В середине марта 2018 года программист Владимир Серов раскрыл крупную уязвимость в сервисе бесплатного Wi-Fi московского метро. Любой пользователь мог с легкостью получить номера телефонов всех подключенных пассажиров поезда, а затем прочитать в незашифрованном виде данные каждого: примерный возраст, пол, семейное положение, достаток, а также станции, которыми пользуется человек.

Об этом пишет The Village.

Владимир Серов решил написать скрипт, позволяющий отслеживать передвижение в метро конкретного абонента, если он подключен к сети MT_FREE.

Стоит отметить, что компания “МаксимаТелеком”, оператор системы, зашифровала номер телефона в течение суток после того, как об уязвимости стало известно публично. Остальные данные открыты до сих пор, и не известно, сколько человек могли сохранить всю незашифрованную базу.

Статистики за 2017 год нет, но к декабрю 2016 года в сетях “МаксимаТелеком” было зарегистрировано более 12 миллионов пользователей. Все их телефонные номера неизвестные могли загрузить ранее, а сейчас могут отследить, в каких конкретно поездах находятся абоненты.

Каким образом в Сеть могла “уйти” информация о пользователях

У любого устройства, поддерживающего Wi-Fi, есть уникальный номер, который называется MAC-адрес. Авторизация в сети городского интернета MT_FREE происходит по сочетанию MAC-адреса с номером телефона, который пассажир сам регистрирует в системе — согласно требованию закона о противодействии терроризму. Страница авторизации открывается у всех автоматически. Провайдер “МаксимаТелеком” разместил там рекламный блок, который является заработком компании. Чтобы сделать рекламу более эффективной, используется таргетинг — выдаются те объявления, которые лучше подходят к цифровому портрету пользователя. Обычно этот портрет собирают крупные аналитические и маркетинговые компании, которые затем передают данные в зашифрованном виде конкретным рекламным площадкам.

ЧИТАЙТЕ ТАКЖЕ: Тим Кук: я бы избежал скандала с утечкой данных, будь на месте Цукерберга

Программист Владимир Серов обнаружил, что цифровой портрет, включая номер телефона на странице авторизации Wi-Fi в метро Москвы, никак не шифруется.

“Решил посмотреть, какие данные мне отдает страничка авторизации, и обнаружил кусок кода userdata: там совершенно открыто была перечислена информация, включая номер телефона, пол, примерный возраст, семейное положение, достаток, станции, где твои дом и работа, и все привязано к твоему MAC-адресу. Хоть по закону страница и не выдает персональные данные (нет фамилий и имен), публично привязывать номера к MAC-адресам все равно опасно”, – отметил Серов.

При помощи программы Airodump-ng, которая позволяет получить MAC-адреса всех активных Wi-Fi-устройств, программист за пару станций собрал тысячу работающих маков.

“В тот же день я написал об этой уязвимости ребятам из mos.ru, потому что у самой “МаксимыТелеком” нормальной техподдержки нет. То есть я их начальству рассказал о том, как подрядчик раздает направо и налево личные данные о пользователях — письмо спустили вниз, но ответа я так и не получил”, – отметил Серов.

Ресурс The Village обнаружил, что уязвимость была в коде страницы авторизации как минимум с 17 мая 2017 года. В августе компания заявляла, что идентификацию в сети ежедневно проходят 1,5 миллиона пользователей. Кроме того, с 2017 года “Максима” развивает ту же самую сеть в Петербургском метрополитене. Насколько это расширяет объем номеров, которые могли быть раскрыты, неизвестно. Тем не менее практически любой мог собирать миллионы телефонных номеров на протяжении года.

Как отследить местоположение

Программист Серов исследуя узявимость обнаружил индикатор current_station (“текущая станция”), который постоянно менялся. Названия самих станций в нем заменили на обычные номера. Довольно быстро удалось составить карту, просто отслеживая передвижение собственного MAC-адреса. Написав еще один простейший скрипт, Серову удалось отследить передвижение другого человека по подземке в режиме реального времени — некая девушка возвращалась с работы домой. Во время тестирования слежке поддался один из 16 случайно пойманных MAC-адресов.

ЧИТАЙТЕ ТАКЖЕ: В WhatsApp нашли уязвимость, позволяющую получить личные данные

Стоит отметить, что отслеживать геолокацию конкретных телефонов могут только спецслужбы — технология требует решения суда и постоянного общения с сотовыми операторами. Уязвимость MT_FREE делает передвижение абонента по подземке абсолютно прозрачным.

Как реагировала “МаксимаТелеком”

Уже через два часа после публикации Серова номер телефона на странице авторизации стал шифроваться в виде “хеша с солью” (“хеш” — номер телефона, а “соль” — добавочный ключ к строчке из случайных символов). Схожий алгоритм шифрования используется в криптовалютах, чтобы исключить вероятность хакерского взлома.

Также к программисту обратились представители “Максимы” с просьбой удалить публикацию. Серов отказал: “Все это время компания была в курсе, что нарушает банальные правила безопасности работы с подобными данными — и не только отдавала (и отдает) их пользователю, что невиданно, но и делает это по незашифрованному каналу в открытой сети. И почему я должен молчать о том, что с моими личными данными так обращаются?”.

Почему такая утечка могла произойти

IT-специалист Владислав Здольников считает, что уязвимость похожа на банальную некомпетентность создателей. “Действительно, авторизация в Wi-Fi-сетях происходит по MAC-адресу; с этим ничего поделать нельзя. Но тот факт, что аналитическая информация передается на браузер пользователя, — это какая-то очень странная история. Даже на тех ресурсах, которые собирают аналитику о пользователе и которые подразумевают авторизацию по логину и паролю, эта информация чаще всего недоступна для пользователя и тем более не передается в браузер. Такая архитектура не очень похожа на экономию ресурсов “МаксимыТелеком” — скорее, это можно объяснить некомпетентностью тех, кто делал механизм”, – рассказал он.

30 марта сообщалось, что операторы ботнета Hajime осуществили более 860 тыс. сканирований, целью которых был поиск уязвимых роутеров компании MikroTik.
21 марта участники ежегодного состязания “белых” хакеров Pwn2Own-2018 взломали браузеры Microsoft Edge, Apple Safari и Mozilla Firefox.