Премия Рунета-2020
Москва
+5°
Boom metrics
УМНЫЕ ВЕЩИ9 апреля 2018 16:30

Оператор Wi-Fi в метро Москвы опроверг, что мобильные номера, возраст и доходы пассажиров попали в общий доступ

Ранее об утечке данных пользователей Wi-Fi в метро Москвы сообщил столичный программист
Дешифровать уже зашифрованные данные статистическим методом и сопоставить с номером телефона возможно, если злоумышленник располагает ранее украденной у нас информацией

Дешифровать уже зашифрованные данные статистическим методом и сопоставить с номером телефона возможно, если злоумышленник располагает ранее украденной у нас информацией

Фото: Евгения ГУСЕВА

Подключились к бесплатному Wi-Fi в Московском метро? Значит, слили в сеть MT_FREE свои данные. Выходит, каждый может заполучить телефон понравившейся девушки или парня, даже не приближаясь. Об этом на сайте «Хабрахабр» (самое крупное в Рунете сообщество людей, занятых в индустрии высоких технологий) написал программист Владимир Серов.

- Авторизация в этой сети привязывается по мак-адресу, который всегда можно сменить — например, на любой пойманный в воздухе вокруг. Поймать мак-адреса можно, например, утилитой airodump-ng. Иногда даже можно войти в wi-fi не смотря рекламу, если реальный владелец мак-адреса оплатил премиум-доступ, - написал Владимир Серов.

Программист объясняет, что узнать MAC человека можно с помощью утилиты airodump-ng, после в метро просто сменить свой мак на мак того, чей номер нужен, и открыть страничку auth.wi-fi.ru. Серов утверждает, что целый год он заполучал номера телефонов всех подключенных пассажиров поезда, мог прочитать портрет каждого: возраст, пол, семейное и финансовое положение, а также названия станции, на которых человек живет и работает. И якобы виной всему компания «МаксимаТелеком», оператор системы, которая не шифровала номера телефонов пассажиров.

В самой же компании поспешили разъяснить, что «уязвимость, о которой идет речь была устранена несколько недель назад, после появления статьи на отраслевом ресурсе». Сказано, что Владимир Серов ранее не обращался напрямую к компании.

- Мы сразу зашифровали передачу профильных данных (таких как номер телефона, пол, возрастная группа и прочие). До доработки системы авторизации мы выключили хранение данных о перемещении пользователей между станциями метро. Таким образом исчезла возможность трекинга пользователей хакерами, - прокомментировали «Комсомольской правде» в «МаксимаТелеком».

В компании объяснили, что утечка данных, о которых так громко заявил Владимир Серов, это база из пять профилей — самого Владимира и его друзей. О существовании аналогичных баз неизвестно.

- Анализировать профильные данные других пользователей можно было исключительно при подмене MAC-адреса и отправке запроса к порталу непосредственно в сети MT_FREE, - объясняют в «МаксимаТелеком». - Дешифровать уже зашифрованные данные статистическим методом и сопоставить с номером телефона возможно, если злоумышленник располагает ранее украденной у нас информацией о номерах телефонов абонентов.

КСТАТИ

Сообщайте о нарушениях

Компания «МаксимаТелеком» принимает срочные меры для исключения неправомерного присвоения абонентских данных. Основные усилия сосредоточены на полной переработке системы авторизации, исключающей атаки с подменой адреса устройства.

- Для того, чтобы улучшить безопасность сервиса, мы призываем сообщать о найденных уязвимостях на ibhotline@maximatelecom.ru и гарантируем, что сообщения на эту линию не останутся без внимания, - говорят в компании.