Yandex Dorks

Занятная утечка сегодня просочилась в паблик. Дело в том, что в кеш поисковой машины Яндекс попала часть сообщений сотового оператора Мегафон, отправленные через веб-морду www.sendsms.megafon.ru.

По имеющемуся предположению это произошло в следствии двух факторов.

Первый фактор - это уязвимость в самом веб-приложении www.sendsms.megafon.ru, при отправке смс сообщения с которого существует возможность проверить статус доставки этого сообщения. Каждому отправленному смс сообщению присваивается уникальный идентификатор, который можно увидеть в адресной строке. Зная этот идентификатор любой пользователь Интернет без какой-либо авторизации может получить доступ к статусу доставки сообщения, в котором присутствует, как номер мобильного телефона, на который было отправлено сообщение, так и тело самого сообщения. Идентификатор является случайным, и далеко не факт, имеющим сильную энтропию. К слову, время хранения этой информации на сайте составляет более часа...

Второй фактор – установленный на компьютере Яндекс.Бар при некоторых условиях передает поисковой машине Яндекса, адреса, которые посещает пользователь и которые в свою очередь индексируются и кешируются поисковой системой Яндекс. Таким образом, все пользователи с установленным Яндекс.Баром воспользовавшиеся сайтом www.sendsms.megafon.ru для отправки смс сообщений отправили эти смс сообщения напрямую в кеш поисковой системы Яндекс.


В настоящее время Яндекс частично прикрыл утечку по запросу "url:www.sendsms.megafon.ru* | url:sendsms.megafon.ru*", но работают запросы, которые видимо остались в кеше выдаваемых результатов поисковой машины. Например запрос вида "url:www.sendsms.megafon.ru* | url:sendsms.megafon.ru* "встретимся"" на 18:00 MSK до сих пор выводит содержимое смс сообщений. Стоит также задуматься над тем, какая еще интересная/чувствительная информация может остаться в поисковой базе Яндекс от пользователей, на компьютерах которых установлен Яндекс.Бар.

Так, что же было интересного в этих данных для злоумышленника?

Ну, например, информация об используемых паролях (в том числе и к корпоративным системам):





Не слишком много... Все-таки в большей степени утекшие данные интересны простым людям. Например, обманутой девушке или наоборот, "рогатому" мужу:



Учитывая, что произошла утечка более восьми тысяч смс сообщений, многие могли извлечь из нее массу полезного.

Дополнительно по теме: http://ria.ru/society/20110718/403626207.htmlhttp://top.rbc.ru/society/18/07/2011/606194.shtmlhttp://www.newsland.ru/news/detail/id/741576/cat/42/

Если кто пропустил: https://spreadsheets.google.com/spreadsheet/lv?hl=ru&key=t-WM8ugWq19pkYqwZMdu3CA&hl=ru&f=true&gid=3http://pastebin.com/Hht8DBeThttp://suhanovskiy.ru/habr/megafon.txt

Лучшие смски в комментах хабра: http://webcache.googleusercontent.com/search?q=cache:http://habrahabr.ru/blogs/infosecurity/124370/&cd=2&hl=ru&ct=clnk&gl=ru&source=www.google.ru

Для тех кто пропустил все: http://mega-sms.ru

15 комментариев :

  1. Анонимный18 июля 2011 г., 21:10

    Дмитрий, скажите пожалуйста SSL прикрученный к морде затыкает дыру (с ЯБаром особенно)?

    ОтветитьУдалить
  2. как это не удивительно, но Яндекс только индексирует https страницы, но не кеширует их, в отличии, например, от Google. Таким образом, если бы www.sendsms.megafon.ru работал поверх ssl, то результат был бы аналогичен. По другому дела обстоят с сайтом sms.prm.ru (yandex.ru/yandsearch?p=1&text=&site=sms.prm.ru&lr=213), содержимое смс которого попали только в кеш, но не в индекс

    ОтветитьУдалить
  3. Дмитрий, спасибо (это был я, авторизация сбилась, а подписаться забыл). То есть фактически криптографии (SSL) как панацеи недостаточно для "затыкания" дыры и нужны дополнительные меры?

    ОтветитьУдалить
  4. Алексей, зачем здесь нужно шифрование? Соответственно, нужны не доп. меры, а другие меры. Не лучше ли например привязываться к веб-клиенту при проверке статуса?

    ОтветитьУдалить
  5. Анонимный18 июля 2011 г., 23:12

    Яндех - roвно, кто бы что не говорил )))

    ОтветитьУдалить
  6. > Алексей Волков

    да -)гоист прав, тут проблема была в том, что сайт Мегафона не осуществлял никакой проверки клиента, например, банально не создавал сессию. Именно в следствии этого, поисковый робот сумел проиндексировать содержимое страниц, которые он получал от Ябара.

    > Анонимный

    Яндекс считает наоборот ;)

    ОтветитьУдалить
  7. кстати возможно виновен вовсе не Ябар, а установленная Yandex.Metrika...

    На пермском операторе sms.prm.ru с аналогичными проблемами она также присутствует:

    !-- Yandex.Metrika counter --

    ОтветитьУдалить
  8. Дмитрию: спасибо за разъяснения! Я позволил себе сделать ссылку на Вас: http://anvolkov.blogspot.com/2011/07/blog-post_19.html

    ОтветитьУдалить
  9. Эгоисту: нужно, если признают, что утекшие ПДн не были обезличенными. Смотрите по ссылке выше.

    ОтветитьУдалить
  10. Дмитрий, а про это что думаете? :) http://lifenews.ru/news/64117

    ОтветитьУдалить
  11. знаю, что подобной информацией и без этих кодов владеют SEO'шники, с другой стороны, по результатам наших пентестов осуществить подобную атаку вполне реально :)

    ОтветитьУдалить
  12. Алексей, а вот утверждение, что "Различные СМИ уже выдвинули гипотезу, что кража кодов «Яндекса» связана со скандалом вокруг Мегафона и публикацией в открытом доступе текстов СМС сообщений, отправленных с сайта Мегафона." считаю попыткой Яндекса отмазаться от ответственности!

    ОтветитьУдалить
  13. Дмитрию: мы с коллегами такого же мнения :)

    ОтветитьУдалить
  14. Анонимный23 июля 2011 г., 0:35

    Эпиграф из опубликованных материалов :)

    "Два солнышка в жизни есть у меня, и потерять их совсем никак мне нельзя. Одно каждый день Мне светит с небес Второе - читает моё смс"

    ОтветитьУдалить