Yandex Dorks

Занятная утечка сегодня просочилась в паблик. Дело в том, что в кеш поисковой машины Яндекс попала часть сообщений сотового оператора Мегафон, отправленные через веб-морду www.sendsms.megafon.ru.

По имеющемуся предположению это произошло в следствии двух факторов.

Первый фактор - это уязвимость в самом веб-приложении www.sendsms.megafon.ru, при отправке смс сообщения с которого существует возможность проверить статус доставки этого сообщения. Каждому отправленному смс сообщению присваивается уникальный идентификатор, который можно увидеть в адресной строке. Зная этот идентификатор любой пользователь Интернет без какой-либо авторизации может получить доступ к статусу доставки сообщения, в котором присутствует, как номер мобильного телефона, на который было отправлено сообщение, так и тело самого сообщения. Идентификатор является случайным, и далеко не факт, имеющим сильную энтропию. К слову, время хранения этой информации на сайте составляет более часа...

Второй фактор – установленный на компьютере Яндекс.Бар при некоторых условиях передает поисковой машине Яндекса, адреса, которые посещает пользователь и которые в свою очередь индексируются и кешируются поисковой системой Яндекс. Таким образом, все пользователи с установленным Яндекс.Баром воспользовавшиеся сайтом www.sendsms.megafon.ru для отправки смс сообщений отправили эти смс сообщения напрямую в кеш поисковой системы Яндекс.


В настоящее время Яндекс частично прикрыл утечку по запросу "url:www.sendsms.megafon.ru* | url:sendsms.megafon.ru*", но работают запросы, которые видимо остались в кеше выдаваемых результатов поисковой машины. Например запрос вида "url:www.sendsms.megafon.ru* | url:sendsms.megafon.ru* "встретимся"" на 18:00 MSK до сих пор выводит содержимое смс сообщений. Стоит также задуматься над тем, какая еще интересная/чувствительная информация может остаться в поисковой базе Яндекс от пользователей, на компьютерах которых установлен Яндекс.Бар.

Так, что же было интересного в этих данных для злоумышленника?

Ну, например, информация об используемых паролях (в том числе и к корпоративным системам):





Не слишком много... Все-таки в большей степени утекшие данные интересны простым людям. Например, обманутой девушке или наоборот, "рогатому" мужу:



Учитывая, что произошла утечка более восьми тысяч смс сообщений, многие могли извлечь из нее массу полезного.

Дополнительно по теме: http://ria.ru/society/20110718/403626207.htmlhttp://top.rbc.ru/society/18/07/2011/606194.shtmlhttp://www.newsland.ru/news/detail/id/741576/cat/42/

Если кто пропустил: https://spreadsheets.google.com/spreadsheet/lv?hl=ru&key=t-WM8ugWq19pkYqwZMdu3CA&hl=ru&f=true&gid=3http://pastebin.com/Hht8DBeThttp://suhanovskiy.ru/habr/megafon.txt

Лучшие смски в комментах хабра: http://webcache.googleusercontent.com/search?q=cache:http://habrahabr.ru/blogs/infosecurity/124370/&cd=2&hl=ru&ct=clnk&gl=ru&source=www.google.ru

Для тех кто пропустил все: http://mega-sms.ru

21 комментарий :

  1. Анонимный18 июля 2011 г., 21:10

    Дмитрий, скажите пожалуйста SSL прикрученный к морде затыкает дыру (с ЯБаром особенно)?

    ОтветитьУдалить
  2. как это не удивительно, но Яндекс только индексирует https страницы, но не кеширует их, в отличии, например, от Google. Таким образом, если бы www.sendsms.megafon.ru работал поверх ssl, то результат был бы аналогичен. По другому дела обстоят с сайтом sms.prm.ru (yandex.ru/yandsearch?p=1&text=&site=sms.prm.ru&lr=213), содержимое смс которого попали только в кеш, но не в индекс

    ОтветитьУдалить
  3. Дмитрий, спасибо (это был я, авторизация сбилась, а подписаться забыл). То есть фактически криптографии (SSL) как панацеи недостаточно для "затыкания" дыры и нужны дополнительные меры?

