Оператор «МаксимаТелеком», который обеспечивает бесплатный Wi-Fi в метрополитене Москвы, допустил утечку данных пассажиров, подключавшихся к сети. Уязвимость открывала доступ к полным номерам телефонов и информации о владельцах устройств, включая возрастную группу, пол, семейное положение, уровень доходов и список станций, где пользователь бывает чаще всего. Утечку в середине марта 2018 года обнаружил и описал в блоге на «Хабрахабр» Android-разработчик Владимир Серов.
Программист создал скрипт для сбора MAC-адресов устройств и смог получить номера телефонов и цифровой профиль пользователей, подключавшихся к Wi-Fi в московском метро. Данные в открытом виде содержались в коде страницы авторизации.
Незашифрованные данные пользователей, предположительно, оставались под угрозой минимум в течение года. По состоянию на конец 2016 года, количество пользователей в сетях «МаксимаТелеком» превысило 12 млн, уточняет The Village.
Специалисты «МаксимаТелеком» устранили проблему сразу после публикации программиста, а именно настроили шифрование данных и отключили хранение данных о перемещениях между станциями, чтобы исключить возможность следить за маршрутами пользователей. В компании рассказали, что планируют полностью переработать систему авторизации, чтобы закрыть возможность атак с подменой адресов устройств.
В компании подчеркнули также, что Владимиру Серову удалось собрать информацию о профилях пяти пользователей, включая самого программиста и его друзей. О других удачных попытках эксплуатации уязвимости и собранных базах «МаксимаТелеком» ничего не известно. Поэтому называть инцидент крупной утечкой по меньшей мере некорректно.
Удалить пост на «Хабрахабр» по просьбе компании программист отказался.
«Все это время компания была в курсе, что нарушает банальные правила безопасности работы с подобными данными — и не только отдавала (и отдает) их пользователю, что невиданно, но и делает это по незашифрованному каналу в открытой сети. И почему я должен молчать о том, что с моими личными данными так обращаются?» – цитирует Владимира Серова The Village.
Сookie-файл — текстовый файл, сохраненный в браузере компьютера (мобильного устройства)
пользователя интернет-сайта при его посещении пользователем для отражения совершенных
им действий, используемые для обеспечения или повышения работоспособности сайтов,
а также для получения аналитической информации.
С перечнем обрабатываемых cookie-файлов можно ознакомиться в
Политике обработки cookie-файлов Searchinform.
Файлы, осуществляющие хранение информации для обеспечения функционирования веб-ресурсов, информацию о выборе пользователя относительно принятия/отклонения cookie-файлов и не использующие какую-либо информацию о пользователе, которая может быть использована в маркетинговых целях или для учета посещаемых сайтов в сети Интернет.
Файлы, осуществляющие хранение информации о выборе пользователя. СёрчИнформ не устанавливает функциональные cookie, однако мы подключаем сервисы предоставляющие шрифты и карты, которые устанавливают собственные cookie. В случае отключения данного вида мы заблокируем данные сервисы, что повлечет изменение шрифта и перестанет работать карта.
Файлы, предназначенные для оценки работы веб-ресурсов и осуществляющие хранение информации о пользовательских предпочтениях и наиболее просматриваемых страницах веб-ресурса. СёрчИнформ не устанавливает аналитические cookie, однако мы подключаем сервисы предоставляющие шрифты и карты, которые устанавливают собственные cookie. В случае отключения данного вида мы заблокируем данные сервисы, что повлечет изменение шрифта и перестанет работать карта.
Чтобы продолжить регистрацию, пожалуйста, разрешите обработку функциональных файлов cookie
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных
