Программист Владимир Серов обнаружил уязвимость, которая позволяла увидеть данные о «цифровом портрете» пользователей интернета в метро Москвы и Петербурга. Оператор Wi-Fi в общественном транспорте – компания «МаксимаТелеком» – признала факт уязвимости, пишет The Village.
Уязвимость была обнаружена Серовым 5 марта в публично доступном коде страницы авторизации в сети «МаксимаТелеком» (MT_FREE).
В коде содержались данные о пользователе – номер телефона, примерные возраст, пол, семейное положение, станции, где пользователь предположительно живет и работает, станция, на которой пользователь находится в реальном времени и другая информация, привязанная в системе «МаксимыТелеком» к MAC-адресу устройства, с которого пользователь подключается к сети. Имен и фамилий там не было.
«МаксимаТелеком» составляет и хранит такой цифровой портрет о каждом пользователе для выдачи таргетированной рекламы, на которой зарабатывает. По словам Серова, с помощью программы для сбора MAC-адресов находящихся вокруг устройств можно набрать тысячу таких адресов за пару станций метро и затем, подменяя свой MAC-адрес, выгружать данные об этих пользователях со страницы авторизации.
Программист добавил, что сначала обратился к «знакомым разработчикам в mos.ru», так как у «МаксимыТелеком» «нормальной техподдержки нет», а затем опубликовал пост об уязвимости, написал алгоритм, позволяющий выгружать данные в удобном виде, и начал «веселиться с читателями».
Через несколько часов после публикации поста Серова «МаксимаТелеком» начала шифровать данные в коде страницы, однако код все равно доступен для расшифровки, считает Серов. В самой компании признали, что уязвимость была и ее устранили шифрованием «с солью». 9 апреля в компании добавили, что сейчас работают над исключением атак с подменой MAC-адреса.
«Основные усилия сосредоточены на полной переработке системы авторизации, исключающей атаки с подменой адреса устройства», – отметили в «МаксимеТелеком».
Нашли опечатку? Выделите текст и нажмите Ctrl + Enter
Материалы по теме
-
Пройти курс «Как попасть в топ поисковой выдачи Ozon»
- 1 Самые страшные и опасные компьютерные вирусы: Топ-7
- 2 Новый владелец F.A.C.C.T. поменял название компании на F6
- 3 Кто такие брокеры данных: где и как они продают информацию
- 4 Wildberries раскритиковал законопроект правительства против мошенничества