Рубрика развивается при поддержке
Advertisement

Главное об утечке данных пользователей Wi-Fi в московском метро Статьи редакции

«Цифровые портреты» пассажиров мог узнать любой человек, власти на это не реагировали, а оператор всё же отключил «хранение данных».

Московский разработчик обнаружил, что оператор Wi-Fi в столичном метро «МаксимаТелеком» хранил данные своих пользователей в незашифрованном виде, из-за чего доступ к ним мог получить любой человек. Предположительно, уязвимость действовала больше года. Только после резонанса в СМИ оператор заявил об устранении ошибки и переработке системы авторизации.

В московском метро собирают данные для таргетинга

Wi-Fi в московском метро обслуживает оператор «МаксимаТелеком». По собственным данным компании, в сети бесплатного интернета MT_FREE идентифицированы номера телефонов более чем 12 миллионов пользователей. Ежедневная аудитория оператора в метро составляет до 1,5 миллиона уникальных пользователей, около 150 тысяч пользователей из них покупают пакеты для отключения рекламы.

Конфиденциальные данные пользователей Wi-Fi в метро передаются в зашифрованном виде, заверял совладелец «МаксимаТелеком» Алекс Крихели. Он же называл эти сведения «уникальным богатством» оператора и признавался, что они используются для таргетирования рекламы.

Разработчик обнаружил, что оператор Wi-Fi поставил данные пользователей под угрозу

Чтобы использовать бесплатный Wi-Fi в московском метро, нужно ввести номер телефона или данные аккаунта на Госуслугах на странице авторизации сети (auth.wi-fi.ru). Эта страница открывается автоматически при подключении к сети, и если пользователь не обладает платной подпиской, то содержит рекламный блок, в котором настроен таргетинг.

В сети Wi-Fi московского метро данные пассажира, которые образуют «цифровой портрет», привязаны к MAC-адресу устройства. Такой портрет — это пол, примерный возраст, семейное положение, станции с предположительно домом и работой, а также достаток. Закон о персональных данных запрещает оператору хранить имена и фамилии, кроме того, вся персональная информация должна храниться в зашифрованном виде.

В начале марта Android-разработчик Владимир Серов опубликовал исследование кода страницы авторизации, в котором он пришёл к выводу, что номер телефона и другие данные пользователей сети Wi-Fi не были зашифрованы. Любой пассажир метро мог это проверить, открыв код страницы и взглянув на фрагмент после userdata.

Фактически любой человек мог собирать базу пассажиров московского метро для своих целей.

Для доступа к «цифровому портрету» любого пассажира достаточно было узнать чужой MAC-адрес и подменить его на свой или любой другой. Узнать MAC-адреса устройств в виде готовых списков реально: Серов привёл пример, как всего за две станции с помощью программы Airodump-ng собрал «тысячу работающих маков и посмотрел по ним социологию».

Разработчик упростил задачу и для избавления от ручного перебора MAC-адресов сделал скрипт. Программа позволила не только получать данные пассажиров, но и отслеживать их передвижения в режиме реального времени.

Таблица Серова с расшифрованными значениями «цифрового портрета»

Уязвимость работала больше года

5 марта Серов пожаловался на уязвимость через портал московской мэрии mos.ru, «потому что у „МаксимаТелеком“ нормальной техподдержки нет». Он не получил ответа и спустя неделю, 13 марта, рассказал о ситуации на «Хабрахабре».

Через два часа после публикации Серова номера телефонов в сети MT_FREE стали шифровать при передаче, чтобы исключить возможность их утечки. Судя по обновлениям в посте на «Хабрахабре», в последующие несколько дней оператор пытался изменить систему безопасности.

Разработчик заявил, что код всё равно остался доступным для дешифровки. 9 апреля он рассказал изданию The Village, что данные пассажиров московского метро до сих пор находятся под угрозой. Напрямую к «Максимателеком» Серов не обращался, что позднее признал «тупым» решением.

