О нас
Коллекция
Для исследователей
Волонтёрам
Рассылка
Наш Telegram
Дата
09.04.2018
Автор
Максим Прошкин
Источник
Новая Газета
Сохранённая копия
Internet Archive
Original Material

СМИ: оператор Wi-Fi в московском метро допустил масштабную утечку данных пользователей

Компания «МаксимаТелеком», которая отвечает за подключение к Wi-Fi в метро, не шифровала номер телефона и «цифровой портрет» пользователей, а собирать эти данные можно было при помощи специальных программ, утверждает The Village со ссылкой на программиста Владимира Серова, нашедшего уязвимость.

Каждое устройство обладает уникальным номером для подключения к Wi-Fi. При помощи этого кода и номера телефона идет авторизация в сети Wi-Fi метро. Номер необходимо было внести в систему компании при первом подключении, это требовал закон о противодействии терроризма.

Среди данных, которые также были доступны, программист называет пол, примерный возраст, семейное положение, достаток, а также станции метро, где пользователь подключался и отключался от Wi-Fi. Издание The Village со ссылкой на данные сервиса Wayback Machine уточнило, что уязвимость в коде страницы авторизации существовала как минимум с 17 мая 2017 года. При этом программист обнаружил ее 5 марта 2018 года.

Мужчина рассказал об обнаруженной проблеме на портале mos.ru, однако реакции не последовало. После этого Серов опубликовал статью об этом на «Хабрахабр». По словам Серова, уже через два часа номера пользователей зашифровали, однако остальные данные остались открытыми. При этом представители компании попросили удалить пост.

«Все это время компания была в курсе, что нарушает банальные правила безопасности работы с подобными данными — и не только отдавала (и отдает) их пользователю, что невиданно, но и делает это по незашифрованному каналу в открытой сети. И почему я должен молчать о том, что с моими личными данными так обращаются?», — приводит The Village слова Серова.

Издание также обратилось в «МаксимаТелеком», где заявили, что для устранения проблемы «принимаем срочные меры». «Основные усилия сосредоточены на полной переработке системы авторизации, исключающей атаки с подменой адреса устройства», — говорится в официальном комментарии.

При этом статистики о количестве пользователей за 2017 год нет. По последним данным, в декабре 2016 года в сетях «МаксимаТелеком» было зарегистрировано более 12 млн пользователей.

В разговоре с «Новой газетой» пресс-секретарь компании Анастасия Самойлова отказалась назвать количество номеров пользователей, которые были доступны все это время. Кроме того, Самойлова добавила, что «МаксимаТелеком» больше «не хранит данные о перемещении пользователей между станциями».

Напомним, в июле 2017 года отделение Пенсионного фонда России по Москве и Московской области организовало проверку после информации о возможном раскрытии персональных данных 17752 человек.

Проверка началась после того, как мужчина получил по электронной рассылке документ Excel, в котором содержались записи о лицах, их даты рождения, адреса регистрации и номера СНИЛС.

Подобный случай произошел в январе 2018 года. Пользователь ресурса «Хабрахабр» под ником NoraQ рассказал, что нашел уязвимости на сайте Рособрнадзора, благодаря которую получил доступ к персональным данным 14 млн выпускников.