Яндекс.Бар – Большой брат следит за тобой

Возвращаясь к обсуждению инцидента, связанного с утечкой более 8 тысяч смс сообщений сотового оператора "Мегафон", можно утверждать, что выдвинутые предположения ранее частично подтвердились. Утечка произошла в следствии двух факторов: уязвимости на сайте www.sendsms.megafon.ru (Insufficient Authentication) и видимо передачи посещаемых страниц пользователями поисковой системе Яндекс, на компьютерах которых установлен Яндекс.Бар.

Так что-же из себя представляет Яндекс.Бар?

Это панель для широко распространенных браузеров с возможностью поиска по интернету и быстрым доступом к различным интернет-сервисам, как утверждает сам производитель. Хорошо, устанавливаем это волшебное чудо к себе на компьютер, и, не пользуясь его функциями, начинаем обычный серфинг по Интернету. Первый же запрос дублируется на хост bar-navig.yandex.ru:


Собственно, таким же образом, уникальные страницы сайта www.sendsms.megafon.ru, содержащие конфиденциальную информацию самых обычных пользователей и могли просочиться в паблик...

К слову, если заблокировать bar-navig.yandex.ru Яндекс.Бар будет обращаться к backup-bar-navig.yandex.ru.

Идем дальше. Обращаемся к внутреннему ресурсу:


(интересно, куда ушел мой секретный логин и пароль??)

Попутно встречаем другие "полезные" функции Яндекс.Бара:


Это прямо праздник (читай spyware) какой-то! Но, обратимся к лицензионному соглашению, которое где-то с краю весело при установке Яндекс.Бара. Нас интересует 5 раздел "Условия использования отдельных функций Программы":

5.1. Пользователь настоящим уведомлен и соглашается, что при включении в Программе функции показа «Индекса Цитирования» для определения индекса цитирования сайта в интернете, который посещает Пользователь во время использования Программы, Правообладателю в автоматическом режиме сообщается анонимная (без привязки к Пользователю) информация о посещаемом сайте, до момента отключения указанной функции.
5.2. Пользователь настоящим уведомлен и соглашается, что при использовании в Программе функции показа «Отзывов» для определения количества отзывов на просматриваемую Пользователем во время использования Программы страницу в интернете, Правообладателю в автоматическом режиме сообщается анонимная (без привязки к Пользователю) информация о просматриваемой странице, до момента отключения указанной функции.
5.3. Пользователь настоящим уведомлен и соглашается, что при использовании в Программе функции «Точно по адресу» для предоставления Пользователю подсказок с исправленными ошибками ввода, Правообладателю в автоматическом режиме сообщается анонимная (без привязки к Пользователю) информация о символах, введенных в адресную строку браузера, до момента отключения указанной функции.
5.4. Пользователь настоящим уведомлен и соглашается, что при использовании в Программе функции «Проверка орфографии» для проверки орфографии текстов в версии программы для Internet Explorer, все тексты, вводимые Пользователем в браузере во время использования Программы, исключая тексты, вводимые в формы ввода паролей, будут анонимно (без привязки к Пользователю) отправляться на автоматизированный сервис проверки орфографии Правообладателя. Исключительное право на словарные базы ОРФО (СБ ОРФО) для русского и украинского языков, используемые в сервисе проверки орфографии, принадлежат компании Информатик: СБ ОРФО © ОРФО™, ООО «Информатик», 2009.
5.5. Пользователь настоящим уведомлен и соглашается, что, при использовании в Программе функции «Перевод слов», перевод слов осуществляется с использованием технологий, разработанных компанией ПРОМТ (http://www.promt.ru). Логи переводов будут анонимно (без привязки к Пользователю) направляться Правообладателю.
5.6. Пользователь настоящим уведомлен и соглашается, что при использовании в Программе функции «Определение местоположения», IP-адрес компьютера Пользователя и данные о доступных Wi-FI сетях будут анонимно (без привязки к Пользователю) отправляться на автоматизированный сервис определения местоположения партнера Правообладателя.
5.7. Пользователь может в любой момент отказаться от передачи данных, указанных в п.п. 5.1. – 5.6., отключив соответствующие функции.

Так вот оно как! Оказывается я с этим согласился :) Но в отличии, например, от iPad, который после установки нового ПО обязательно спросит, а желаю ли я, чтобы ПО использовало мое текущее месторасположение и пр., Яндекс.Бар просто решил эти вопросы за меня.

Помимо этого вызывает улыбку следующее утверждение "без привязки к Пользователю" :) т.е. обращение происходит без использования IP-адреса? А если, допустим, в GET-запросе будет присутствовать Vasya.Pupkin@mail.ru? Кроме того, вызывает интерес передаваемый параметр "yandexuid" (это простите что?).


Итак, я не согласен с 5.1. – 5.6 и хочу отключить соответствующий функционал. Лезем в настройки панели Яндекс.Бар и что мы видим? Да ровным счетом ни одного крыжика с именем "отключить" там нет.


Так как же отключить spyware функционал? Оказывается, отключение функций и вывод иконок на панель Яндекс.Бар это одно и тоже. (интуитивно понятно)

Мораль сей басни такова, не устанавливайте к себе на компьютер ничего лишнего, а если устанавливаете новый софт, не поленитесь и изучите лицензионное соглашение. В противном случае, ваша личная жизнь может оказаться достоянием общественности, как у этих счастливчиков – http://mega-sms.ru

P.S. Используйте Фаерфокс! Он плохого не посоветует! :)

18 комментариев :

  1. А ещё «следящее» поведение было замечено за мэйлру, -- причём, даже при отсутствии любых «его» дополнений на компьютере.

    http://www.diary.ru/~Doubleclouder/p164317287.htm

    ОтветитьУдалить
  2. Отличная статья!
    Чем вы так элегантно сниффили пакеты?

