В марте 2018 года программист Владимир Серов обнаружил крупнейшую уязвимость в Wi-Fi-сервисе московского транспорта, которая позволяла любому получить номера телефонов всех подключенных пассажиров. Об этом сообщает The Village.
Как утверждает программист, номера телефонов, а также цифровой портрет каждого (примерный возраст, пол, семейное положение, достаток, а также названия станций метро, на которых живет и работает человек) на странице авторизации Wi-Fi никак не шифровались.
— Владимир Серов
Уязвимость находилась с мая 2017 года, пишет The Village. По данным издания, на протяжении года любой пользователь мог собирать телефонные номера пассажиров и следить за их передвижением с помощью несложного скрипта. «Обычно отслеживать геолокацию конкретных телефонов могут только спецслужбы — технология триангуляции абонента с помощью близости к сотовым вышкам требует решения суда и постоянного общения с сотовыми операторами. Уязвимость MT_Free (название единой Wi-Fi-сети транспорта. — Прим. ред.) делает передвижение абонента по подземке абсолютно прозрачным», — говорится в материале The Village.
Представители «МаксимаТелеком», комментируя уязвимость, заявили, что устранили недоработку после обращения Серова.
— пресс-служба «МаксимаТелеком»
Владимир Серов считает, что «МаксимаТелеком» «лукавит, когда рассуждает о безопасности, — масштабы ошибки они не признают». По его версии, «дыра» возникла, потому что разработчики хотели сэкономить на загрузке серверов. The Village пишет, что «потенциально отследить более 10 миллионов телефонов в подземке можно и сейчас».
По словам IT-специалиста Владислава Здольникова, уязвимость «можно объяснить некомпетентностью тех, кто делал механизм». «Отдельно возмущает то, что компания после публикации уязвимости не срочно отключила выдачу аналитики и перестала переделывать этот механизм, а просто заменила значения, которые уже расшифрованы», — сказал Здольников.
После выхода публикации The Village представители «МаксимаТелеком» заявили, что усилят меры «по защите персональных данных пользователей». «Уязвимость, о которой идет речь, была устранена несколько недель назад после появления статьи на отраслевом ресурсе», — отметил оператор.
Согласно статистике за декабрь 2016 года, в сетях «МаксимаТелеком» было зарегистрировано более 12 миллионов пользователей.