перейти на мобильную версию сайта
да
нет
9 апреля 17:49

Оператор Wi-Fi в транспорте Москвы допустил утечку данных миллионов пользователей

В марте 2018 года программист Владимир Серов обнаружил крупнейшую уязвимость в Wi-Fi-сервисе московского транспорта, которая позволяла любому получить номера телефонов всех подключенных пассажиров. Об этом сообщает The Village.

Как утверждает программист, номера телефонов, а также цифровой портрет каждого (примерный возраст, пол, семейное положение, достаток, а также названия станций метро, на которых живет и работает человек) на странице авторизации Wi-Fi никак не шифровались.

Я написал об этой уязвимости ребятам из mos.ru (сайт мэрии Москвы. — Прим. ред.), потому что у самой «МаксимаТелеком» (оператора Wi-Fi в московском транспорте. — Прим. ред.) нормальной техподдержки нет. То есть я их начальству рассказал о том, как подрядчик раздает направо и налево личные данные о пользователях, — письмо спустили вниз, но ответа я так и не получил. Прождал неделю и написал на «Хабрахабр» пост «Как получить телефон (почти) любой красотки в Москве, или Интересная особенность MT_Free».

— Владимир Серов

Уязвимость находилась с мая 2017 года, пишет The Village. По данным издания, на протяжении года любой пользователь мог собирать телефонные номера пассажиров и следить за их передвижением с помощью несложного скрипта. «Обычно отслеживать геолокацию конкретных телефонов могут только спецслужбы — технология триангуляции абонента с помощью близости к сотовым вышкам требует решения суда и постоянного общения с сотовыми операторами. Уязвимость MT_Free (название единой Wi-Fi-сети транспорта. — Прим. ред.) делает передвижение абонента по подземке абсолютно прозрачным», — говорится в материале The Village.

Представители «МаксимаТелеком», комментируя уязвимость, заявили, что устранили недоработку после обращения Серова.

Мы оперативно зашифровали передачу профильных данных (таких как номер телефона, пол, возрастная группа и прочие). Дешифровать их <…> возможно, если злоумышленник располагает ранее украденной у нас информацией о номерах телефонов абонентов. <…> Идентификация абонентов в любых сетях происходит с использованием MAC-адресов, что отвечает требованиям [российского законодательства]

— пресс-служба «МаксимаТелеком»

Владимир Серов считает, что «МаксимаТелеком» «лукавит, когда рассуждает о безопасности, — масштабы ошибки они не признают». По его версии, «дыра» возникла, потому что разработчики хотели сэкономить на загрузке серверов. The Village пишет, что «потенциально отследить более 10 миллионов телефонов в подземке можно и сейчас».

По словам IT-специалиста Владислава Здольникова, уязвимость «можно объяснить некомпетентностью тех, кто делал механизм». «Отдельно возмущает то, что компания после публикации уязвимости не срочно отключила выдачу аналитики и перестала переделывать этот механизм, а просто заменила значения, которые уже расшифрованы», — сказал Здольников.

После выхода публикации The Village представители «МаксимаТелеком» заявили, что усилят меры «по защите персональных данных пользователей». «Уязвимость, о которой идет речь, была устранена несколько недель назад после появления статьи на отраслевом ресурсе», — отметил оператор.

Согласно статистике за декабрь 2016 года, в сетях «МаксимаТелеком» было зарегистрировано более 12 миллионов пользователей.

Все новости «Афиши Daily» попадают в наш специальный телеграм-канал. Попади туда и ты!
Смотрите также
Котик «Афиши Daily» присылает ровно одну хорошую новость в день. Его всегда можно прогнать и отписаться.
Ошибка в тексте
Отправить