Программист Владимир Серов обнаружил уязвимость в сервисе бесплатного Wi-Fi московского метро, из-за которых персональные данные пользователей оказались незашифрованными. Подробности он рассказал сайту The Village.
Серов выяснил, что минимум год дыра позволяла любому получить номера телефонов всех пассажиров поезда, подключенных к открытой сети MT_FREE. Более того, в публичном доступе оказались цифровые портреты пользователей, которые не были зашифрованы.
«Решил посмотреть, какие данные мне отдает страничка авторизации, и обнаружил кусок кода userdata: там совершенно открыто была перечислена информация, включая номер телефона, пол, примерный возраст, семейное положение, достаток, станции, где твои дом и работа, и все привязано к твоему MAC-адресу (номеру устройства, поддерживающему Wi-Fi — прим. «Ленты.ру»)», — говорит Серов.
Эта информация используется, чтобы подстраивать рекламу, всплывающую при подключении к Wi-Fi, под нужды абонентов. Имена и фамилии страница при этом не выдавала, однако привязывать номер телефона к MAC-адресам все равно опасно, отмечает программист: зная его, можно посмотреть, что по нему выдает страница авторизации Wi-Fi.
Обнаружив уязвимость, Серов в тот же день сообщил об этом на портал Mos.ru, поскольку у оператора Wi-Fi в метро — компании «МаксимаТелеком» — по его выражению, «нормальной техподдержки нет». Ответа заявитель не получил и спустя неделю, 13 марта, решил поделиться знанием на портале «Хабрахабр». Он разместил пост «Как получить телефон (почти) любой красотки в Москве, или Интересная особенность MT_FREE» и написал скрипт, с помощью которого выгружал данные в удобном виде. Программист написал еще один скрипт, который позволил следить за перемещением абонента по подземке.
Представители «МаксимыТелеком» попросили Серова удалить публикацию, но тот отказался, посчитав, что оператор был в курсе проблемы и сознательно нарушал правила работы с персональными данными. В компании признали уязвимость. По словам представителя провайдера, после обнаружения дыры личную информацию оперативно зашифровали. «Дешифровать их статистическим методом и сопоставить с номером телефона возможно, если злоумышленник располагает ранее украденной у нас информацией о номерах телефонов абонентов», — предупредили в «Максиме».
По данным сервиса Wayback Machine, уязвимость содержалась в коде страницы авторизации минимум с 17 мая 2017 года.The Village отмечает, что в августе того же года компания заявляла, что ежедневно идентификацию в сети проходят 1,5 миллиона пользователей. В декабре 2016-го городские власти отчитывались о том, что всего в сети зарегистрировано более 12 миллионов пользователей.