О том, что около 8 тыс. SMS-сообщений оказались в открытом доступе, вчера около двух часов дня сообщили Lenta.ru и интернет-ресурс Nomobile.ru. Прочитать сообщения можно было, воспользовавшись кэшем поисковой системы. Кроме самого текста можно было получить номер адресата без указания его персональных данных, номер отправителя не указывался.
К трем часам дня "Яндекс" почистил свой кэш. Тексты SMS стали недоступны на сайте поисковика, но к тому времени в открытом доступе появились сохраненные копии кэшированных SMS, которые еще вчера вечером были доступны в интернете.
Пресс-секретарь "МегаФона" Юлия Дорохина объясняет, что "на сайте оператора произошел технический сбой, связанный с работой внешнего администратора сайта". По ее словам, сбой коснулся крайне незначительной части SMS, отправленных с сайта оператора, он не затронул SMS-сообщения клиентов, отправленные через телефоны и другие мобильные устройства. Какой конкретно технический сбой произошел и кто администрирует сайт "МегаФона", Юлия Дорохина не сообщила.
Представитель "Яндекса" Очир Манджиков отмечает, что "поисковик индексирует только открытую часть интернета — те страницы, которые доступны при переходе по ссылкам без ввода логина и пароля". При этом страницы, индексация которых запрещена администратором сайта в файле robots.txt, "Яндекс" не индексирует, даже если они находятся в открытой части интернета. "В разделе отправки SMS на сайте "МегаФона" в момент индексации по какой-то причине отсутствовал файл robots.txt",— пояснил господин Манджиков.
Уже в пять часов вечера стало известно о том, что глава cледственного комитета РФ Александр Бастрыкин дал поручение провести следственную проверку этого инцидента. По ее итогам может быть возбуждено уголовное дело.
Роскомнадзор, в свою очередь, направил запрос оператору с требованием разъяснить, каким образом SMS-переписка попала в открытый доступ. Представитель Роскомнадзора Михаил Воробьев заявил "Интерфаксу", что, по мнению регулятора, проиcшедшее может иметь признаки нарушения закона "О связи" и "О персональных данных". Впрочем, персональные данные абонентов (например, их паспортные данные, фамилия) в открытый доступ все-таки не попали, хотя в некоторых SMS, изученных "Ъ", были указаны паспортные данные людей.
К "МегаФону" может быть подан коллективный иск, заявили вчера в Союзе потребителей России. Глава Международной конфедерации обществ потребителей (туда входит Союз потребителей РФ) Дмитрий Янин уверен, что если иск будет подан и выигран, то потребителям, которые обратятся в суд, не нужно будет доказывать вину оператора, им придется лишь обосновать величину компенсации. "Для каждого, кто докажет наличие ущерба, сумма будет установлена судом индивидуально",— уверен Дмитрий Янин.
Адвокат Павел Ламбров считает, что по ст. 138 УК РФ ("Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений") возбудить уголовное дело вряд ли удастся, так как "умысла в данном случае не было". "Скорее всего, речь идет о простой халатности рядовых сотрудников, которые могут понести за это разве что дисциплинарную ответственность",— считает господин Ламбров. По его словам, пострадавшие могут взыскать через суд с "МегаФона" компенсацию, но для этого придется доказать наличие морального ущерба.
"Если придется куда-то ехать, то, конечно, предъявлять претензии не буду, так как у меня грудной ребенок. Но если надо просто что-то подписать, то я за",— сообщила "Ъ" одна из пострадавших. Еще один абонент, получивший SMS об отказе в кредите, сообщил, что не намерен судиться, так как "не хочет тратить время".
Блогер Антон Носик считает, что брешь в системе "МегаФона" существует давно, но обнаружили ее лишь сейчас. "Смысл в том, что при отправке заполненной формы генерируется веб-страница с введенными данными. Но она нигде не сохраняется, перестает существовать, но может оставить следы в кэше",— поясняет господин Носик. Он удивился тому, почему администраторы сайта не проверили, какие данные выдаются их ресурсом поисковику. "Но хотел бы подчеркнуть, что такие проблемы еще будут выявляться. Только сегодня удалось обнаружить аналогичную дыру на сайте по пересылке SMS prm.ru. Кроме того, служба экспресс-доставки EMS "Почты России" зачем-то отдает "Яндексу" данные по посылкам с указанием фамилии и адреса получателя",— отмечает Антон Носик. В пресс-службе EMS "Почты России" вчера заявили, что со стороны компании "предпринимается максимум усилий по разрешению данной ситуации. В ближайшее время причина будет выявлена и устранена".
Пресс-секретарь "Вымпелкома" Анна Айбашева утверждает, что абоненты оператора защищены от возникновения подобных ситуаций, поскольку текст SMS, которые они отправляют через сайт, не публикуется на веб-странице с прямой ссылкой после отправки. "При отправке сообщений через сайт МТС вся информация передается сразу в SMS-центр и не сохраняется на сайте оператора. Прочтение сообщений сторонними лицами после его отправки невозможно",— говорит представитель МТС Валерия Кузьменко.
Аналитик ACM-Consulting Антон Погребинский считает, что "утечка" SMS вряд ли спровоцирует отток абонентов и другие негативные последствия для бизнеса "МегаФона". У операторов связи, в том числе сотовых были гораздо более глобальные случаи утечки информации, когда в свободную продажу попадала информация об их абонентах, включая номера телефонов и их регистрационные данные. Данные абонентов сотовых операторов неоднократно попадали в открытую в продажу, в частности, на специализированных рынках. В частности, в 2002 году в продажу в Москве поступил диск с данным об абонентах МТС, через год тоже самое произошло с базой "МегаФона" в Санкт-Петербурге, а в 2004 году и "Вымпелкома" (в обоих городах). "Действительно серьезный урон бизнесу телеком-компаний приносят серьезные сбои в работе сети",— рассуждает господин Погребинский. Данные абонентов сотовых операторов неоднократно попадали в открытую продажу, в частности, на специализированных рынках.
Александр Малахов, Анна Балашова