Компания "МаксимаТелеком", оператор сети бесплатного Wi-Fi в московском метро, изменит систему авторизации пользователей после сообщений об утечке данных.
Утечку в системе бесплатного Wi-Fi столичной подземки обнаружил программист Владимир Серов. Уязвимость якобы позволяла любому желающему получить номера телефонов всех подключенных к открытой сети MT_FREE пассажиров поезда, установить их примерный возраст, пол, семейное положение, достаток, а также станции, на которых человек живет и работает.
Программист рассказал, что в один из дней он просто ехал в метро и обратил внимание на страницу авторизации. Оказалось, что данные пользователей отдавались в открытом виде. Эта информация, по словам Серова, передавалась в addfox, чтобы делать таргетированную рекламу. Владимир отметил, что техника сейчас позволяет представиться другим пользователем и забрать его данные. Отследить других пользователей в сети также не составляет большого труда: для этого существуют определенные программы.
Имена и фамилии страница при этом не выдавала, однако привязывать номер телефона к MAC-адресам все равно опасно, отмечает программист: зная его, можно посмотреть, что по нему выдает страница авторизации Wi-Fi.
В "МаксимаТелеком" заверили общественность, что уязвимость, о которой идет речь, была устранена несколько недель назад, после появления статьи на отраслевом ресурсе:
"МаксимаТелеком" сразу зашифровала передачу профильных данных (таких как номер телефона, пол, возрастная группа и пр.). До доработки системы авторизации мы выключили хранение данных о перемещении между станциями метро – таким образом полностью исчезла возможность трекинга пользователей".
"Крупная утечка", о которой сообщают СМИ, — это база, которую собрал лично Владимир Серов до момента устранения уязвимости. Эта база составляет пять профилей — самого Владимира и его друзей.
О существовании аналогичных баз нам неизвестно. Однако мы подчеркиваем: анализировать данные других пользователей можно было исключительно при подмене MAC-адреса и отправке запроса к порталу непосредственно в сети MT_FREE. Подмена MAC-адреса — технически сложный процесс, недоступный рядовому пользователю без специальных навыков, а массовая атака такого рода из метро нашими системами не зафиксирована.
Дешифровать уже зашифрованные данные статистическим методом и сопоставить с номером телефона возможно, если злоумышленник располагает ранее украденной у нас информацией о номерах телефонов абонентов
Идентификация абонентов в любых сетях Wi-Fi происходит с использованием MAC-адресов, что отвечает требованиям постановления №801 Правительства РФ от 12 августа 2014 г. Данные, хранящиеся в профиле пользователя сети, – это внутренняя база данных, создаваемая для нужд бизнеса компании. Требования к ее защите законодательством РФ не предъявляются, поскольку она не содержит персональных данных, однако кража такой базы описанным путем может расцениваться как деяние, предусмотренное ст. 272 УК РФ.
Мы продолжаем принимать меры для исключения неправомерного присвоения аудиторных данных. Основные усилия сосредоточены на полной переработке системы авторизации, исключающей атаки с подменой адреса устройства".
Пользователей призвали сообщать о найденных уязвимостях.