Программист Владимир Серов раскрыл уязвимость в сервисе бесплатного Wi-Fi в московском метро (MT_FREE), через которую любой мог получить доступ к индивидуальным данным подключившихся к сети пассажиров и отслеживать маршрут их передвижений, пишет The Village. Провайдер сервиса «Максима Телеком» сообщил, что уязвимость ликвидировали.
Уязвимость Серов обнаружил в марте 2018 года. Он выяснил, что цифровые портреты пассажиров, которые «Максима Телеком» использует для таргетирования рекламы, не шифруются. Провайдер получает эту информацию по MAC-адресу гаджетов (уникальному номеру у любого устройства, поддерживающего Wi-Fi), по сочетанию которого с номером телефона происходит регистрации устройства в системе.
Программист через код страницы авторизации получил доступ к такой информации о пассажире, как его номер телефона, пол, примерный возраст, семейное положение, достаток, станции, которые он проезжает, — кроме имени и фамилии. Все эти данные о человеке можно узнать, если знаешь его MAC-адрес, объяснил Серов.
Программист также написал скрипт, позволяющий отслеживать передвижение по подземке конкретного абонента, если он подключен к сети MT_FREE. Такая информация обычно бывает доступна только спецслужбам, отмечает The Village.
Обнаружив уязвимость, Серов, по его словам, обратился к знакомым разработчикам из портала мэрии Москвы mos.ru, «убедившись, что запрос дошел до ответственного за Wi-Fi в метро». Напрямую к «Максиме Телеком» он не обращался. Через неделю он описал выявленную уязвимость на «Хабрахабре».
Компания «Максима Телеком» зашифровала номер телефона пассажира, маршрут которого отследил Серов, в течение суток после того, как об уязвимости стало известно публично. Остальные данные открыты до сих пор, а сколько человек могли сохранить всю незашифрованную базу за время, пока «дыра» была открыта — неизвестно, пишет the Village, протестировав уязвимость в метро. На декабрь 2016 года в сетях «Максимы» было зарегистрировано более 12 миллионов пользователей. По данным сервиса Wayback Machine, уязвимость была в коде страницы авторизации как минимум с 17 мая 2017 года, добавляет издание.
Представители «Максимы» просили Серова удалить публикацию, но он это делать отказался, сославшись на собственные интересы пассажира и пользователя MT_FREE. По словам программиста, в компании масштабы ошибки не признают, а защититься от подмены MAC-адреса почти невозможно.
«После сообщения Владимира Серова об уязвимости на портале авторизации мы оперативно зашифровали передачу профильных данных (таких как номер телефона, пол, возрастная группа и пр.) Дешифровать их статистическим методом и сопоставить с номером телефона возможно, если злоумышленник располагает ранее украденной у нас информацией о номерах телефонов абонентов. Мы также принимаем срочные меры для исключение неправомерного присвоения абонентских данных. Основные усилия сосредоточены на полной переработке системы авторизации, исключающей атаки с подменой адреса устройства», — заявили the Village в компании-провайдере.