    ОтветитьУдалить
  3. Анонимный21 июля 2011 г., 18:33

    Фаерфокс с плагинами от гугла тоже всё отправляет большому братику..

    ОтветитьУдалить
  4. Дмитрий, спасибо!
    Правда сам уже успел разобраться в Wireshark. Не сразу дошло что это окошко скрывается за "follow tcp stream"

    ОтветитьУдалить
  5. Яндекс явно поработал, потому что:
    1. В выдачу попали не все СМС, а избранный их срез, какие-то тысячи, когда поток - миллионы в день.
    2. Как бы там кто не индексировал - были прочеканы страницы с защитными идентификаторами - не последовательными, а дискретными, откуда поисковик мог их узнать? Или от пользователей, и здесь показано, что ЯБар это делает, или набрутить. И то и то дело не честное

    P.S. ИМХО. Если я заблуждаюсь, приношу всем извинения.

    ОтветитьУдалить
  6. согласен! есть три вопроса, которые остались без ответа:
    1. Кто первым слил информацию об утечке
    2. Почему из миллионных смс в день, в кеше оказались не более 8-ми тысяч
    3. Почему в кеш попали только самые сочные смс (как будто их отбирали...)

    ОтветитьУдалить
  7. „видимо передачи посещаемых страниц пользователями поисковой системе Яндекс, на компьютерах которых установлен Яндекс.Бар”
    Дмитрий, а почему не написали ни слова о «Яндекс.Метрике»? Ведь Вы теперь же знаете, что она там была?

    Также хочу обратить внимание на то, что на страницы «Мегафона» был установлен и код «Google Analytics» и в кэш Google’а также попали так называемые «идентификаторы» (правда, текст смски не виден — видимо из-за разных алгоритмов поисковых систем).

    Также, я бы хотел узнать, почему все говорят о „миллионных смс в день”? Я например, не думаю что с сайта «Мегафона» пользователи отправляют миллионы смски в день.

    А вот почему в кэш Яндекса попали лишь несколько тысяч смс — думаю, по той же причине почему в кэш Google’а попали лишь несколько десяток смс: поисковые системы не любят „дублирующуюся информацию” — а большое количество страниц, где были изменены лишь 160 символов (максимум для одной смс) это и есть повод не включить такие страницы в индекс поисковой системы.

    И ещё, не забываем что поисковые системы, довольно странные роботы — например, они могут индексировать базы данных, найти backup’ы, DDoS-ить сайты и много чего интересного и, я далеко не верю что это может случится из-за всяких тулбаров.

    А Дмитрию все должны сказать спасибо за урок — ведь правда, прежде чем установить какую-нибудь программу, нужно дважды подумать и трижды читать лицензионное соглашение.

    ОтветитьУдалить
  8. >> Дмитрий, а почему не написали ни слова о «Яндекс.Метрике»?

    я решил, что будет честно восстановить пост практически в том виде, который пришлось на время (разногласий) скрыть. Но нужно сказать, что по имеющимся на текущий момент информации утечка произошла и по причине Ябара и по причине установленной ЯМетрики. Соотношение пока не известно, но по некоторым данным из "подполья", большое количество смсок утекло все-таки из-за установленной ЯМетрики (данные еще не подтверждены).

    >> на страницы «Мегафона» был установлен и код «Google Analytics» и в кэш Google’а также попали так называемые «идентификаторы»

    есть пруфф?

    >> Также, я бы хотел узнать, почему все говорят о „миллионных смс в день”?

    см. видео, это официальный ответ от представителя Мегафон

    >> А вот почему в кэш Яндекса попали лишь несколько тысяч смс...

    если это не заговор против Мегафона, то выглядит вполне правдоподобно. я тоже склоняюсь к этой версии.

    ОтветитьУдалить
  9. Страно. Мой комментарий попал в спам-list?

    ОтветитьУдалить
  10. А Вы ведь удалили мой комментарий. Зачем?

    ОтветитьУдалить
  11. Виктор, нет, ничего не удалял

    ОтветитьУдалить
  12. Странно. Я снова отправил комментарий: после 1-ой перезагрузки страницы он виден, но после этого его больше нету. Может быть, он отправился в спам?

    ОтветитьУдалить
  13. однако такого на моей памяти не было :) а что за текст? (может картинкой?)

    ОтветитьУдалить
  14. В общем, ссылка на скриншот которая доказывает, что комментарий был «опубликован»:
    img59.imageshack.us/img59/5830/76515226.png

    И текст комментария:
    pastebin.com/raw.php?i=Bsew23ri

    ОтветитьУдалить
  15. касаемо Google информация подтверждена (Google бар) слил. Разница между Google и Яндекс в том, что Google не закешировал содержимое смс-сообщений, в отличии от Яндекса. В мире с privacy все несколько серьезнее, чем в России.

    По поводу двух миллионов, да, спутал с мнением корреспондента Вести. На самом деле их 40 миллионов в день (http://inf-sec.blogspot.com/2011/07/megafail-megafon-itil-groupib-research.html на 4:25)

    ОтветитьУдалить
  16. >> Google не закешировал содержимое смс-сообщений
    Возможно. Но не исключено что данные были удалены из кэша Google после того как стало известно, что смски «МегаФона» попали индекс Яндекс’а.

    >> На самом деле их 40 миллионов в день...
    Да, но от всех клиентов «Мегафона». С сайта «Мегафона» отправляться всего лишь 135000 сообщений в день.

    ОтветитьУдалить
  17. Это известно с момента появления этого бара))

    ОтветитьУдалить