Личные данные миллионов пользователей Wi-Fi в метро оказались под угрозой
Программист Владимир Серов обнаружил уязвимость в сервисе бесплатного Wi-Fi московского метро, из-за которых персональные данные пользователей оказались незашифрованными. Подробности он рассказал сайту The Village.
Серов выяснил, что минимум год дыра позволяла любому получить номера телефонов всех пассажиров поезда, подключенных к открытой сети MT_FREE. Более того, в публичном доступе оказались цифровые портреты пользователей, которые не были зашифрованы.
«Решил посмотреть, какие данные мне отдает страничка авторизации, и обнаружил кусок кода userdata: там совершенно открыто была перечислена информация, включая номер телефона, пол, примерный возраст, семейное положение, достаток, станции, где твои дом и работа, и все привязано к твоему MAC-адресу (номеру устройства, поддерживающему Wi-Fi — прим. «Ленты.ру»)», — говорит Серов.
Эта информация используется, чтобы подстраивать рекламу, всплывающую при подключении к Wi-Fi, под нужды абонентов. Имена и фамилии страница при этом не выдавала, однако привязывать номер телефона к MAC-адресам все равно опасно, отмечает программист: зная его, можно посмотреть, что по нему выдает страница авторизации Wi-Fi.
Обнаружив уязвимость, Серов в тот же день сообщил об этом на портал Mos.ru, поскольку у оператора Wi-Fi в метро — компании «МаксимаТелеком» — по его выражению, «нормальной техподдержки нет». Ответа заявитель не получил и спустя неделю, 13 марта, решил поделиться знанием на портале «Хабрахабр». Он разместил пост «Как получить телефон (почти) любой красотки в Москве, или Интересная особенность MT_FREE» и написал скрипт, с помощью которого выгружал данные в удобном виде. Программист написал еще один скрипт, который позволил следить за перемещением абонента по подземке.
Представители «МаксимыТелеком» попросили Серова удалить публикацию, но тот отказался, посчитав, что оператор был в курсе проблемы и сознательно нарушал правила работы с персональными данными. В компании признали уязвимость. По словам представителя провайдера, после обнаружения дыры личную информацию оперативно зашифровали. «Дешифровать их статистическим методом и сопоставить с номером телефона возможно, если злоумышленник располагает ранее украденной у нас информацией о номерах телефонов абонентов», — предупредили в «Максиме».
По данным сервиса Wayback Machine, уязвимость содержалась в коде страницы авторизации минимум с 17 мая 2017 года.The Village отмечает, что в августе того же года компания заявляла, что ежедневно идентификацию в сети проходят 1,5 миллиона пользователей. В декабре 2016-го городские власти отчитывались о том, что всего в сети зарегистрировано более 12 миллионов пользователей.
Серов выяснил, что минимум год дыра позволяла любому получить номера телефонов всех пассажиров поезда, подключенных к открытой сети MT_FREE. Более того, в публичном доступе оказались цифровые портреты пользователей, которые не были зашифрованы.
«Решил посмотреть, какие данные мне отдает страничка авторизации, и обнаружил кусок кода userdata: там совершенно открыто была перечислена информация, включая номер телефона, пол, примерный возраст, семейное положение, достаток, станции, где твои дом и работа, и все привязано к твоему MAC-адресу (номеру устройства, поддерживающему Wi-Fi — прим. «Ленты.ру»)», — говорит Серов.
Эта информация используется, чтобы подстраивать рекламу, всплывающую при подключении к Wi-Fi, под нужды абонентов. Имена и фамилии страница при этом не выдавала, однако привязывать номер телефона к MAC-адресам все равно опасно, отмечает программист: зная его, можно посмотреть, что по нему выдает страница авторизации Wi-Fi.
Обнаружив уязвимость, Серов в тот же день сообщил об этом на портал Mos.ru, поскольку у оператора Wi-Fi в метро — компании «МаксимаТелеком» — по его выражению, «нормальной техподдержки нет». Ответа заявитель не получил и спустя неделю, 13 марта, решил поделиться знанием на портале «Хабрахабр». Он разместил пост «Как получить телефон (почти) любой красотки в Москве, или Интересная особенность MT_FREE» и написал скрипт, с помощью которого выгружал данные в удобном виде. Программист написал еще один скрипт, который позволил следить за перемещением абонента по подземке.
Представители «МаксимыТелеком» попросили Серова удалить публикацию, но тот отказался, посчитав, что оператор был в курсе проблемы и сознательно нарушал правила работы с персональными данными. В компании признали уязвимость. По словам представителя провайдера, после обнаружения дыры личную информацию оперативно зашифровали. «Дешифровать их статистическим методом и сопоставить с номером телефона возможно, если злоумышленник располагает ранее украденной у нас информацией о номерах телефонов абонентов», — предупредили в «Максиме».
По данным сервиса Wayback Machine, уязвимость содержалась в коде страницы авторизации минимум с 17 мая 2017 года.The Village отмечает, что в августе того же года компания заявляла, что ежедневно идентификацию в сети проходят 1,5 миллиона пользователей. В декабре 2016-го городские власти отчитывались о том, что всего в сети зарегистрировано более 12 миллионов пользователей.
Понравиласть статья? Жми лайк или расскажи своим друзьям!
Комментарии
Добавить комментарий
Похожие новости:
06.04.2018
Специалисты обнаружили, что данные участников групповых чатов в мессенджере WhatsApp находятся под угрозой, поскольку любой желающий может собрать их в базу, включающую номера мобильных телефонов пользователей, а также изображения, видео и ссылки,
28.09.2017
Французская журналистка Юдит Дюпорталь (Judith Duportail) запросила у сервиса знакомств Tinder все данные о ней, которые имеются в распоряжении компании, и получила в ответ документ объемом в 800 страниц. Об этом она написала в колонке для The
10.08.2017
Порно и интимные услуги оказались среди наименее популярных поисковых запросов пассажиров московского метро. Об этом свидетельствуют результаты исследования «Яндекса».
13.12.2014
С 1 января 2015 года в силу вступают обновлённые условия использования социальной сети Facebook. С этой даты пользователи сервиса должны быть готовы к тому, что их персональные данные без дополнительного уведомления будут предоставляться третьим