Программисту, который нашел дыру в системе Wi-Fi московского метро, предложили работу в компании, допустившей эту утечку. Это оператор MaximaTelecom, который случайно "слил" личные данные 12 миллионов пассажиров. Оказалось, что если произвольно менять цифры в MAC-адресе, то можно увидеть кучу информации о том, кому этот адрес принадлежит. Это и номер телефона, и пол, и возраст, и станции метро, которыми пользуется человек. Даже модель его смартфона.
Программист рассказал, что в один из дней он просто ехал в метро и обратил внимание на страницу авторизации. Оказалось, что данные пользователей передавались в открытом виде. Любому человеку были доступны телефон, пол, примерный возраст, примерные местоположение и место жительства, место работы, увлечения. Эта информация, по словам Серова, передавалась в addfox, чтобы делать таргетированную рекламу. Владимир отметил, что техника сейчас позволяет представиться другим пользователем и забрать его данные. Отследить других пользователей в Сети также не составляет большого труда, для этого существуют определенные программы.
После того, как я обнаружил слив информации, я написал небольшую заметку для MaximaTelecom (площадка, поставляющая рекламу для метро — прим. ред.), в которой рассказал, в чем уязвимость, как ее устранить и почему это важно. Я не уверен, что она дошла. Но я хочу сказать, что этой уязвимости вообще не должно было быть изначально. Когда они узнали об уязвимости в последний миг, они зашифровали данные. Но проблема в том, что они использовали такой шифр, который для всех одинаковый. С помощью небольшой математики можно было расшифровать их, даже особо не расшифровывая. Скажем, пол зашифрован одной строкой данных. И эта строка будет одинаковая для мужчин и одинаковая для женщин. Так же можно сделать практически с любыми данными. Они не учли этого и, похоже, не собирались учитывать даже после того, как я в заметке им об этом сказал
— Владимир Серов.
Программист заявил, что слив данных пользователей — это исключительная халатность разработчиков MaximaTelecom. «Такого нет нигде. Нигде за свою жизнь я не видел, чтобы данные для рекламы отдавались юзеру. Обычно тебе просто дается ссылка на рекламу, но никаких данных. Учитывая, сколько времени эта уязвимость была, это около года, с прошлого мая, это довольно жуткая утечка данных», — Владимир Серов.
Узнав о том, что в MaximaTelecom его называют хакером, Владимир искренне удивился. Улыбнувшись, молодой человек рассказал, что считает это слово комплиментом, однако пользоваться данными не собирался.
Честно говоря, лет до 16 я думал, что хакеры — это плохо. После 16 лет я узнал, что «хакеры» — это довольно хорошее слово, потому что они любят разбирать вещи, смотреть, как они устроены. Так что окей, спасибо, я не против, я хакер. Я честно скажу, что меня не интересуют данные пользователей. И вообще, все телефоны можно собрать только в течение месяцев шести, это довольно долгий процесс. За час можно получить где-то 300 телефонов. То есть мошенникам потребовалось бы около 10 тысяч часов, чтобы расшифровать три миллиона номеров
— Владимир Серов.
После того, как начался скандал, "Максима" связалась с ним, попросила удалить пост и предложила занять один из постов, связанных с безопасностью пассажиров. Правда, парня это вообще не заинтересовало.
А вот официаильно MaximaTelecom считает, что все произошедшее - полная фигня.
"Рядовому пользователю такие действия не под силу, а массовых атак подобного рода мы не фиксировали".
На всякий случай напомним, что Facebook тоже не фиксировал никаких массовых атак на протяжении нескольких лет, только вот данные 90 миллионов пользователей все-таки утекли.