Уязвимость работала в сети Wi-Fi московского метро как минимум с 17 марта 2017 года, обнаружил The Village, изучив код страницы авторизации через её архивную копию в сервисе Wayback Machine.

Оператор отреагировал спустя месяц после рассказа об уязвимости

Сначала представители «МаксимаТелеком» попросили Серова удалить публикацию на «Хабрахабре», но тот отказал: «И почему я должен молчать о том, что с моими личными данными так обращаются?». Разработчик также не согласился добавить в свой пост официальный комментарий оператора.

9 апреля «МаксимаТелеком» в разговоре с TJ признала факт уязвимости. Компания «выключила хранение данных» о перемещении пользователей между станциями и, по её данным, исключила возможность трекинга пассажиров. Неизвестно, сколько номеров пользователей были доступны всё это время.

«МаксимаТелеком» намерена переработать систему авторизации так, чтобы было невозможно узнать чужие данные с помощью подмены MAC-адреса устройства. Пока этого не сделано, данные о трекинге будут отключены.

По сведениям «МаксимаТелеком», масштабной утечки данных пользователей удалось избежать. Единственное исключение — база, которую собрал лично Серов, о других оператору «неизвестно». О том, что теперь будет с этой базой, не упоминалось. Массовых атак такого рода компания не зафиксировала.

Дешифровать уже зашифрованные данные статистическим методом и сопоставить с номером телефона возможно, если злоумышленник располагает ранее украденной у нас информацией о номерах телефонов абонентов.

«МаксимаТелеком»
0
85 комментариев
Популярные
По порядку
Написать комментарий...
Социологический бас

Комментарий удален по просьбе пользователя

40
Социологический бас

Причем там не только номера телефонов, но и паспортов.

1
Социологический бас

По сведениям «МаксимаТелеком», масштабной утечки данных пользователей удалось избежать. Единственное исключение — база, которую собрал лично Серов, о других оператору «неизвестно».

Если вы не знаете о краже данных, то её как бы и не было.

22
Социологический бас

What if we don’t get hacked due to our amazing security? (c) Tmobile austria.

3
Социологический бас

вся персональная информация должна храниться в зашифрованном виде

зашифрованном

9
Социологический бас

Сочувствую тем, кто вынужден часто бывать в метро Москвы. Сочувтсвую, тем, кто мечтает жить в Москве. Сочувствую себе, что пока не събался из Москвы.

6
Социологический бас

Можно подробнее? Просто я рассматриваю Москву как город для жизни

0
Социологический бас

По своему опыту могу сказать следующее.

Москва - это горд для зарабатывания денег. Жить - именно жить, а не выживать - тут можно только начиная от 100-150к в месяц на одного-двоих.
Если есть ребёнок, то нужен доход от 200к.
Тогда ты сможешь себе позволить покупать нормальные продукты в нормальных магазинах, лечиться в платных поликлиниках (потому что в бесплатных беспросветный пиздец), будешь иметь (при желании, конечно) машину среднего класса и сможешь раз в год выбираться в недорогую заграницу.

Но при этом ты будешь дышать этим сильно загрязнённым воздухом, жить в большом, шумном, грязном городе. Сразу перебраться в центральную часть ты вряд ли сможешь, а это значит, что скорее всего будешь жить на окраине города, где мин стоимость аренды нормальной не убитой и обставленной однушки - 30-35 тыс плюс коммуналка в 3-7 к. Ну и жизнь на окраине часто означает выше уровень преступности, наркомании, алкоголизма. Под окнами будут шнырять нарки в поисках закладки, ночами будут орать и врубать музло пьяные пидарасы.

Общественный транспорт переполнен, ездить на метро в час пик очень тяжело психологически, сильная давка, агрессия, пот.

Часто путь до работы занимает 1-1.5 часа. Бывает и больше.

Но да, инфраструктура в целом крутая. Почти везде всегда можно найти круглосуточные магазин или аптеку, много больших тц с развлечениями. Много ресторанов и пабов, но подавляющее большинство расположено в центре. На окраинах их нет, либо есть, но очень плохонькие, где зависают синяки.

