После истории с утечкой SMS осталось много вопросов
Восстановим основные предпосылки произошедшего.
Этой весной «Мегафон» начал реорганизацию системы своих многочисленных региональных сайтов, объединил их в один сайт, создал общий сервис sendsms.megafon.ru. В ходе этих реорганизаций произошла цепь мелких технических оплошностей и недосмотров. А именно:
А) Короткоживущие страницы. Сервис анонимной и бесплатной отправки SMS (по сути, рекламный сервис) для подтверждения того, что SMS на такой-то номер послан, показывал отправителю подтверждающую страницу. Эти страницы не были никак привязаны к исходному пользователю, то есть общедоступны.
Б) Прямые адреса. У каждой такой страницы был настоящий, прямой адрес (URL). Если бы страницу отдавали только тому пользователю, который послал SMS (например, запомнив его куку), то ничего бы не случилось.
Таким образом, страницы с SMS были, по сути, опубликованы. Зная адрес, любой человек или робот мог получить их, пусть даже в течение короткого времени. Конечно, внешних ссылок на эти страницы нигде не было, но этого иногда и не требуется, как мы увидим ниже.
В) Инструкций поисковикам на сайте не было. Временные страницы не были закрыты инструкцией в файле Robots.txt. Это такой файл «в корне сайта», который дает инструкции для поисковых роботов: что можно и что нельзя индексировать на сайте. Этот файл не создает физической невозможности скачать и заиндексировать страницу (как пароль или идентификация пользователя по куке), а является общеизвестным общественным соглашением, наподобие таблички «Не входить» или «Для персонала».
Насколько можно судить, этого файла на сайте sendsms.megafon.ru до инцидента вообще не было (он появился только после сообщений об утечке). «Яндекс» же адреса временных страниц нашел, страницы скачал и проиндексировал, так что порядка 8000 SMS стали доступны широкой публике. Самих короткоживущих страниц на сайте «Мегафона» давно уже не было, а инерция индекса «Яндекса» позволяла по-прежнему искать их.
Когда поднялся шум, в «Мегафоне» создали файл robots.txt, закрыли временные страницы, а «Яндекс» удалил страницы из индекса. Все было исправлено за первую половину дня 18 июля. Потом сервис посылки SMS вообще закрыли.
С тем, что произошло в «Мегафоне», все более-менее ясно. А вот к «Яндексу» у публики могут остаться вопросы, главные из которых:
1) Откуда «Яндекс» узнал адреса временных страниц? Это просто: у пользователей мог быть установлен тулбар «Яндекса», а на временных страницах мог быть счетчик «Яндекс.Метрика» (вставленный в общий шаблон страницы системы управления сайтом). И тот и другой сервис отправляют «в Центр» все доступные интернет-адреса. Это рутинная процедура пополнения индекса, о которой предупреждают всех, кто ставит тулбар или «Метрику». Так что тут все законно и обычно.
2) Почему же «Яндекс» проиндексировал такие интимные страницы? Ответ тут тоже простой: а в них ничего особенного для поискового робота нет. Личных данных (ФИО, адрес, номер кредитки, прочее) нет, сам текст вполне мог появиться в "Твиттере" или в ЖЖ. В общем, от робота требовать такого уровня интеллекта невозможно.
Но «Рунет» негодует. А что за законы нарушены, в чем преступление?
Ущерб частным лицам - ничтожен. Доказать ущерб будет довольно трудно. Непонятно для начала, кто пострадавшая сторона: отправители анонимны, никак не смогут доказать, что эти SMS посылали они. Получатель же как бы известен, однако имя его можно узнать, только «пробив» его номер (в SMS нет имен, а текст мог быть с тем же успехом написан в "Твиттере"). Доказать в суде ущерб типа «мне было стыдно перед родными» или «ушла любовница, узнав о существовании второй любовницы» - проблематично.
Утечка персональных данных - отсутствует. Номера телефонов без ФИО и набор личных имен, кличек и обращений типа «Серый, мусик!, сволочь!» и т. п. – персональными данными не являются. Опять-таки, эти данные ввели анонимы в рекламном сервисе, они не были получены в ходе коммерческой деятельности. Так что ФЗ-152 о ПД не нарушен.
Тайна переписки нарушена? Тайна переписки гарантируется Конституцией, законом о связи и другими нормативными актами. Здесь вопрос лично для меня неясен. Вроде бы, «по понятиям», эти SMS – личная переписка. Но с другой стороны, какая-то она не очень интимная, да и анонимная к тому же. Впрочем, суд может и решить, что это личная переписка. Суд же решает, как ему совесть и здравый смысл велят. Тогда это дело уголовное.
В последнем случае «Мегафону» могут грозить и уголовные дела, и разбирательство с отраслевыми регуляторами, будут раздаваться угрозы лишить лицензии и т. п.
Но, на мой взгляд, если никто не использует этот случай для сведения каких-то больших счетов на высококонкурентном рынке мобильной связи, то сам по себе он не стоит и выеденного яйца. С кем не бывает, и на старуху бывает проруха. Ущерб – ничтожный, законы не нарушены, причина – мелкий человеко-машинный сбой, каковых в массовых сервисах бывает в количестве...
«Яндекс», очевидно, здесь вообще ни при чем, он действовал в рамках обычаев делового оборота интернет-отрасли, то есть добросовестно. Есть адрес, страница открыта – выкачиваем. Попросили убрать из индекса – убираем. Можно ли будет распознавать такие «чувствительные» тексты автоматически – неизвестно, скорее всего, нет.
Но желающие повесить на «Яндекс» собак, конечно, найдутся. Уже начались утки о «краже патентованных кодов» «Яндекса», которые якобы позволяют понять «формулу релевантности» и «знать, как «Яндекс» ранжирует сайты по различным запросам»! Журналистам, пишущим такую чушь, стоило бы узнать, что у «Яндекса» нет ни формулы релевантности, ни патентованных кодов. А алгоритм ранжирования меняется ежечасно. Узнать же, как Яндекс ранжирует, легко - надо просто ввести запрос в «Яндексе» и посмотреть, что получится.
Вероятно, скоро на сцене появятся и китайские хакеры, и неизбежная DDoS-атака - какой же технический косяк без них обойдется!
Ну и последний вопрос: а как общественность узнала о доступности SMS в поиске «Яндекса»? Подробно разбирать хронологию сенсации не буду за недостатком места, но ее путь к читателям очень смахивает на вброс, на посев медийного вируса. То есть, скорее всего, сама-то «дырка» была известна давно, а подготовили вброс только на той неделе. Кто это сделал – враги «Мегафона» или желающие опустить котировки акции «Яндекса»? Этот вопрос ждет своего исследователя.