Данные о пользователях Wi-Fi в метро Москвы и Петербурга обнаружили в открытом доступе

Олег Овечкин
Олег Овечкин

Новостной редактор Rusbase

Расскажите друзьям
Олег Овечкин

Программист Владимир Серов обнаружил уязвимость, которая позволяла увидеть данные о «цифровом портрете» пользователей интернета в метро Москвы и Петербурга. Оператор Wi-Fi в общественном транспорте – компания «МаксимаТелеком» – признала факт уязвимости, пишет The Village.

Уязвимость была обнаружена Серовым 5 марта в публично доступном коде страницы авторизации в сети «МаксимаТелеком» (MT_FREE).

В коде содержались данные о пользователе – номер телефона, примерные возраст, пол, семейное положение, станции, где пользователь предположительно живет и работает, станция, на которой пользователь находится в реальном времени и другая информация, привязанная в системе «МаксимыТелеком» к MAC-адресу устройства, с которого пользователь подключается к сети. Имен и фамилий там не было.

«МаксимаТелеком» составляет и хранит такой цифровой портрет о каждом пользователе для выдачи таргетированной рекламы, на которой зарабатывает. По словам Серова, с помощью программы для сбора MAC-адресов находящихся вокруг устройств можно набрать тысячу таких адресов за пару станций метро и затем, подменяя свой MAC-адрес, выгружать данные об этих пользователях со страницы авторизации.

Программист добавил, что сначала обратился к «знакомым разработчикам в mos.ru», так как у «МаксимыТелеком» «нормальной техподдержки нет», а затем опубликовал пост об уязвимости, написал алгоритм, позволяющий выгружать данные в удобном виде, и начал «веселиться с читателями».

Через несколько часов после публикации поста Серова «МаксимаТелеком» начала шифровать данные в коде страницы, однако код все равно доступен для расшифровки, считает Серов. В самой компании признали, что уязвимость была и ее устранили шифрованием «с солью». 9 апреля в компании добавили, что сейчас работают над исключением атак с подменой MAC-адреса.

«Основные усилия сосредоточены на полной переработке системы авторизации, исключающей атаки с подменой адреса устройства», – отметили в «МаксимеТелеком».
Если у вас есть новости, пишите на news@rb.ru. Мы читаем все письма.

Актуальные материалы — в Telegram-канале @Rusbase

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter


Комментарии

  • Мария Татарович
    Мария Татарович 14:02, 25.04.2018
    0
    Интернет в общественном транспорте сейчас очень популярен. И в автобусах его уже внедряют https://3gstar.com.ua/wifibus/ Для длительных поездок - очень удобно и выгодно.
Зарегистрируйтесь, чтобы оставлять комментарии и получить доступ к Pipeline — социальной сети, соединяющей стартапы и инвесторов.
EMERGE
31 мая 2019
Ещё события


Telegram канал @rusbase



Реклама помогает Rusbase


Разместить рекламу