Поэтому я строю дом в Подмосковье и поэтому я хочу жить там и по возможности перейти на удаленную работу. Там воздух - им можно дышать, его не видно, он имеет свой запах цветов и трав, он чистый. Там меньше болеешь, там чище продукты и можно самому их выращивать. Там в получасе езды на машине по пустой дороге немаленький город, где можно найти почти все то же, что есть в Москве. Но только дешевле.

11
Социологический бас

блин, про наркоманов, которые под окнами ищут закладки - у меня первый этаж и по утрам за чашкой кофе частенько наблюдаю шоу "найди закладку". сомневаюсь, что о таком виде из окна я мечтала переезжая в Москву...

1
Социологический бас

Друг мой, я тебе готов ответить на все вопросы и открыть ужасы жизни здесь. Из какого города ты планируешь переехать в Москву?

1
Социологический бас

Из города с населением ~600 тыс человек

1
Социологический бас

Вопрос очень обширный,минимум 10 тысяч знаков текста написать для размышления (может даже топик создам тут, хоть что-то полезное от меня будет). То, что главное. Сколько тебе лет? Молодым до 27-30 тут можно потусоваться. Что ты хочешь от жизни? Кем планируешь работать? Тут меня просто распирает всё, не понимаю, почему люди из городов меньше миллионника едут в Москву - это также по сложности как уехать в другую страну. В МСК нормально живется от 100к дохода на одного. В рамках этой ветки уместны просто вопрос - мой ответ глядя на жизнь тут. Ну самый простой пример: В Москве на общественном транспорте - полная жопа, и на машине. Ой мама-мия, столько всего тут можно сказать. Кто из Москвы и кому за 30 (мне 31), поймут.

8
Социологический бас

Товарищ. Мы с тобой про город говорили, а ты на деньги в кармане перешёл. Пробки, открою секрет, в определённое время есть уже давно везде, не только в Москве. Обсуждение города это в первую очередь инфраструктура, затем экология, качество жизни, процент ума, процент алкашей, качество медицины, транспортные развязки и так далее

4
Социологический бас

Ну на машине жопа хотя бы комфортная!

0
Социологический бас

Ну хуй знает комфортно ли в пробке сидеть шесть часов в день.

8
Социологический бас

Да, у меня одноклассник встаёт в 6, херачит по пустой трассе 30 минут, покупает кофе и завтрак, потом ещё час в машине спит. И на работу. Хотя 150к зарабатывает, много лет карьеру строил, живёт в трёшке с женой, двумя дочерьми и родителями. Раз в год - Турция или Европа на недельку.

2
Социологический бас

Комментарий удален по просьбе пользователя

4
Социологический бас

Зашибись жизнь - вставать в 6, чтобы избежать пробок, получать 150 к и их хватает только на 1 раз в год в Турцию

1
Социологический бас

Комментарий удален по просьбе пользователя

2
Социологический бас

Ты родился тут или переехал?

0
Социологический бас

Комментарий удален по просьбе пользователя

0
Социологический бас

От многих вещей всё зависит, да индивидуально всё. Характер какой у человека, восприятие и вагоны мелких вещей. Про себя говоря: В Москве для меня нет никаких плюсов жизни тут. Я тут родился, до конца универа было пофигу, но потом с каждым годом мне тут все меньше нравится, точнее уже ничего не нравится. Единственное что держит - родственников много тут, каких-то любимых мест не будет хватать, друзья. А так у меня заработок по интернету, я не привязан сейчас к офису или дислокации - я к этому стремился, достаточно добился. Мне проще у моря жить, мне лично так проще. Размеренно. Единственное над чем работаю - не продать квартиру свою в Москве и всё-таки жениться и завести детей.

