Данные о пользователях Wi-Fi в метро Москвы и Петербурга обнаружили в открытом доступе
ХастлерПрограммист Владимир Серов обнаружил уязвимость, которая позволяла увидеть данные о «цифровом портрете» пользователей интернета в метро Москвы и Петербурга. Оператор Wi-Fi в общественном транспорте – компания «МаксимаТелеком» – признала факт уязвимости, пишет The Village.
Уязвимость была обнаружена Серовым 5 марта в публично доступном коде страницы авторизации в сети «МаксимаТелеком» (MT_FREE).
В коде содержались данные о пользователе – номер телефона, примерные возраст, пол, семейное положение, станции, где пользователь предположительно живет и работает, станция, на которой пользователь находится в реальном времени и другая информация, привязанная в системе «МаксимыТелеком» к MAC-адресу устройства, с которого пользователь подключается к сети. Имен и фамилий там не было.
«МаксимаТелеком» составляет и хранит такой цифровой портрет о каждом пользователе для выдачи таргетированной рекламы, на которой зарабатывает. По словам Серова, с помощью программы для сбора MAC-адресов находящихся вокруг устройств можно набрать тысячу таких адресов за пару станций метро и затем, подменяя свой MAC-адрес, выгружать данные об этих пользователях со страницы авторизации.
Программист добавил, что сначала обратился к «знакомым разработчикам в mos.ru», так как у «МаксимыТелеком» «нормальной техподдержки нет», а затем опубликовал пост об уязвимости, написал алгоритм, позволяющий выгружать данные в удобном виде, и начал «веселиться с читателями».
Через несколько часов после публикации поста Серова «МаксимаТелеком» начала шифровать данные в коде страницы, однако код все равно доступен для расшифровки, считает Серов. В самой компании признали, что уязвимость была и ее устранили шифрованием «с солью». 9 апреля в компании добавили, что сейчас работают над исключением атак с подменой MAC-адреса.
«Основные усилия сосредоточены на полной переработке системы авторизации, исключающей атаки с подменой адреса устройства», – отметили в «МаксимеТелеком».