Оффлайн
Apollon
Заблокирован
- Регистрация
- 07.09.17
- Сообщения
- 5.309
- Реакции
- 1.010
- Репутация
- 1.625
You must be registered for see images attach
Оператор бесплатного Wi-Fi в московском метрополитене «Максима Телеком» прокомментировал сообщение об опасной уязвимости в своей системе, обнаруженной исследователем безопасности Владимиром Серовым в марте текущего года. В течение как минимум года проблема позволяла получать персональные данные подключившихся к сети Wi-Fi пассажиров, в том числе телефонные номера, возраст, пол, семейное положение и станции метро, где они работают и живут. Более того, исследователь представил скрипт, позволяющий с помощью уязвимости следить за передвижениями пассажиров по метрополитену.
Впервые Серовсообщило проблеме еще в прошлом месяце в своем блоге на «Хабрахабр», однако широкой огласке в СМИ она была предана лишь теперь. На следующий день после публикации в блоге компания «Максима Телеком» зашифровала номера телефонов, однако остальную информацию можно было по-прежнему получить. Правда, обнаружив уязвимость, Серов не обратился напрямую к оператору, а связался со знакомыми разработчиками из mos.ru, «убедившись, что запрос дошел до ответственного за wi-fi в метро».
По словам исследователя, уязвимость заключается в следующем. В соответствии с действующим антитеррористическим законодательством при подключении к сети MT_FREE пассажир указывает свой номер телефона. Авторизация осуществляется путем сочетания телефонного номера с MAC-адресом устройства пассажира. Как отметил Серов, с помощью определенных утилит MAC-адрес можно легко сменить, в том числе на MAC-адрес устройства, чей владелец оплатил премиум-доступ без рекламы.
У всех пользователей бесплатного Wi-Fi автоматически открывается страница авторизации с таргетированной рекламой. Для эффективного таргетинга о пользователях собирается информация, на основании которой создаются их цифровые профили, передаваемые затем определенным рекламным компаниям. По идее, передаваемые профили должны шифроваться, однако, по словам Серова, профили пассажиров московского метро, в том числе номера телефонов на странице авторизации Wi-Fi, передавались в открытом виде.
Фамилии и мена пользователей страница авторизации не выдает, однако привязка персональных данных к MAC-адресу устройства все равно ставит их под угрозу. Поскольку MAC-адрес можно поменять, злоумышленник способен увидеть данные, выдаваемые страницей авторизации по тому или иному MAC-адресу.
Как сообщает ТАСС со ссылкой на официальное заявление компании «Максима Телеком», оператор намерен усилить меры по защите персональных данных пользователей и полностью изменить алгоритм авторизации. Согласно заявлению, уязвимость была исправлена спустя несколько недель после сообщения о ней на сайте «Хабрахабр».
«Мы сразу зашифровали передачу профильных данных, таких как номер телефона, пол, возрастная группа, а также выключили хранение данных о перемещении пользователей между станциями метро. Таким образом исчезла возможность трекинга пользователей хакерами», - говорится в заявлении.
Оффлайн
- Регистрация
- 22.04.18
- Сообщения
- 65
- Реакции
- 1
- Репутация
- 0
Это только одна из многих утечек личных данных, которую не удалось скрыть. Таких утечек ежедневно происходит огромное множество, в даркнете есть даже сайты где продают личные данные сотни тысяч людей...