2
Социологический бас

Комментарий удален по просьбе пользователя

0
Социологический бас

Вахмурка моя в Иваново живёт) Надеюсь, что не проебу и успею всё организовать. Я тоже хотел сравнить Москву с Нью-Йорком, но я там не был, вообще в Штатах не был, сложно судить. Ну и то, что знаю о Штатах - не моё... У меня просто работа не зависит от места, поэтому, учитывая мою неудовлетворенность Москвой, я могу уехать. С Вахмуркой желательно протестить места новой дислокации. И даже, как не удивительно, рассматриваю мной любимый Крым). Просто по семейным обстоятельствам не могу сейчас никаких таких шагов предпринимать, почему - не спрашивай, личное.

0
Социологический бас

Комментарий удален по просьбе пользователя

1
Социологический бас

Возьми себя в руки, тряпка!

0
Социологический бас

Комментарий удален по просьбе пользователя

0
Социологический бас

Думаешь?

0
Социологический бас

Комментарий удален по просьбе пользователя

2
Социологический бас

Комментарий удален по просьбе пользователя

6
Социологический бас

Комментарий удален по просьбе пользователя

0
Социологический бас

Так в Москве на перегонах он тоже не работает, не надо свистеть.

17

Комментарий удален

Социологический бас

Комментарий удален по просьбе пользователя

0
Социологический бас

МТС в московском метро работает в пределах кольцевой линии и изредка на 2-3 станциях за кольцевой. Все, что дальше и под землёй - только на станциях и то, очень часто бывает показывает 3g или lte, а по факту инета нет вообще

2
Социологический бас

Комментарий удален по просьбе пользователя

1
Социологический бас

Хз, у меня почти везде работает 🤔

0
Социологический бас

Какая ветка?

0
Социологический бас

Основные: оранжевая, серая и салатовая. Конечные станции в том числе

0
Социологический бас

Значит там допилили. На этих ветках не был примерно год-два.
На синей и на фиолетовой (подземные части) до сих пор за кольцевой глушь

2
Социологический бас

Ну на них всегда все плохо. На фиолетовой вообще не до интернета, там бы выжить

0
Социологический бас

О, да. Хотя можно и поспать, пока тебя со всех сторон подпирают

0
Социологический бас

Есть прикольный тест: если ты смог поджать под груди ноги, и при этом не упал, ты на фиолетовой ветке. Я так делал, прикольно

5
Социологический бас

Комментарий удален по просьбе пользователя

0
Социологический бас

Мегафон работает. А вот вайфай в метро совсем нет, просто подключается к точке и все, скорость ровно 0.

0
Социологический бас

Комментарий удален по просьбе пользователя

0
Социологический бас

Хз, я в те края не гоняю. По красной ветке от ветеранов до центра норм, и от центра по синей ветке до Парнаса вроде тоже без проблем, но тут точно не скажу.

1
Социологический бас

У меня Мегафон работает где-то на 70% перегонов в Питере. Хуже всего в южной части города.

0
Социологический бас

Мы с вами, видимо, в разных вселеенных находимся. У йоты дела не столь плохи в плане доступа - где-то пропадает, но чаще 3г/4г есть. Интернет подземки же есть всегда со стабильной скоростью, которой хватает для мессенджеров/музыки/тытрУба.

0
Социологический бас

За всех не скажу, но в вагонах петербургского метро «МегаФон» работает примерно никак за редкими исключениями. Оператор Wi-Fi, если что, тот же.

1
Социологический бас

Комментарий удален по просьбе пользователя

0
Социологический бас

Да мегафон, объективно, один из лучших операторов. У мтс до сих пор LTE в городе медленный и с агрегацией каналов в основном туго, а цены при этом большие. У билайна такое хреновое покрытие, что чуть от города отъехав уже можно с нормальным инетом прощаться, зачастую.

Мегафон же дает самую высокую скорость и самое хорошее покрытие. МТС может еще с ним конкурировать, потому за городом бывают места, где он лучше ловит. Но по совокупности параметров мегафон однозначно веселее будет.

Сам как-то пользовался МТС все время. Но потом свалил на йоту, которая на сетях мегафона, и не жалею об этом. Да и о чем вообще можно жалеть с такими скоростями?

6
Социологический бас

объективно

В моем городе, в тех местах где я бываю.

