Подробная информация обо всех пользователях Wi-Fi московского метро оказалась в открытом доступе

Александр


Программист Владимир Серов обнаружил в сети Wi-Fi московского метрополитена уязвимость, которая позволяет получить номера телефонов пользователей и цифровой портрет каждого из них: возраст, пол, образование, семейное положение, уровень дохода, а также места работы или учёбы и примерный домашний адрес. Скрыты только имена и фамилии.

Подписаться на iGuides в Telegram, чтобы узнать обо всем первым — t.me/iguides

Обслуживанием Wi-Fi в столичной подземке занимается компания «МаксимаТелеком», зарабатывающая на показе рекламы в момент подключения к сети. Каждое устройство идентифицируется в сети по номеру телефона и MAC-адресу, а для того, чтобы реклама была наиболее релевантной, за пользователем ведётся слежка. Система строит его социальный портрет и предлагает рекламные объявления, которыми он мог бы заинтересоваться.

Серов выяснил, что «МаксимаТелеком» хранит номера телефонов и цифровые портреты пользователей в открытом виде на странице авторизации и никак не шифрует эту информацию. При подмене MAC-адреса на тот, что принадлежит другому пассажиру, можно выяснить всё, что об этом человеке знает «МаксимаТелеком». Программист в качестве эксперимента автоматизировал этот процесс и собирал MAC-адреса с помощью приложения Airodump-ng, а затем с помощью специального скрипта подставлял их в страницу авторизации и систематизировал собранные сведения.

Серов также узнал, что «МаксимаТелеком» может показывать информацию о перемещении любого пользователя от одной станции метро к другой. Такие сведения предоставляются спецслужбам и правоохранительным органам по решению суда, однако оператор открыл их всем желающим.

Уязвимость, найденная Серовым, существовала примерно год, и за это время любой мог составить огромную базу социологических данных, за которую на чёрном рынке можно было бы выручить несколько миллионов рублей. В начале марта Серов обратился в московскую мэрию с описанием проблемы, однако данные были открыты до тех пор, пока он не опубликовал на «Хабрахабре» подробный разбор уязвимости и описание способов её эксплуатации. «МаксимаТелеком» теперь шифрует данные, но защита ненадёжная, поскольку для всех учётных записей используется один ключ.



Канал iG в Telegram — t.me/iguides_ru
-2

Рекомендации

Рекомендации

Будь в курсе последних новостей из мира гаджетов и технологий

Мы в соцсетях

Комментарии

Артём Саркисян
+327
> «В начале марта Серов обратился в московскую мэрию с описанием проблемы, однако данные были открыты до тех пор, пока он не опубликовал на «Хабрахабре» подробный разбор уязвимости и описание способов её эксплуатации».

«До тех пор»? То есть когда он это опубликовал, уязвимость закрыли?
9 апреля 2018 в 16:31
#
Артём Саркисян
+327
Спасибо.

Но мне кажется, на это стоит тогда сделать акцент. Сейчас по статье очень трудно понять, что уязвимости уже нет (написано, например, «…существует примерно год…», хотя уже закрыли).
9 апреля 2018 в 16:51
#
Артём Саркисян
+327
Спасибо. Но там остались ещё моменты — стоит, наверное, всю статью в прошедшее время перевести.

UPD: Нет, это я очень криво прочитал и не вник. Со временем всё правильно, но при чтении всей статьи до последнего абзаца кажется, что проблема актуальная и сейчас. По-моему, стоит в начале ввести ясность касательно этого.
9 апреля 2018 в 17:13
#
Александр Кузнецов
+974
Я думаю, что проблема актуальна до тех пор, пока такие данные собираются и видны в коде сайта, пусть и в зашифрованном виде
9 апреля 2018 в 19:48
#
+126
Значит, и Питере такая же хня
9 апреля 2018 в 16:42
#
+163
Не баг, а фитча
9 апреля 2018 в 16:51
#
+14
Даже не удивительно
9 апреля 2018 в 17:28
#
+3
Перед подключением прочитал пользовательское соглашение и не стал пользоваться. " МТ никому не передаёт данные, МТ передаёт данные любому" и это не единственное, что тогда не устроило. Надо и вай-фай в метро выключать ))
9 апреля 2018 в 18:32
#
–136
Пользователь удален
Кто бы сомневался! За халяву надо платить!
9 апреля 2018 в 20:10
#
+1058
Бугага)))
10 апреля 2018 в 09:05
#
+142
Именно поэтому я не юзаю публичный WiFi
Товарищи творят что хотят
С частным провайдером и мобильной сетью ситуация не на столько плоха...
10 апреля 2018 в 12:00
#

Читайте также