Программист Владимир Серов обнаружил в сети Wi-Fi московского метрополитена уязвимость, которая позволяет получить номера телефонов пользователей и цифровой портрет каждого из них: возраст, пол, образование, семейное положение, уровень дохода, а также места работы или учёбы и примерный домашний адрес. Скрыты только имена и фамилии.
Обслуживанием Wi-Fi в столичной подземке занимается компания «МаксимаТелеком», зарабатывающая на показе рекламы в момент подключения к сети. Каждое устройство идентифицируется в сети по номеру телефона и MAC-адресу, а для того, чтобы реклама была наиболее релевантной, за пользователем ведётся слежка. Система строит его социальный портрет и предлагает рекламные объявления, которыми он мог бы заинтересоваться.
Серов выяснил, что «МаксимаТелеком» хранит номера телефонов и цифровые портреты пользователей в открытом виде на странице авторизации и никак не шифрует эту информацию. При подмене MAC-адреса на тот, что принадлежит другому пассажиру, можно выяснить всё, что об этом человеке знает «МаксимаТелеком». Программист в качестве эксперимента автоматизировал этот процесс и собирал MAC-адреса с помощью приложения Airodump-ng, а затем с помощью специального скрипта подставлял их в страницу авторизации и систематизировал собранные сведения.
Серов также узнал, что «МаксимаТелеком» может показывать информацию о перемещении любого пользователя от одной станции метро к другой. Такие сведения предоставляются спецслужбам и правоохранительным органам по решению суда, однако оператор открыл их всем желающим.
Уязвимость, найденная Серовым, существовала примерно год, и за это время любой мог составить огромную базу социологических данных, за которую на чёрном рынке можно было бы выручить несколько миллионов рублей. В начале марта Серов обратился в московскую мэрию с описанием проблемы, однако данные были открыты до тех пор, пока он не опубликовал на «Хабрахабре» подробный разбор уязвимости и описание способов её эксплуатации. «МаксимаТелеком» теперь шифрует данные, но защита ненадёжная, поскольку для всех учётных записей используется один ключ.
Канал iG в Telegram — t.me/iguides_ru
