Новости

Данные о пользователях Wi-Fi в метро Москвы и Петербурга обнаружили в открытом доступе

Новости
Олег Овечкин
Олег Овечкин

Ex-новостной редактор. РБ.РУ.

Олег Овечкин

Программист Владимир Серов обнаружил уязвимость, которая позволяла увидеть данные о «цифровом портрете» пользователей интернета в метро Москвы и Петербурга. Оператор Wi-Fi в общественном транспорте – компания «МаксимаТелеком» – признала факт уязвимости, пишет The Village.

Данные о пользователях Wi-Fi в метро Москвы и Петербурга обнаружили в открытом доступе

Уязвимость была обнаружена Серовым 5 марта в публично доступном коде страницы авторизации в сети «МаксимаТелеком» (MT_FREE).

В коде содержались данные о пользователе – номер телефона, примерные возраст, пол, семейное положение, станции, где пользователь предположительно живет и работает, станция, на которой пользователь находится в реальном времени и другая информация, привязанная в системе «МаксимыТелеком» к MAC-адресу устройства, с которого пользователь подключается к сети. Имен и фамилий там не было.

«МаксимаТелеком» составляет и хранит такой цифровой портрет о каждом пользователе для выдачи таргетированной рекламы, на которой зарабатывает. По словам Серова, с помощью программы для сбора MAC-адресов находящихся вокруг устройств можно набрать тысячу таких адресов за пару станций метро и затем, подменяя свой MAC-адрес, выгружать данные об этих пользователях со страницы авторизации.

Программист добавил, что сначала обратился к «знакомым разработчикам в mos.ru», так как у «МаксимыТелеком» «нормальной техподдержки нет», а затем опубликовал пост об уязвимости, написал алгоритм, позволяющий выгружать данные в удобном виде, и начал «веселиться с читателями».

Через несколько часов после публикации поста Серова «МаксимаТелеком» начала шифровать данные в коде страницы, однако код все равно доступен для расшифровки, считает Серов. В самой компании признали, что уязвимость была и ее устранили шифрованием «с солью». 9 апреля в компании добавили, что сейчас работают над исключением атак с подменой MAC-адреса.

«Основные усилия сосредоточены на полной переработке системы авторизации, исключающей атаки с подменой адреса устройства», – отметили в «МаксимеТелеком».

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter

Материалы по теме

  1. 1 «До 95% покупок все еще совершают офлайн»: зачем крупнейший оператор Wi-Fi в метро пришел к малому бизнесу
  2. 2 Российские чиновники будут проходить обучение по повышению киберграмотности
  3. 3 «Ростелеком» сообщил о росте DDoS-атак на российские компании в 2,5 раза
  4. 4 Борьбу с телефонными и онлайн-мошенниками переведут в автоматический режим
  5. 5 Китайские хакеры получили $1,5 млн за взлом Windows 10, iOS, Chrome и Safari

ВОЗМОЖНОСТИ

20 октября 2021

20 октября 2021

20 октября 2021