Начало Hi-Tech Вай-фай в метро и поездах РФ выдает данные о пользователях всем желающим

Вай-фай в метро и поездах РФ выдает данные о пользователях всем желающим

Hi-Tech
/ 1545 0
Вай-фай в метро и поездах РФ выдает данные о пользователях всем желающим

Самая крупная дыра в бесплатном вай-фае столичного метро не менее года давала всем желающим доступ к информации о сотовых номерах всех пользователей, их поле, примерном возрасте, семейном положении, достатке и даже станции, где они живут и работают. С помощью специального скрипта можно было следить за передвижением пользователей по метро, даже не работая в спецслужбах. Дыра закрыта, но не полностью.

Более частое совпадение передвижений, всего вероятнее, говорит, что у пользователей семья или они как минимум живут в одной квартире (доме). МаксимаТелеком зашифровал сотовые номера в продолжение суток после публичных новостях об уязвимости, но все прочие данные продолжают оставаться открытыми.

Данные стали доступны из-за желания заработать на пользователях. МаксимаТелеком поместил на странице авторизации рекламный блок, на котором зарабатывает. Для большей эффективности компания размещает объявления, ближе совпадающие с цифровым портретом предпочтений пользователей. Это стандартная практика, но обычно такой портрет передается зашифрованным. Создатели бесплатного вай-фая его никак не шифровали.

В день обнаружения дыры программист Владимир Серов написал о ней знакомым с официального портала столичных мэра и правительства (у МаксимыТелеком нет нормальной техподдержки). Его сообщение было спущено вниз, ответа на него программист не получил. Через неделю Владимир Серов рассказал на «Хабре» с тэгом «романтика», как можно получить соту, к примеру, любой понравившейся девушки в Москве. И у читателей ресурса началось веселье.

Дыра в коде была минимум с 17 мая прошлого года. В августе МаксимаТелеком сообщал о ежедневном пользовании бесплатным вай-фаем около 1,5 млн пользователей, в декабре 2016 – о регистрации свыше 12 млн. Та же сеть работает в аэроэкспрессах, на МЦК и в некоторых пригородных поездах, в том числе Ласточках. С прошлого года МаксимаТелеком развивает свою сеть в питерском метро. Ранее совладелец МаксимыТелекома Алеко Крихели признал, что его компания собирает пользовательские данные, но, в отличие от других, хранит у себя, как «уникальное богатство».
 
МаксимаТелеком стал добавлять к телефонам добавочный ключ в виде случайных символов, т. н. «соль», как в криптовалютах. Программист считает способ небезопасным: соты снова будет можно заполучить, как только кто-нибудь получит или сольет значение «соли».

Максима попросила программиста удалить пост на «Хабре», он отказал: компания все это время была в курсе нарушения ей банальной техники безопасности работы с данными и не только раздавала (и раздает) их всем желающим, что неслыханно, но делает это в открытой сети по незашифрованному каналу. Владимир Серов не намерен молчать о том, как обращаются с его личными данными. В конце концов компания выпустила официальный комментарий и просила добавить хотя бы его, но программист вновь отказал, потому что Максима лукавила, рассуждая о пользовательской безопасности. Масштабы проблемы она не признала и защиты у пользователей нет до сих пор. Владимир Серов предположил: уязвимость была допущена, чтобы экономить на времени загрузки своих серверов.

В официальном ответе изданию The Village компания упомянула, что идентификация пользователей отвечает требованиям соответствующего постановления российского правительства от 2014 года, а требований к защите внутренних баз данных законодательство РФ не предъявляет, хотя и расценивает кражу как преступление.

По предположению специалиста ФБК по ай-ти Владислава Здольникова, дыра выглядит скорее как банальная некомпетентность разработчиков, чем их желание снизить нагрузку на серверы: очень уж странно смотрится доступность аналитической информации всем желающим. Даже на ресурсах, подразумевающих авторизацию с логином и паролем, такие данные обычно недоступны пользователям и тем более не передаются в браузер. А для сервиса, где без труда можно притворяться другими пользователями, это просто запредельный уровень пренебрежения пользователями. Отдельное возмущение Владислава Здольникова вызвало, что Максима после новостей о дыре не отключила срочно выдачу чужих данных, а заменила их значениями, которые уже были расшифрованы. Пользователи могут сами проверить, скомпрометированы ли их данные, по инструкции, написанной Владимиром Серовым и опубликованной The Village.

Ваше мнение
1 + 4 =