    ОтветитьУдалить
  4. Алексей, зачем здесь нужно шифрование? Соответственно, нужны не доп. меры, а другие меры. Не лучше ли например привязываться к веб-клиенту при проверке статуса?

    ОтветитьУдалить
  5. Анонимный18 июля 2011 г., 23:12

    Яндех - roвно, кто бы что не говорил )))

    ОтветитьУдалить
  6. > Алексей Волков

    да -)гоист прав, тут проблема была в том, что сайт Мегафона не осуществлял никакой проверки клиента, например, банально не создавал сессию. Именно в следствии этого, поисковый робот сумел проиндексировать содержимое страниц, которые он получал от Ябара.

    > Анонимный

    Яндекс считает наоборот ;)

    ОтветитьУдалить
  7. кстати возможно виновен вовсе не Ябар, а установленная Yandex.Metrika...

    На пермском операторе sms.prm.ru с аналогичными проблемами она также присутствует:

    !-- Yandex.Metrika counter --

    ОтветитьУдалить
  8. Дмитрию: спасибо за разъяснения! Я позволил себе сделать ссылку на Вас: http://anvolkov.blogspot.com/2011/07/blog-post_19.html

    ОтветитьУдалить
  9. Эгоисту: нужно, если признают, что утекшие ПДн не были обезличенными. Смотрите по ссылке выше.

    ОтветитьУдалить
  10. Дмитрий, а про это что думаете? :) http://lifenews.ru/news/64117

    ОтветитьУдалить
  11. знаю, что подобной информацией и без этих кодов владеют SEO'шники, с другой стороны, по результатам наших пентестов осуществить подобную атаку вполне реально :)

    ОтветитьУдалить
  12. Алексей, а вот утверждение, что "Различные СМИ уже выдвинули гипотезу, что кража кодов «Яндекса» связана со скандалом вокруг Мегафона и публикацией в открытом доступе текстов СМС сообщений, отправленных с сайта Мегафона." считаю попыткой Яндекса отмазаться от ответственности!

    ОтветитьУдалить
  13. Дмитрию: мы с коллегами такого же мнения :)

    ОтветитьУдалить
  14. Анонимный23 июля 2011 г., 00:35

    Эпиграф из опубликованных материалов :)

    "Два солнышка в жизни есть у меня, и потерять их совсем никак мне нельзя. Одно каждый день Мне светит с небес Второе - читает моё смс"

    ОтветитьУдалить
  15. Этот комментарий был удален автором.

    ОтветитьУдалить
  16. Have you been looking for where to buy weed online in the UK at good prices? However, Darknetweed is the best store for you to buy weed online cheap and legit. Moreover, with our 100% success rate and super fast delivery, your delivery is 100% secure and guaranteed. In case of delivery failure, your money will be refunded back to you within 30 days. Moon rocks for sale | order weed online uk | buy weed online uk | mail order weed uk contact us: darknetweedonline@gmail.com

    ОтветитьУдалить
  17. Sodium pentobarbital for sale. Nembutal Pentobarbital is a type of barbiturates that slows down the activity of the brain and nervous system. It is important to note that if you are allergic to pentobarbital you should not take this medication. buynembutalonlineuk@gmail.com

    sodium pentobarbital for sale

    sodium pentobarbital for sale
    pentobarbital buy online
    pentobarbital for sale
    buy seconal online
    secobarbital buy
    nembutal pills
    tuinal
    nembutal sodium
    nembutal for sale
    sodium pentobarbital
    seconal sodium
    euthanasia drug
    animal euthanasia
    pentobarbital buy
    pentobarbital de sodium

    ОтветитьУдалить
  18. If you are looking for where you can buy good quality weed online for delivery anywhere in smaller quantities at an affordable price rate, please kindly visit www.weedxpressuk.com for your weed strains and weed derived products.

    ОтветитьУдалить
  19. If you are looking for where you can buy good quality weed online for delivery anywhere in smaller quantities at an affordable price rate, please kindly visit www.cannabispharmuk.com for your weed strains and weed derived products.

    ОтветитьУдалить
  20. Cannabis Pharm UK has made it very much more comfortable to buy weed online around the world at affordable prices, and have it delivered to your home without struggles. Go to www.cannabispharmuk.com to learn more about our various products and services.

    ОтветитьУдалить