«Мегафон» и «Яндекс» рассекретили чужие SMS

Текстовые сообщения, отправляемые на номера «Мегафона» через сайт сотового оператора, отобразились в кэше поисковика «Яндекс» и доступны для всеобщего просмотра.
Если ввести в поисковую строку «Яндекса» запрос «url:www.sendsms.megafon.ru* | url:sendsms.megafon.ru*», можно обнаружить тексты SMS, отправленных через сайт sendsms.megafon.ru, и номера их получателей.

http://www.lenta.ru/news/2011/07/18/megafail/

Получилось то все просто. После отправки СМС на сайте мегафона «создавалась страница», с хешем в адресе, эту страницу мог видеть только тот кто знает хеш, а знает его только отправитель СМС.

Кто-то умный поставил на эти страницы код Яндекс-Метрики (а может и еще какой-нибудь другой системы сбора и анализа статистики), Метрика получала адреса страниц и передавала другой службе Яндекса — поисковому индексатору. Тот браво добавлял их в поисковый индекс.

Кто виноват?

Все зависит от того что написано в лицензионном соглашении Яндекс-Метрики. Если та обязалась не передавать данные полученные на основе собранной статистики своим службам, то виновата Метрика, в противном случае виноват Мегафон.

Что делать?

1. Не использовать Яндекс-Метрику (да и вообще сторонние системы статистики);
2. Конкретно в этом случае — хранить хеши в сессиях;
3. Использовать robots.txt или другие стандарты управления поисковыми индексаторами.

Проблема то не нова. Системы статистики частенько используются как база для поведенческого таргетинга. И тут, пол беды когда «Метрика» передает адреса страниц индексатору, так она еще наверняка передает данные в «Директ». Чем это черевато.

Вы торгуете, например, кондиционерами. Сделали сайт, заплатили за его продвижение. Все отлично. Вы ставите на сайт код системы статистики, на важно какой, можно и «Метрику». Потенциальный клиент находит в Google (подойдет любая ПС кроме Яндекса) ваш сайт, переходит на него, выбирает кондиционер, делает заказ, распечатывает квитанцию и уже готов идти после работы в банк ее оплачивать.

В конце рабочего дня клиент залазит на сайт XXX почитать анекдоты там он видит объявления «Яндекс-Директ», и о чудо, там реклама кондиционеров, на 3 руб. дешевле и установкой на три дня раньше. Про заказ на вашем сайте клиент забывает, квитанцию выбрасывает.

Вы теряете клиент потому что «Метрика» получила поисковую фразу по которой клиент перешел на Ваш сайт, передала ее в «Директ», а там подобрали объявления ваших конкурентов.

• У Яндекс-Метрики есть Яндекс-Директ;
• У Google Analytics есть Google AdWords;
• Liveinternet тоже попадался на использовании статистики.

В общем, прежде чем ставить чужие счетчики на свой сайт, подумайте, готовы ли передавать свою статистику третьим лицам.

Про этот конкретный fail можно тут почитать.

UPD: Яндекс отмазывается ссылаясь на robots.txt. Добавил пункт 3. Отмаза конечно нелепая. Лучше бы на главной страницы «Метрики» написали «мы сливаем вашу статистику налево и направо».

UPD2: Эра хранения хешей в URL прошла, теперь их сливают все подряд — и системы статистики, и тулбарые и модули к браузерам.