СМС-сообщения (SMS, Short Message Service — служба коротких сообщений), оправленные с сайта сотового оператора «Мегафон», стали доступны для всеобщего просмотра. Текст сообщений проиндексировала поисковая система «Яндекс». Пользователи интернета, введя в строку «Яндекса» запрос «url:www.sendsms.megafon.ru* | url:sendsms.megafon.ru*», могли обнаружить тексты СМС, отправленных через сайт sendsms.megafon.ru, время, когда они были отправлены, и номера их получателей.
100 страниц личной переписки — признаний, матерных конфликтов и т. п. — оказались доступны для прочтения. В логах встречаются аккаунты и пароли социальных сетей. В поиске отображаются последние 1000 СМС-сообщений, на момент написания статьи самое старое датируется 11 июля 2011 года.
С 15.00 по московскому времени количество опубликованных сообщений стало сокращаться. К 15.45 страницы с опубликованными СМС отключили.
Роскомнадзор начинает проверку утечки, говорит Михаил Воробьев, помощника главы ведомства.
«Роскомнадзор в настоящее время анализирует поступившую информацию с целью определить, имело ли место нарушение законодательства о персональных данных», — заявил он.
«Яндекс» индексирует только открытую часть интернета — те страницы, которые доступны при переходе по ссылкам без ввода логина и пароля, говорят в компании.
«Страницы, индексация которых запрещена администратором сайта в файле robots.txt, «Яндекс» не индексирует, даже если они находятся в открытой части интернета. Это соответствует всем общепринятым нормам и правилам взаимодействия в интернете. В разделе отправки СМС на сайте «Мегафона» (www.sendsms.megafon.ru) в момент индексации по какой-то причине отсутствовал файл robots.txt. Насколько нам известно, сейчас администраторы сайта уже установили robots.txt и закрыли этот раздел для индексации. В максимально скором времени все страницы этого раздела будут недоступны», — говорит представитель поисковика.
Представитель ОАО «Мегафон» Юлия Дорохина рассказывает, что на сайте оператора произошел технический сбой, связанный с работой внешнего администратора сайта. «Сбой коснулся крайне незначительной части СМС, отправленных с сайта оператора. При этом он не затронул СМС-сообщения клиентов, отправленные через телефоны и другие мобильные устройства», — добавляет она. В настоящий момент, уверяет Дорохина, ситуация находится под контролем, сбой полностью устранен, вся информация, попавшая в поисковую выдачу «Яндекса», удалена из всех запросов.
Получатели подтверждают: такие сообщения приходили.
«Мне подруга такое присылала, не могу сказать, откуда в «Яндексе» появилось это СМС. Не знаю, буду ли посылать в суд, но ссылку отправьте», — заявляет одна из опрошенных «Газетой.Ru» получательниц СМС, которая получила сообщение от подруги о дешевом левомицетине.
Получатель СМС о пришедшем «в гости к папе студенте Саше Кузнецове» также подтверждает: такое сообщение было. «Да, получала, но в суд подавать не буду, так как многие думают, что это лишние проблемы и морока», — сказала она «Газете.Ru».
Информация, в данном случае СМС, сохраняется сотовым оператором независимо от того, афишируют они это или нет, объясняет Андрей Галатин, технический директор SearchInform. «Информация оказалась проиндексирована поисковой системой. Такое также вполне возможно, например, из-за недоработок при проектировании сайта компании: не учли, какая информация и на каких страницах может индексироваться, а какая нет», — отметил он.
«Это не технический сбой. Скорее, это человеческий фактор в широком смысле слова, — заявил «Газете.Ru» на условиях анонимности топ-менеджер компании — конкурента «Мегафона». — Скорее, это провокация».
Он уверен, что инцидент негативно скажется на репутации «Мегафона».
Позднее в блогах опубликовали ссылку на страницы с подборкой СМС-сообщений абонентов МТС, Utel и «Вымпелкома». Они рассылались через пермский портал prm.ru. Сейчас эти страницы удалены.
«МТС не имеет никаких соглашений с www.prm.ru об организации отправки бесплатных СМС-сообщений с данного сайта и не несет ответственность за действия сайта по обеспечению конфиденциальности отправляемой через сайт информации», — заявил оператор. В пресс-службе «Вымпелкома» утверждают, что «абоненты оператора защищены от возникновения подобных ситуаций, поскольку текст SMS, которые они отправляют через сайт, не публикуется на веб-странице с прямой ссылкой после отправки».
«Российское законодательство накладывает на сотовых операторов обязательства по защите персональных данных и персональной информации абонентов», — напоминает юрист компании «Юков, Хренов и партнеры» Марина Краснобаева. «Размещение текста СМС-сообщений в интернете без согласия абонентов — это, безусловно, нарушение законов «О защите персональных данных», «О связи» и множества других нормативных актов. Кроме того, тайна телефонных и телеграфных переговоров гарантируется Конституцией, как одно из основополагающих прав человека», — добавляет она.
Сергей Литвиненко, адвокат юридической компании «Налоговик», напоминает, что утечка данных является нарушением законодательства о защите персональных данных, поскольку данные из переписки могут быть квалифицированы как охраняемые законом данные о гражданине. «В Уголовном кодексе есть состав преступления, устанавливающий наказание за нарушение тайны переписки. Поэтому лицо, виновное в раскрытии данных, может быть приговорено к исправительным работам на срок до одного года. Но пока непонятно, кого привлекать к ответственности: «Мегафон» должен был обеспечить сохранность данных, а «Яндекс» обязан не посягать на такие данные. При этом вина «Мегафона» вряд ли является умыслом, поскольку оператор явно не желал раскрывать тексты, здесь, скорее всего, имеет место неосторожность. А упомянутая статья УК не наказывает за неосторожное преступление. Поисковая система почему-то забирала эти данные с сайта оператора», — считает юрист.
В любом случае публикация таких данных в сети является нарушением прав гражданина на тайну личной жизни, что служит основанием для взыскания компенсации морального вреда, уверен Литвиненко.
На «Мегафон» должны быть наложены значительные штрафы, связанные с допущенными нарушениями, добавляет Краснобаева. Абоненты также вправе обратиться в суд с требованиями о возмещении морального и материального вреда.
Глава Следственного комитета РФ Александр Бастрыкин дал поручение провести доследственную проверку по факту утечки СМС-сообщений, сообщил официальный представитель СК РФ Владимир Маркин.
Александр Ерощев, аналитик SearchInform, надеется, что «новость про «Мегафон» — это утка». «Если это произошло, то в данном случае имеет место быть вопиющая некомпетентность сотрудников, допустивших даже не то, что данный url оказался открытым, а то, что он в принципе существовал. То есть причиной того, что данная утечка произошла, являлось то, что информация с сервера, хранящего СМС, была доступна по внешнему адресу, пусть даже не имеющего ссылок в открытой сети. То, что она при этом не требовала авторизации, — это за гранью здравого смысла. Во избежание подобных инцидентов в будущем следует или не хранить СМС абонентов в принципе, или хранить в соответствии с принципами построения СОРМ: СМС должны копироваться с сервера отправки на сервер СОРМ, после чего на сервере отправки безвозвратно удаляться. Сервер СОРМ не должен иметь связи с интернетом».