Kek.
один из лучших операторов

Так их всего 4 (ну 5), лол.

3
Социологический бас

Ну я в городе много где бываю, везде отлично ловит.

0
Социологический бас

Спасибо, как раз думал о новом операторе. МТС заебал.

1
Социологический бас

Комментарий удален по просьбе пользователя

1
Социологический бас

Ну как-нибудь съезжу, конечно. Но по карте, по крайней мере, все неплохо.

0
Социологический бас

Комментарий удален по просьбе пользователя

0
Социологический бас

Комментарий удален по просьбе пользователя

0
Социологический бас

ЕЩЕ В КАМЕДИ КАЛАБЕ БЫЛА ШУТОЧКА, ЧТО ПОЛЬЗОВАТЕЛИ МЕГАФОН ДУМАЮТ, ЧТО ИХ ОПЕРАТОР НАЗЫВАЕТСЯ ”ПОИСК СЕТИ„ )))))))(

1
Социологический бас

о чем можно жалеть с такими скоростями?

О несчастной любви? О потраченном времени? О несбывшихся надеждах? О неправильном выборе?

0
Социологический бас

нет, сотрудник Tele2, так просто я на твою провокацию не поведусь

4
Социологический бас

Комментарий удален по просьбе пользователя

0
Социологический бас

18 марта ты так же говорил?

0
Социологический бас

Комментарий удален по просьбе пользователя

–1
Социологический бас

не вижу взаимосвязи

0
Социологический бас

Комментарий удален по просьбе пользователя

0
Социологический бас

Странно, у меня мегафон и работает норм...

0
Социологический бас

Каком-каком покрытии? Я опять ходячая погрешность, поди. YOTA на земле-то не работает, не то, что в метро.

1
Социологический бас

Комментарий удален по просьбе пользователя

0
Социологический бас

Отвечаешь?:)

0
Социологический бас

Комментарий удален по просьбе пользователя

0
Социологический бас

МТС на некоторой части (по ощущениям - все, что построено после 15 года и вся глубоководка) даёт приятное 3G, приятно напоминающее тебе о том, какой скорости был твой мобильный интернет в 2009 году

0
Социологический бас

Комментарий удален по просьбе пользователя

1
Социологический бас

Илюхер, я рад, что тебя радует, что кто-то даёт, но метрошный вайфай тоже даёт, причём делает это в 10 раз быстрее.

0
Социологический бас

Да всех предупреждали ещё когда этот вай-фай только запускали

3
Социологический бас

Ну вот как бы подали бы сейчас в суд пара тысяч граждан под руководством хитрых юристов — и конец этому телекому, а остальным урок. Но вы находитесь здесь.

2
Социологический бас

Комментарий удален по просьбе пользователя

1
Социологический бас

Заботливо сделали некликабельную рекламу на главной, а потом ещё и пару бонусных блоков с уникальной возможностью не авторизоваться, а быть выкинутым обратно на главную.

2
Социологический бас

Комментарий удален по просьбе пользователя

0
Социологический бас

я поначалу ждал когда эти блоки закончатся, но оказалось если перейти кликом по первому же блоку интернет даётся сразу, теперь не приходится ждать

2
Социологический бас

Комментарий удален по просьбе пользователя

1
Социологический бас

А потом стали рвать сессию, чтобы показать ещё одну рекламу

0
Социологический бас

Комментарий удален по просьбе пользователя

1
Социологический бас

Это нужно для рекламных скриптов для таргетинга. Они не додумались построить свой серверный распределитель рекламы, а положили все на плечи клиентских скриптов.

Обычно делается запрос на сервер, там он под юзера подбирает таргетированную рекламу и отдаёт скрипт для ее показа

Здесь же, как я понял из описания уязвимости на разных сайтах, скрипт на странице на основе сам решает какую рекламу показать.

5
Социологический бас

самое ебаное что до запуска "шайтан_free" работал мобильный инет отлично и 3g и lte как запустили все либо наш вайфай либо никак

–1
Читать все 85 комментариев
null