Оператор Wi-Fi московского метро «МаксимаТелеком» допустил утечку данных миллионов пользователей

Оператор Wi-Fi московского метро «МаксимаТелеком» допустил утечку данных миллионов пользователей

В марте 2018 года программист Владимир Серов обнаружил уязвимость в сети Wi-Fi московского метро, оператором которой является компания «МаксимаТелеком». С помощью этой уязвимости можно было получить данные 12 млн человек, которые зарегистрированы в сервисе. Об этом пишет The Village.

По словам Серова, компания не шифровала передаваемые данные и «цифровой портрет» пользователя — номер телефона, пол, возраст, семейное положение, зарплату, а также название станции, где человек подключался и отключался от сети. Программист отметил, что ему даже удалось написать скрипт, который в режиме реального времени позволяет отслеживать местоположение того или иного человека в метро, если он подключен к сети MT_FREE.

Издание пишет, что уязвимость в системе существовала как минимум с мая 2017 года. «МаксимаТелеком» зашифровала номер мобильного телефона только после появления заявления Серова в публичном доступе в марте 2018 года. При этом остальные данные до сих пор остаются открытыми, несмотря на заявление «МаксимаТелеком» о предотвращении ошибки.

«После сообщения Владимира Серова об уязвимости на портале авторизации мы оперативно зашифровали передачу профильных данных (таких как номер телефона, пол, возрастная группа и пр.) Дешифровать их статистическим методом и сопоставить с номером телефона возможно, если злоумышленник располагает ранее украденной у нас информацией о номерах телефонов абонентов. Мы также принимаем срочные меры для исключение неправомерного присвоения абонентских данных. Основные усилия сосредоточены на полной переработке системы авторизации, исключающей атаки с подменой адреса устройства», — заявила представитель компании Анастасия Самойлова.

IT-специалист Владислав Здольников прокомментировал, что уязвимость больше похожа на банальную некомпетентность создателей, чем на желание разгрузить серверы, о чем утверждает Серов.

После появления информации об утечке данных «МаксимаТелеком» объявила о смене алгоритма авторизации для пользования Wi-Fi. «Мы продолжаем принимать срочные меры для исключения неправомерного присвоения абонентских данных, основные усилия сосредоточены на полной переработке системы авторизации, исключающей атаки с подменой адреса устройства», — цитирует ТАСС представителей компании.