Занятная утечка сегодня просочилась в паблик. Дело в том, что в кеш поисковой машины Яндекс попала часть сообщений сотового оператора Мегафон, отправленные через веб-морду www.sendsms.megafon.ru.По имеющемуся предположению это произошло в следствии двух факторов.
Первый фактор - это уязвимость в самом веб-приложении www.sendsms.megafon.ru, при отправке смс сообщения с которого существует возможность проверить статус доставки этого сообщения. Каждому отправленному смс сообщению присваивается уникальный идентификатор, который можно увидеть в адресной строке. Зная этот идентификатор любой пользователь Интернет без какой-либо авторизации может получить доступ к статусу доставки сообщения, в котором присутствует, как номер мобильного телефона, на который было отправлено сообщение, так и тело самого сообщения. Идентификатор является случайным, и далеко не факт, имеющим сильную энтропию. К слову, время хранения этой информации на сайте составляет более часа...
Второй фактор – установленный на компьютере Яндекс.Бар при некоторых условиях передает поисковой машине Яндекса, адреса, которые посещает пользователь и которые в свою очередь индексируются и кешируются поисковой системой Яндекс. Таким образом, все пользователи с установленным Яндекс.Баром воспользовавшиеся сайтом www.sendsms.megafon.ru для отправки смс сообщений отправили эти смс сообщения напрямую в кеш поисковой системы Яндекс.
В настоящее время Яндекс частично прикрыл утечку по запросу "url:www.sendsms.megafon.ru* | url:sendsms.megafon.ru*", но работают запросы, которые видимо остались в кеше выдаваемых результатов поисковой машины. Например запрос вида "url:www.sendsms.megafon.ru* | url:sendsms.megafon.ru* "встретимся"" на 18:00 MSK до сих пор выводит содержимое смс сообщений. Стоит также задуматься над тем, какая еще интересная/чувствительная информация может остаться в поисковой базе Яндекс от пользователей, на компьютерах которых установлен Яндекс.Бар.
Так, что же было интересного в этих данных для злоумышленника?
Ну, например, информация об используемых паролях (в том числе и к корпоративным системам):
Дополнительно по теме: http://ria.ru/society/20110718/403626207.html, http://top.rbc.ru/society/18/07/2011/606194.shtml, http://www.newsland.ru/news/detail/id/741576/cat/42/
Если кто пропустил: https://spreadsheets.google.com/spreadsheet/lv?hl=ru&key=t-WM8ugWq19pkYqwZMdu3CA&hl=ru&f=true&gid=3, http://pastebin.com/Hht8DBeT, http://suhanovskiy.ru/habr/megafon.txt
Лучшие смски в комментах хабра: http://webcache.googleusercontent.com/search?q=cache:http://habrahabr.ru/blogs/infosecurity/124370/&cd=2&hl=ru&ct=clnk&gl=ru&source=www.google.ru
Для тех кто пропустил все: http://mega-sms.ru
Дмитрий, скажите пожалуйста SSL прикрученный к морде затыкает дыру (с ЯБаром особенно)?
ОтветитьУдалитькак это не удивительно, но Яндекс только индексирует https страницы, но не кеширует их, в отличии, например, от Google. Таким образом, если бы www.sendsms.megafon.ru работал поверх ssl, то результат был бы аналогичен. По другому дела обстоят с сайтом sms.prm.ru (yandex.ru/yandsearch?p=1&text=&site=sms.prm.ru&lr=213), содержимое смс которого попали только в кеш, но не в индекс
ОтветитьУдалитьДмитрий, спасибо (это был я, авторизация сбилась, а подписаться забыл). То есть фактически криптографии (SSL) как панацеи недостаточно для "затыкания" дыры и нужны дополнительные меры?
ОтветитьУдалитьАлексей, зачем здесь нужно шифрование? Соответственно, нужны не доп. меры, а другие меры. Не лучше ли например привязываться к веб-клиенту при проверке статуса?
