В середине марта программист Владимир Серов обнаружил крупную уязвимость в сервисе бесплатного Wi-Fi московского метро. Данные о 12 миллионах пользователей утекали в сеть минимум год, но никто этого не заметил.
1. Как об этом узнали
Сначала Владимир сообщил об ошибке оператору системы «Максима Телеком», но после полного игнора, опубликовал на сайте Харбахар пост «Как получить телефон (почти) любой красотки в Москве, или Интересная особенность MT_FREE».
2. Как данные пользователей оказались в сети
Чтобы сделать рекламу эффективной, используется таргетинг — вы видите только те объявления, которые подходят вашим предпочтениям. Зашифрованные данные о них используют крупные маркетинговые агентства, а затем рекламные площадки. Но оказалось, что цифровой портрет пользователя московского Wi-Fi никак не шифруется.
3. Как отреагировали в МаксимаТелеком
После сообщения Владимира Серова об уязвимости на портале авторизации мы оперативно зашифровали передачу профильных данных. Мы также принимаем срочные меры для исключения неправомерного присвоения абонентских данных.
Анастасия Самойлова, представитель компании
4. Сколько людей используют WiFi
В декабре 2016-го в сетях «Максимы» было зарегистрировано более 12 миллионов пользователей. MT_FREE есть в «Аэроэкспрессах», на Московском центральном кольце и в некоторых пригородных электричках, включая «Ласточки». А с 2017 года «Максима» развивает ту же самую сеть в Петербургском метрополитене.
5. Что про меня известно
Если ты подключался к вай-фаю в метро, в сети есть твой номер телефона, примерный возраст, пол, уровень дохода, стоимость телефона или ноутбука, а также станции, где ты живешь и работаешь.
6. Как узнать, что обо мне известно
— Подключи ноутбук к сети MT_FREE в метро или наземном транспорте и зайти на страницу.
— Открой исходный HTML-код страницы или «Инструменты разработчика» — в Google Chrome кликни на пустом поле правой кнопкой и выбери «Посмотреть код страницы».
— Нас интересует только фрагмент, после userdata. Сейчас он выглядит непонятно, но Владимир составил таблицу с расшифрованными значениями. Их и следует искать в документе с кодом (Ctrl+F или CMD+F).