Данные о пользователях Wi-Fi в метро Москвы и Петербурга обнаружили в открытом доступе

Уязвимость была обнаружена Серовым 5 марта в публично доступном коде страницы авторизации в сети «МаксимаТелеком» (MT_FREE).

В коде содержались данные о пользователе – номер телефона, примерные возраст, пол, семейное положение, станции, где пользователь предположительно живет и работает, станция, на которой пользователь находится в реальном времени и другая информация, привязанная в системе «МаксимыТелеком» к MAC-адресу устройства, с которого пользователь подключается к сети. Имен и фамилий там не было.

«МаксимаТелеком» составляет и хранит такой цифровой портрет о каждом пользователе для выдачи таргетированной рекламы, на которой зарабатывает. По словам Серова, с помощью программы для сбора MAC-адресов находящихся вокруг устройств можно набрать тысячу таких адресов за пару станций метро и затем, подменяя свой MAC-адрес, выгружать данные об этих пользователях со страницы авторизации.

Программист добавил, что сначала обратился к «знакомым разработчикам в mos.ru», так как у «МаксимыТелеком» «нормальной техподдержки нет», а затем опубликовал пост об уязвимости, написал алгоритм, позволяющий выгружать данные в удобном виде, и начал «веселиться с читателями».

Через несколько часов после публикации поста Серова «МаксимаТелеком» начала шифровать данные в коде страницы, однако код все равно доступен для расшифровки, считает Серов. В самой компании признали, что уязвимость была и ее устранили шифрованием «с солью». 9 апреля в компании добавили, что сейчас работают над исключением атак с подменой MAC-адреса.