Дешифровать уже зашифрованные данные статистическим методом и сопоставить с номером телефона возможно, если злоумышленник располагает ранее украденной у нас информацией
Фото: Евгения ГУСЕВА
Подключились к бесплатному Wi-Fi в Московском метро? Значит, слили в сеть MT_FREE свои данные. Выходит, каждый может заполучить телефон понравившейся девушки или парня, даже не приближаясь. Об этом на сайте «Хабрахабр» (самое крупное в Рунете сообщество людей, занятых в индустрии высоких технологий) написал программист Владимир Серов.
- Авторизация в этой сети привязывается по мак-адресу, который всегда можно сменить — например, на любой пойманный в воздухе вокруг. Поймать мак-адреса можно, например, утилитой airodump-ng. Иногда даже можно войти в wi-fi не смотря рекламу, если реальный владелец мак-адреса оплатил премиум-доступ, - написал Владимир Серов.
Программист объясняет, что узнать MAC человека можно с помощью утилиты airodump-ng, после в метро просто сменить свой мак на мак того, чей номер нужен, и открыть страничку auth.wi-fi.ru. Серов утверждает, что целый год он заполучал номера телефонов всех подключенных пассажиров поезда, мог прочитать портрет каждого: возраст, пол, семейное и финансовое положение, а также названия станции, на которых человек живет и работает. И якобы виной всему компания «МаксимаТелеком», оператор системы, которая не шифровала номера телефонов пассажиров.
В самой же компании поспешили разъяснить, что «уязвимость, о которой идет речь была устранена несколько недель назад, после появления статьи на отраслевом ресурсе». Сказано, что Владимир Серов ранее не обращался напрямую к компании.
- Мы сразу зашифровали передачу профильных данных (таких как номер телефона, пол, возрастная группа и прочие). До доработки системы авторизации мы выключили хранение данных о перемещении пользователей между станциями метро. Таким образом исчезла возможность трекинга пользователей хакерами, - прокомментировали «Комсомольской правде» в «МаксимаТелеком».
В компании объяснили, что утечка данных, о которых так громко заявил Владимир Серов, это база из пять профилей — самого Владимира и его друзей. О существовании аналогичных баз неизвестно.
- Анализировать профильные данные других пользователей можно было исключительно при подмене MAC-адреса и отправке запроса к порталу непосредственно в сети MT_FREE, - объясняют в «МаксимаТелеком». - Дешифровать уже зашифрованные данные статистическим методом и сопоставить с номером телефона возможно, если злоумышленник располагает ранее украденной у нас информацией о номерах телефонов абонентов.
КСТАТИ
Сообщайте о нарушениях
Компания «МаксимаТелеком» принимает срочные меры для исключения неправомерного присвоения абонентских данных. Основные усилия сосредоточены на полной переработке системы авторизации, исключающей атаки с подменой адреса устройства.
- Для того, чтобы улучшить безопасность сервиса, мы призываем сообщать о найденных уязвимостях на ibhotline@maximatelecom.ru и гарантируем, что сообщения на эту линию не останутся без внимания, - говорят в компании.