Оператор Wi-Fi в московском метро допустил крупную утечку данных пользователей

Источник: securitylab.ru

Оператор бесплатного Wi-Fi в московском метрополитене «Максима Телеком» прокомментировал сообщение об опасной уязвимости в своей системе, обнаруженной исследователем безопасности Владимиром Серовым в марте текущего года. В течение как минимум года проблема позволяла получать персональные данные подключившихся к сети Wi-Fi пассажиров, в том числе телефонные номера, возраст, пол, семейное положение и станции метро, где они работают и живут. Более того, исследователь представил скрипт, позволяющий с помощью уязвимости следить за передвижениями пассажиров по метрополитену.

Впервые Серов сообщил о проблеме еще в прошлом месяце в своем блоге на «Хабрахабр», однако широкой огласке в СМИ она была предана лишь теперь. На следующий день после публикации в блоге компания «Максима Телеком» зашифровала номера телефонов, однако остальную информацию можно было по-прежнему получить. Правда, обнаружив уязвимость, Серов не обратился напрямую к оператору, а связался со знакомыми разработчиками из mos.ru, «убедившись, что запрос дошел до ответственного за wi-fi в метро».

По словам исследователя, уязвимость заключается в следующем. В соответствии с действующим антитеррористическим законодательством при подключении к сети MT_FREE пассажир указывает свой номер телефона. Авторизация осуществляется путем сочетания телефонного номера с MAC-адресом устройства пассажира. Как отметил Серов, с помощью определенных утилит MAC-адрес можно легко сменить, в том числе на MAC-адрес устройства, чей владелец оплатил премиум-доступ без рекламы.

У всех пользователей бесплатного Wi-Fi автоматически открывается страница авторизации с таргетированной рекламой. Для эффективного таргетинга о пользователях собирается информация, на основании которой создаются их цифровые профили, передаваемые затем определенным рекламным компаниям. По идее, передаваемые профили должны шифроваться, однако, по словам Серова, профили пассажиров московского метро, в том числе номера телефонов на странице авторизации Wi-Fi, передавались в открытом виде.

Фамилии и мена пользователей страница авторизации не выдает, однако привязка персональных данных к MAC-адресу устройства все равно ставит их под угрозу. Поскольку MAC-адрес можно поменять, злоумышленник способен увидеть данные, выдаваемые страницей авторизации по тому или иному MAC-адресу.

Как сообщает ТАСС со ссылкой на официальное заявление компании «Максима Телеком», оператор намерен усилить меры по защите персональных данных пользователей и полностью изменить алгоритм авторизации. Согласно заявлению, уязвимость была исправлена спустя несколько недель после сообщения о ней на сайте «Хабрахабр».

«Мы сразу зашифровали передачу профильных данных, таких как номер телефона, пол, возрастная группа, а также выключили хранение данных о перемещении пользователей между станциями метро. Таким образом исчезла возможность трекинга пользователей хакерами», - говорится в заявлении.