Оператор бесплатного Wi-Fi московского метро компания MaximaTelecom исправил недоработку в системе, которая теоретически позволяла любому злоумышленнику, подменив свой MAC-адрес на адрес другого пассажира, при подключении к сети прочитать предполагаемый цифровой портрет.
Этот портрет используется с вполне простой функцией – таргетинг рекламы. Портрет включает возраст, пол, семейное положение, достаток, а также станции, через которые человек ездит.
Уязвимость была устранена разработчиками сразу после публикации, оператор зашифровал передачу профильных данных пользователей. Угроза была чисто теоретической, так как сбор подобных данных – трудоемкая задача, в условиях ограниченной работы метро на практике невыполнимая.
Программист Владимир Серов, который обнаружил недостатки в системе, безусловно, талантливый специалист. Но вот что он сам говорит:
«Я честно скажу, все телефоны можно собрать только в течение месяцев шести – это довольно долгий процесс. За час можно получить где-то 300 телефонов. То есть мошенникам потребовалось бы около 10 тыс. часов, чтобы расшифровать три миллиона номеров».
Получается, чтобы скачать и расшифровать всю базу с такой скоростью, потребовалось бы почти 10 лет.
Каждый хороший айтишник готов немного хайпануть своей высокой квалификацией. Ну ничего, бывает, главное, чтобы хайп шёл на пользу людям. Было бы правильнее сразу отработать вопрос со службой техподдержки, чем гнать волну в сетях.