The Village: уязвимость в Wi-Fi в метро Москвы привела к массовой утечке данных пользователей
Программист обнаружил уязвимость еще в марте 2018. Ему удалось узнать, какими цифровыми портретами пользуется провайдер «МаксимаТелеком» для распространения таргетированной рекламы. Выяснилось, что информация, получаемая по уникальному номеру поддерживающего Wi-Fi устройства и номеру телефона абонента, не шифруется.
По информации издания, около года уязвимость позволяла любому пользователю получить номера телефонов всех, кто подключался в поездах, и прочитать его персональные данные. Серов написал программу, с помощью которой можно отследить передвижение пользователей в метро, если они подключены к сети MT_FREE.
По словам Серова, он не обращался напрямую к компании. Он написал знакомым разработчикам на портал mos.ru, принадлежащий мэрии Москвы. Не получив ответа через неделю, программист написал пост на «Хабрхабре». После обнаружения уязвимости «МаксимаТелеком» зашифровала номера телефонов. Другие данные до сих пор в открытом доступе, пишет The Village.
Представители провайдера также просили Серова удалить пост, но он отказался.
«Все это время компания была в курсе, что нарушает банальные правила безопасности работы с подобными данными — и не только отдавала (и отдает) их пользователю, что невиданно, но и делает это по незашифрованному каналу в открытой сети. И почему я должен молчать о том, что с моими личными данными так обращаются?», — приводит слова программиста издание.
Также The Village приводит фрагмент ответа оператора: «мы благодарны пользователям за неравнодушие и оперативно устранили выявленные недостатки архитектуры системы. Мы убрали передачу профильных данных в открытом виде или в формате, который подлежит легкой дешифровке».
В компании отметили, что начали внутреннюю проверку безопасного обмена данными между пользователями и серверами. По словам «МаксимаТелеком», в новой версии сервис должен стать более устойчивым к подобным атакам.
По данным сервиса Wayback Machine, который приводит издание, уязвимость существует как минимум 17 мая 2017 года. К концу 2016 года на платформе зарегистрировались более 12 миллионов пользователей.
Сеть MT_FREE также используется в «Аэроэкспрессах», на Московском центральном кольце и некоторых пригородных электричках. С 2017 года эту же сеть провайдер запустил в метро Петербурга.
В марте 2017 года «Лаборатория Касперского» заподозрила компанию «МаксимаТелеком» в слежке за пользователями. До этого, в ноябре 2015 года, в метро Москвы через фальшивую Wi-Fi сеть распространялись угрозы от запрещенной в России террористической организации «Исламское государство».