ОтветитьУдалитьЯндех - roвно, кто бы что не говорил )))
ОтветитьУдалить> Алексей Волков
ОтветитьУдалитьда -)гоист прав, тут проблема была в том, что сайт Мегафона не осуществлял никакой проверки клиента, например, банально не создавал сессию. Именно в следствии этого, поисковый робот сумел проиндексировать содержимое страниц, которые он получал от Ябара.
> Анонимный
Яндекс считает наоборот ;)
кстати возможно виновен вовсе не Ябар, а установленная Yandex.Metrika...
ОтветитьУдалитьНа пермском операторе sms.prm.ru с аналогичными проблемами она также присутствует:
!-- Yandex.Metrika counter --
Дмитрию: спасибо за разъяснения! Я позволил себе сделать ссылку на Вас: http://anvolkov.blogspot.com/2011/07/blog-post_19.html
ОтветитьУдалитьЭгоисту: нужно, если признают, что утекшие ПДн не были обезличенными. Смотрите по ссылке выше.
ОтветитьУдалитьИнтересные рассуждения...
ОтветитьУдалитьДмитрий, а про это что думаете? :) http://lifenews.ru/news/64117
ОтветитьУдалитьзнаю, что подобной информацией и без этих кодов владеют SEO'шники, с другой стороны, по результатам наших пентестов осуществить подобную атаку вполне реально :)
ОтветитьУдалитьАлексей, а вот утверждение, что "Различные СМИ уже выдвинули гипотезу, что кража кодов «Яндекса» связана со скандалом вокруг Мегафона и публикацией в открытом доступе текстов СМС сообщений, отправленных с сайта Мегафона." считаю попыткой Яндекса отмазаться от ответственности!
ОтветитьУдалитьДмитрию: мы с коллегами такого же мнения :)
ОтветитьУдалитьЭпиграф из опубликованных материалов :)
ОтветитьУдалить"Два солнышка в жизни есть у меня, и потерять их совсем никак мне нельзя. Одно каждый день Мне светит с небес Второе - читает моё смс"
Этот комментарий был удален автором.
ОтветитьУдалитьHave you been looking for where to buy weed online in the UK at good prices? However, Darknetweed is the best store for you to buy weed online cheap and legit. Moreover, with our 100% success rate and super fast delivery, your delivery is 100% secure and guaranteed. In case of delivery failure, your money will be refunded back to you within 30 days. Moon rocks for sale | order weed online uk | buy weed online uk | mail order weed uk contact us: darknetweedonline@gmail.com
ОтветитьУдалитьSodium pentobarbital for sale. Nembutal Pentobarbital is a type of barbiturates that slows down the activity of the brain and nervous system. It is important to note that if you are allergic to pentobarbital you should not take this medication. buynembutalonlineuk@gmail.com
ОтветитьУдалитьsodium pentobarbital for sale
sodium pentobarbital for sale
pentobarbital buy online
pentobarbital for sale
buy seconal online
secobarbital buy
nembutal pills
tuinal
nembutal sodium
nembutal for sale
sodium pentobarbital
seconal sodium
euthanasia drug
animal euthanasia
pentobarbital buy
pentobarbital de sodium
If you are looking for where you can buy good quality weed online for delivery anywhere in smaller quantities at an affordable price rate, please kindly visit www.weedxpressuk.com for your weed strains and weed derived products.
ОтветитьУдалитьIf you are looking for where you can buy good quality weed online for delivery anywhere in smaller quantities at an affordable price rate, please kindly visit www.cannabispharmuk.com for your weed strains and weed derived products.
ОтветитьУдалитьCannabis Pharm UK has made it very much more comfortable to buy weed online around the world at affordable prices, and have it delivered to your home without struggles. Go to www.cannabispharmuk.com to learn more about our various products and services.
ОтветитьУдалить