Новости

Оператор Wi-Fi в метро Москвы допустил утечку данных пользователей

Фото: ИТАР-ТАСС/ Павел Смертин

В марте 2018 года программист Владимир Серов обнаружил уязвимость в работе Wi-Fi московского метро. Как минимум год недоработка позволяла любому пользователю Wi-Fi сети получить телефон и информацию о пользователе бесплатного интернета от «Максимателеком». Об этом пишет The Village.


Программист обнаружил, что «Максимателеком» не шифрует информацию о пользователе, которую копания использует для показа рекламных объявлений. Часто такие данные собирают аналитические и маркетинговые компании, чтобы в зашифрованном виде передать информацию рекламным площадкам. Серов обнаружил уязвимость 5 марта и сообщил о ней разработчикам из mos.ru, ответственным за Wi-Fi в метро, однако не обращался напрямую к «Максимателеком», посчитав, что у оператора Wi-Fi нет «нормальной техподдержки».


Анастасия Самойлова

представитель «Максимателеком»

«Там совершенно открыто была перечислена информация, включая номер телефона, пол, примерный возраст, семейное положение, достаток, станции, где твои дом и работа, и все привязано к твоему MAC-адресу (уникальный номер устройства, которое поддерживает Wi-Fi — Inc.). … Зная чужой MAC-адрес, можно посмотреть, что по нему выдает страница авторизации Wi-Fi».

Затем с помощью одной из программ Aircrack-ng (набор программ, которые позволяют находить беспроводные сети и перехватывать передаваемый через них трафик) пользователь может получить MAC-адреса активных Wi-Fi устройств вокруг него. Так, за несколько станций в метро человек может собрать информацию о тысяче работающих MAC-адресов. Серов отмечает, что он не получил ответа на свое обращение и спустя неделю он опубликовал на «Хабрахабре» пост «Как получить телефон (почти) любой красотки в Москве, или Интересная особенность MT_FREE» и написал небольшую программу, которая выгружала данные пользователей.

Уязвимость в коде страницы находилась с 17 мая 2017 года. По данным издания, информация о пользователях доступна по принципу, который описал Серов: на протяжении года любой пользователь мог собирать миллионы телефонных номеров. Так, в августе в «Максимателеком» заявляли, что в сети ежедневно проходят идентификацию 1,5 млн пользователей, а в декабре 2016 года компания сообщала о более чем 12 млн зарегистрированных пользователей. По данным издания, любой может и сейчас следить за пользователями бесплатного Wi-Fi.

Через два часа после публикации поста на «Хабрахабре» номер телефона на странице авторизации начал шифроваться в виде хеша (номер телефона) с модификатором (добавочный ключ к строке из случайных символов). Аналогичный алгоритм шифрования используется в криптовалютах и позволяет исключить вероятность хакерского взлома. Представители оператора Wi-Fi в метро попросили Серова удалить публикацию, но программист отказался.

По мнению Серова, уязвимость допустили из-за желания сэкономить на загрузке серверов компании. Зачастую скрипт для таргетинга работает удаленно, а на браузер пользователя приходит ссылка на определенный рекламный блок. А в случае с Wi-Fi в московском метро подходящее объявление выбирала сама страница авторизации, подгружая информацию о человеке по MAC-адресу.


Анастасия Самойлова

представитель «Максимателеком»

«После сообщения Владимира Серова об уязвимости на портале авторизации мы оперативно зашифровали передачу профильных данных (таких как номер телефона, пол, возрастная группа и прочее) Дешифровать их статистическим методом и сопоставить с номером телефона возможно, если злоумышленник располагает ранее украденной у нас информацией о номерах телефонов абонентов.

Мы также принимаем срочные меры для исключение неправомерного присвоения абонентских данных. Основные усилия сосредоточены на полной переработке системы авторизации, исключающей атаки с подменой адреса устройства».

В «Максимателеком» отметили, что идентификация абонентов с использованием MAC-адресов отвечает требованию законодательства. А данные, которые хранятся в профиле пользователя, — внутренняя база данных, которая создавалась для нужд бизнеса. «Требования к ее защите законодательством РФ не предъявляются, поскольку она не содержит персональных данных, однако кража такой базы описанным путем может расцениваться как деяние, предусмотренное статьей 272 Уголовного кодекса (Неправомерный доступ к компьютерной информации — Inc.)», — заявила Самойлова.

По словам ИТ-специалиста Владислава Здольникова, уязвимость сильнее походит на некомпетентность создателей, а не на желание разгрузить серверы. «Отдельно возмущает то, что компания после публикации уязвимости не срочно отключила выдачу аналитики и перестала переделывать этот механизм, а просто заменила значения, которые уже расшифрованы», — заключил Здольников.


Подписывайтесь на наш канал в Telegram!