В марте была обнаружена уязвимость, допускающая получение данных о «цифровом портрете» интернет-пользователей в метро Москвы и Петербурга. Как сообщило издание The Village, оператор бесплатного Wi-Fi компания «МаксимаТелеком» признала факт наличия уязвимости.
Раскрыл уязвимость системы программист Владимир Серов, обнаружив в публично доступном коде страницы авторизации в сети «МаксимаТелеком» (MT_FREE), данные о пользователе – номер телефона, примерные возраст, пол, семейное положение, станции, где пользователь предположительно живет и работает, станция, на которой пользователь находится в реальном времени и другая информация, привязанная в системе «МаксимыТелеком» к MAC-адресу устройства, с которого пользователь подключается к сети.
«МаксимаТелеком» составляет и хранит такой цифровой портрет о каждом пользователе для выдачи таргетированной рекламы, на которой зарабатывает. По словам Серова, с помощью программы для сбора MAC-адресов находящихся вокруг устройств можно набрать тысячу таких адресов за пару станций метро и затем, подменяя свой MAC-адрес, выгружать данные об этих пользователях со страницы авторизации.
Программист опубликовал пост об уязвимости и написал алгоритм, позволяющий выгружать данные в удобном виде, а затем начал «веселиться с читателями».
«Уязвимость, о которой идет речь, была устранена несколько недель назад после появления статьи на отраслевом ресурсе. Мы сразу зашифровали передачу профильных данных, таких как номер телефона, пол, возрастная группа, а также выключили хранение данных о перемещении пользователей между станциями метро. Таким образом исчезла возможность трекинга пользователей хакерами. Мы продолжаем принимать срочные меры для исключения неправомерного присвоения абонентских данных, основные усилия сосредоточены на полной переработке системы авторизации, исключающей атаки с подменой адреса устройства», - сказал представитель «МаксимаТелеком».
Он подчеркнул, что утечка, о которой сообщают СМИ, это база, которую программист Владимир Серов собрал в момент наличия уязвимости.
«Основные усилия сосредоточены на полной переработке системы авторизации, исключающей атаки с подменой адреса устройства», – добавил представитель компании.