Wi-Fi-оператор московского метро изменит алгоритм авторизации после информации об утечке данных
Оператор бесплатного Wi-Fi в московском метро «Максима Телеком» усилит меры по защите персональных данных пользователей после информации об их утечке и неправомерном присвоении. Об этом сообщает ТАСС.
Уязвимость обнаружилась в марте 2018 года. Как пишет издание The Village, программист Владимир Серов выяснил, что цифровые портреты пассажиров, которые «Максима Телеком» использует для таргетирования рекламы, не шифруются.
Через код страницы авторизации программист получил доступ к такой информации о пассажире, как его имя, фамилия, номер телефона, примерный возраст, семейное положение, достаток, станции, которые он проезжает. Программист также написал скрипт, позволяющий отслеживать передвижение по подземке конкретного абонента, если он подключен к сети MT_FREE.
Все эти данные о человеке можно узнать с помощью MAC-адреса пользователя, который представляет собой уникальный номер устройства, поддерживающего Wi-Fi. По сочетанию этого адреса с номером телефона происходит регистрации устройства в системе.
Обнаружив уязвимость, Серов обратился к знакомым разработчикам из портала мэрии Москвы mos.ru и через неделю описал выявленную уязвимость на «Хабрахабре».
Компания «Максима Телеком» зашифровала номер телефона пассажира, маршрут которого отследил Серов, в течение суток после того, как об уязвимости стало известно публично. Остальные данные открыты до сих пор.
Представители «Максимы» просили Серова удалить публикацию, но он отказался, сославшись на собственные интересы пассажира и пользователя бесплатного Wi-Fi в метро. По словам программиста, в компании масштабы ошибки не признают, а защититься от подмены MAC-адреса почти невозможно.