Я&M

В инете вчера, кажется, все до одного обмусолили скандал с Яндексом и индексированием им смсок МегаФона. Это уже попало в телевизионные новости, думаю, страна уже в панике и жгёт зелёные симки на площадях :) Но напрасно. Думаю, вам интересно будет узнать, что произошло на самом деле. Рекомендую эту подборку «вопрос-ответ».

А далее — моё видение этих событий, в более «художественной» форме. Я могу ошибаться, и очень сильно. Буду рад, если вы меня поправите.



Итак, когда кто-то отправляет смс с сайта мегафона, создаётся секретная страничка, на которой отправитель может посмотреть текст, номер «кому» и состояние доставки этой смски. Эта страничка секретна в том смысле, что её адрес известен только тому, кто отправил смс. Однако, никаким паролем страничка не защищена, потому что отправка ведь анонимная, никакой учетной записи и пароля у отправителя и в помине нет. Сами по себе секретные ссылки довольно популярны в интернете, например в Google Documetns или github:gist можно поделиться полностью закрытым от внешнего мира документом с другом, просто отправив ему секретную ссылку.

Проблемы начались, когда секретные странички МегаФона оказались проиндексированны Яндексом. Самое странное в этой истории - по идее, такое невозможно. Совершенно. Поисковики ходят по сайту, переходя по всем ссылкам, которые видят. Секретные ссылки нигде не были опубликованы на сайте, они показывались только отправителям. Более того, при помощи специального файла robots.txt администратор сайта может начисто запретить индексирование отдельных страниц. Но что-то пошло не так. Вероятно, этого файла не оказалось в нужном месте в нужное время, а главное, роботу Яндекса откуда-то стали известны сами адреса секретных страничек.

Тут уже мы можем только догадываться. Возможно, это связано с каким-то Яндексовским сервисом сбора статистики. Например, системные администраторы сайта Мегафона могли неправильно настроить сервис, анализирующий статистику посещений сайта. Для работы Яндекс.Метрики, Google Analytics и подобных сервисов, админы предоставляют этим сервисам дополнительную информацию о структуре анализируемого сайта, чтобы поисковики могли лучше его проиндексировать. Возможно, мегафоновцы переборщили с настройкой предоставляемой информации, и туда ошибочно вошли все секретные ссылки на смски. После этого робот Яндекса уже радостно индексировал их, совершенно не чувствуя подвоха. Он не человек, он не может по одному взгляду понять, что это личное. Есть и другая версия (не в самой статье по ссылке, а в комментариях), что сами пользователи, даже не подозревая об этом, отправляли Яндексу историю своих посещений, потому что у них был установлен Яндекс.Бар в браузере. Тут уже я не знаю, никогда не пользовался Яндекс.Бар'ом, мне неизвестно, есть ли у него такое свойство.

Какие выводы можем сделать мы из этой истории? Во-первых, паниковать сейчас точно уже не стоит. Ваши обычные смски, отправляемые с телефона, к врагам не попали. Если вы не отправляли и не получали смсок с сайта мегафона в последнее время, то эта беда вообще не затронула вас. Тем не менее, для тех, кого она затронула, она оказалась довольно серьёзной, потому что сообщения утекли вместе с номерами телефонов получателей, что уже стало серьёзным нарушением тайны личной жизни этих получателей. Люди уже требуют возмещения ущерба, и, я думаю, они имеют на это право.

Кто виноват? Из двух основных фигурантов - скорее Мегафон, чем Яндекс. Если бы robots.txt был в правильном месте, и секретные адреса не были бы переданы Яндексу по какому бы то ни было каналу, ничего бы не произошло. Хотя если версия с Яндекс.Бар'ом верна, то получается, что и Яндекс не такие уж белые и пушистые. Зачем следить за действиями пользователей так пристально? Так что, на са-амом деле, полагаю, виноваты оба, каждый по-своему. И оба сейчас начнут яростно изворачиваться, чтобы избежать ответственности за это.

Что теперь делать нам, пользователям? Определённо, быть поосторожнее с отправкой смс из интернета, о каком бы операторе ни шла речь. Впрочем, дыры, когда их находят, латают быстро. Сейчас уже и robots.txt на месте, и смски из кэша яндекса постепенно выветриваются. Буря миновала. Но как обезопаситься от подобного в будущем? В первую очередь тщательно посмотреть настройки всяких тулбаров, браузеров и поисковиков. Радикальнее — предпочесть открытый Chromium закрытому и сплошь гугловскому Chrome. Если хочется полной защиты, стоит отключить сбор любой информации о себе во всех приложениях и всех сайтах, включая истории поисков и тому подобное. Грустно то, что это всё равно не гарантирует полное отсутствие сбора информации. В пользовательских соглашениях всегда написано, что собирается не личная информация, а обобщённая. Придраться будет трудно. Но вчерашний случай наглядно показал, что могут быть ситуации, просто не предусмотренные разработчиками, особенно высока их вероятность на стыке двух систем, ранее не использовавшихся вместе. Абсолютно безопасно только совсем не пользоваться интернетом и мобильным телефоном. А дальше каждый выбирает для себя, чем он готов рисковать ради собственного удобства и удобства общения. Так было всегда, и думаю, всегда останется.