Интернет-пользователи ненадолго получили возможность прочитать тексты более чем восьми тысяч SMS, отправленных через официальный сайт оператора «МегаФон». Сообщения, посылаемые с этого ресурса, стали появляться в результатах поиска «Яндекса», попав таким образом в открытый доступ. Инцидент грозит оператору не только финансовыми и репутационными потерями, но и, возможно, уголовным преследованием.
Чтобы прочитать SMS-сообщения, достаточно было «вбить» в строку поиска «Яндекса» запрос url:www.sendsms.megafon.ru|url:sendsms.megafon.ru. В ответ поисковик выдавал список сообщений вместе с номерами их получателей. Добавив в начале запроса какое-либо слово, можно было прочитать сообщения, содержащие его в своем тексте. Нужно отметить, что в некоторых SMS содержалась конфиденциальная информация, такая, как логины и пароли от различных онлайн-сервисов.
Новость о произошедшей утечке довольно быстро распространилась по Интернету. Сообщения стали доступны для прочтения утром, а уже через несколько часов тему активно обсуждали в блогах и социальных сетях. На решение проблемы «Яндекс» потратил несколько часов и только к 16:00 заблокировал запрос, по которому можно найти сообщения, и убрал кэш.
В «МегаФоне» заявили, что считают причастным к утечке SMS-сообщений «Яндекс». По словам первого заместителя генерального директора «МегаФона» Валерия Ермакова, файл robots.txt, запрещающий индексацию страниц, на отсутствие которого указывали в «Яндексе», на сайте оператора есть. «Этот файл отвечает за ограничение индексирования поисковиками и работает во всеми ресурсами, – отметил Ермаков. – Остается вопросом, почему информация попала только в «Яндекс»».
В «МегаФоне» считают, возможно, утечка произошла из-за того, что у пользователей, отправлявших SMS с сайта оператора, было установлено приложение «Яндекс.Бар», которое считывало информацию и отправляло ее на сервер поисковика. Также рассматривается версия о хакерской атаке.
Между тем в «Яндексе» утверждают, что страницы с SMS-сообщениями с сайта «МегаФона» были доступны и в других поисковых системах. В сообщении компании говорится, что поисковая система «Яндекса» индексирует только открытую часть Интернета, то есть страницы, которые доступны при переходе по ссылкам без ввода логина и пароля. «Страницы, индексация которых запрещена администратором сайта в файле robots.txt, «Яндекс» не индексирует, даже если они находятся в открытой части интернета, – сообщают в компании. – Это соответствует всем общепринятым нормам и правилам взаимодействия в Интернете».
Кроме того, в сообщении говорится, что никакие сервисы «Яндекса» не виноваты в утечке данных с сайта «МегаФона», поскольку они не скачивают содержимое веб-страниц. «Если страница закрыта для индексации в файле robots.txt или защищена логином и паролем, то она недоступна и поисковым роботам, то есть информация, размещенная на ней, никогда не окажется в какой-либо поисковой системе», – подчеркивают в «Яндексе».