Оператор Wi-Fi в метро Москвы и Петербурга публиковал данные о пользователях в открытом доступе Статьи редакции

Представители «МаксимаТелеком» крупную утечку данных отрицают.

  • В марте 2018 года программист Владимир Серов обнаружил уязвимость в сервисе бесплатного Wi-Fi московского метро, который обеспечивает оператор «МаксимаТелеком».
  • По словам Серова, при подсоединении к сети MT_FREE пользователи переходят на страницу авторизации — эта страница «отдаёт» персональные данные подключённого пользователя: его номер телефона, пол, примерный возраст, семейное положение, часто посещаемые станции метро и другую информацию. Эти данные привязаны к MAC-адресу пользователя.
  • Серов попытался сообщить об уязвимости «МаксимаТелеком», но не смог, так как у компании нет «нормальной техподдержки», отметил он. Он написал об утечке на официальном сайте мэра Москвы, а затем — в блоге на «Хабрахабре».
  • Он также написал скрипт, который сам выгружает данные о пользователях MT_FREE, которые находятся рядом. Кроме того, Серов обнаружил индикатор current_station, который позволил ему написать ещё один скрипт — он отслеживал перемещения человека в метро в реальном времени.
  • Вскоре после публикации Серова «МаксимаТелеком» начала шифровать номера телефонов на странице авторизации, а представители компании попросили его удалить публикацию.
  • В компании Серову заявили, что «убрали передачу профильных данных в открытом виде или в формате, который подлежит легкой дешифровке, применили устойчивое шифрование с "солью" и обновили справочники в смежных системах».
  • Серов рассказал The Village, что компания «лукавит» и не признаёт масштабы ошибки. Данные пассажиров, за исключением номеров телефонов, всё ещё открыты — пункты цифрового портрета заменили на случайный, но статичный набор символов, сообщил он.

Представители «МаксимаТелеком» заявили vc.ru, что крупной утечки данных не было.

«Крупная утечка», о которой сообщают СМИ, — это база, которую собрал лично Владимир Серов до момента устранения уязвимости. Эта база составляет пять профилей — самого Владимира и его друзей. О существовании аналогичных баз нам неизвестно.

Однако мы подчеркиваем: анализировать данные других пользователей можно было исключительно при подмене MAC-адреса и отправке запроса к порталу непосредственно в сети MT_FREE. Подмена MAC-адреса — технически сложный процесс, недоступный рядовому пользователю без специальных навыков, а массовая атака такого рода из метро нашими системами не зафиксирована

представители «МаксимаТелеком»
0
25 комментариев
Написать комментарий...
Сергей Стёпочкин

Нормальные компании за такое гонорары платят, а тут попросили публикацию удалить, и ятак понимаю даже спасибо не сказали

Ответить
Развернуть ветку
Bringo_call_tracking

Там и не пахнет адекватностью, какое спасибо, было бы у них желание, еще бы и уголовку впаяли бы.

Ответить
Развернуть ветку
Mike Kosulin

Они просто забыли.

Ответить
Развернуть ветку
Григорий Ефимов

Скажите спасибо что не посадили.

Ответить
Развернуть ветку
Максим Федоров

Нормальность — дело относительное
в РФ нормально, если госконтора не платит, именно потому и возникают такие моменты, когда разработчик и не пытается предупредиь:
https://habrahabr.ru/post/347760/

Ответить
Развернуть ветку
Alexander Dubitsky

"Подмена MAC-адреса — технически сложный процесс, недоступный рядовому пользователю без специальных навыков..."
Хорошо, что в Москве всего один Владимир обладает такими навыками, так что пользователям можно спать спокойно.

Ответить
Развернуть ветку
Andrey Petrosyan

Тото мне нортон не рекомендовал подключаться.
Оказалось правильно.

Ответить
Развернуть ветку
Anton Lozovoy

Сафари в мобильном тоже каждый раз говорит, что это подозрительный сайт.

Ответить
Развернуть ветку
Andre Macareno

А у меня просто просит отправить смс, еще и ни разу не бесплатную. Чисто из интереса хочется как-нибудь отправить с текстом «Да нет, спасибо» и посмотреть, что из этого выйдет, только забываю.

Ответить
Развернуть ветку
Максим Федоров

причинно-следственная связь спутана с корелляцией, ну да ладно

Ответить
Развернуть ветку
Олег Нечаев

Доход откуда у них? Не думаю, что данные о доходах кто-то предоставляет каким-либо сервисам самостоятельно. И доход определяется либо по косвенным признакам, либо кто-то барыжит данными... Кто в курсе, поделитесь, плиз.

Ответить
Развернуть ветку
S.Z

Ну дак реклама и подписки

Ответить
Развернуть ветку
Олег Нечаев

Неясно выразился - получил минусов, всё правильно. Хотел спросить, данные о доходах пользователя откуда у МаксимаТелеком? Не очень разбираюсь в трекерах рекламы. Понятна лишь передача данных о технических параметрах устройства.

Ответить
Развернуть ветку
Johnny Vorony

Все просто. У них есть авторизация не только по номеру телефона, но и портал госуслуги. Вот от туда и вынимают полную картину пользователя.

Ответить
Развернуть ветку
Олег Нечаев

Это мне чем-то напоминает историю с Фейсбуком. СМИ уже шумят об этом?

Ответить
Развернуть ветку
Максим Федоров
В 2014 году, по данным СПАРК, выручка «МаксимаТелеком» составила 488 млн рублей.

https://secretmag.ru/business/trade-secret/maksimatelekom.htm

Ответить
Развернуть ветку
Олег Нечаев

Да, благодарю. Ступил, вопрос задал не корректно.

Ответить
Развернуть ветку
Совершенный колос

Оператор живет по духовным скрепам, так что наказывать его пожалуй никто не станет

Ответить
Развернуть ветку
Grigory Zarudaev

На таганско-краснопресненской линии новые поезда вообще от wi-fi отключены )) о пользователях заботятся ))

Ответить
Развернуть ветку
Ruslan Khasanbaev

Это неправда - некоторые поезда и вправду не оборудованы, но большинство в файвай умеют

Ответить
Развернуть ветку
Тарас Островский

Сразу было видно что это дно. С учётом ещё их прайса на рекламу)

Ответить
Развернуть ветку
Oleg Borisov

Возможно, я всех удивлю, но это не уязвимость, а бизнес) Эти данные продаются рекламодателям.

Ответить
Развернуть ветку
Evgeni Nabokov

Собсна, за это получаем квазибесплатный интернет в вагонах. Проблема в том, что эти данные доступны любому технарю.

Ответить
Развернуть ветку
Nikita Maskva

Хорошо что не юзаю бесплатный wifi

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Roman Dvoryanov

К сожалению иных способов быть онлайн под землей у нас нет. Так и живем

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Читать все 25 комментариев
null