Оператор Wi-Fi рассказал об уязвимости сети в московском метро

Компания «МаксимаТелеком», оператор сети бесплатного Wi-Fi в московском метро, усилит меры по защите персональных данных пользователей и изменит систему авторизации после сообщений ряда СМИ об утечке и неправомерном присвоении данных. Время от времени даже можно войти в wi-fi не смотря рекламу, ежели настоящий владелец мак-адреса оплатил премиум-доступ, — написал Владимир Серов.

До этого СМИ проинформировали, что программист Владимир Серов раскрыл уязвимость в сервисе бесплатного Wi-Fi в московском метро, которая разрешала любому получить номера телефонов всех подключённых пассажиров поезда, их ориентировочный возраст, пол, семейное положение, а еще станции, на которых человек живёт и работает.

Программист поведал, что в один из дней он просто ехал в метро и обратил внимание на страничку авторизации. «Мы убрали передачу профильных данных в открытом виде либо в формате, который подлежит легкой дешифровке». Тогда он написал на «Хабрахабр» пост, где продемонстрировал, как просто получить досутп к личной информации. Владимир обозначил, что техника на текущий момент дает возможность представиться другим пользователем и забрать его данные.

Пока хранение данных о перемещение пользователей отключено. При всем этом программист отмечает, что от подмены MAC-адреса защититься почти нереально: прочие данные о пассажирах до сих пор можно получить, хотя формат представления информации изменен. МаксимаТелеком сразу зашифровала передачу профильных данных. таковых как номер телефона, пол, возрастная группа и тому подобное.

С начала марта 2018 г. Серов нашел, что «дыра» в сервисе free Wi-Fi московской подземки разрешала любому получить номера телефонов всех подключенных пассажиров поезда, а после этого прочесть в незашифрованном виде цифровой портрет каждого: ориентировочный возраст, пол, семейное положение, уровень заработка, а еще станции, входящие в его маршрут. Данная база составляет 5 профилей — самого программиста и его друзей. Компания не получала информации о существовании остальных одинаковых баз.

— Анализировать профильные данные остальных пользователей можно было только при подмене MAC-адреса и отправке запроса к порталу непосредственно в web-сети MT_FREE, — объясняют в «МаксимаТелеком». Зимой следующего года местные власти отчитались о регистрации не менее 12 млн человек.

В компании подчеркнули, что начали внутреннюю проверку безопасного обмена данными между пользователями и серверами. Требования к ее защите законодательством РФ не предъявляются, так как она не содержит персональных данных.