУдалитьА Вы ведь удалили мой комментарий. Зачем?
ОтветитьУдалитьВиктор, нет, ничего не удалял
ОтветитьУдалитьСтранно. Я снова отправил комментарий: после 1-ой перезагрузки страницы он виден, но после этого его больше нету. Может быть, он отправился в спам?
ОтветитьУдалитьоднако такого на моей памяти не было :) а что за текст? (может картинкой?)
ОтветитьУдалитьВ общем, ссылка на скриншот которая доказывает, что комментарий был «опубликован»:
ОтветитьУдалитьimg59.imageshack.us/img59/5830/76515226.png
И текст комментария:
pastebin.com/raw.php?i=Bsew23ri
касаемо Google информация подтверждена (Google бар) слил. Разница между Google и Яндекс в том, что Google не закешировал содержимое смс-сообщений, в отличии от Яндекса. В мире с privacy все несколько серьезнее, чем в России.
ОтветитьУдалитьПо поводу двух миллионов, да, спутал с мнением корреспондента Вести. На самом деле их 40 миллионов в день (http://inf-sec.blogspot.com/2011/07/megafail-megafon-itil-groupib-research.html на 4:25)
>> Google не закешировал содержимое смс-сообщений
ОтветитьУдалитьВозможно. Но не исключено что данные были удалены из кэша Google после того как стало известно, что смски «МегаФона» попали индекс Яндекс’а.
>> На самом деле их 40 миллионов в день...
Да, но от всех клиентов «Мегафона». С сайта «Мегафона» отправляться всего лишь 135000 сообщений в день.
Это известно с момента появления этого бара))
ОтветитьУдалить