Рубрика развивается при поддержке
Advertisement

Главное об утечке данных пользователей Wi-Fi в московском метро Статьи редакции

«Цифровые портреты» пассажиров мог узнать любой человек, власти на это не реагировали, а оператор всё же отключил «хранение данных».

Московский разработчик обнаружил, что оператор Wi-Fi в столичном метро «МаксимаТелеком» хранил данные своих пользователей в незашифрованном виде, из-за чего доступ к ним мог получить любой человек. Предположительно, уязвимость действовала больше года. Только после резонанса в СМИ оператор заявил об устранении ошибки и переработке системы авторизации.

В московском метро собирают данные для таргетинга

Wi-Fi в московском метро обслуживает оператор «МаксимаТелеком». По собственным данным компании, в сети бесплатного интернета MT_FREE идентифицированы номера телефонов более чем 12 миллионов пользователей. Ежедневная аудитория оператора в метро составляет до 1,5 миллиона уникальных пользователей, около 150 тысяч пользователей из них покупают пакеты для отключения рекламы.

Конфиденциальные данные пользователей Wi-Fi в метро передаются в зашифрованном виде, заверял совладелец «МаксимаТелеком» Алекс Крихели. Он же называл эти сведения «уникальным богатством» оператора и признавался, что они используются для таргетирования рекламы.

Разработчик обнаружил, что оператор Wi-Fi поставил данные пользователей под угрозу

Чтобы использовать бесплатный Wi-Fi в московском метро, нужно ввести номер телефона или данные аккаунта на Госуслугах на странице авторизации сети (auth.wi-fi.ru). Эта страница открывается автоматически при подключении к сети, и если пользователь не обладает платной подпиской, то содержит рекламный блок, в котором настроен таргетинг.

В сети Wi-Fi московского метро данные пассажира, которые образуют «цифровой портрет», привязаны к MAC-адресу устройства. Такой портрет — это пол, примерный возраст, семейное положение, станции с предположительно домом и работой, а также достаток. Закон о персональных данных запрещает оператору хранить имена и фамилии, кроме того, вся персональная информация должна храниться в зашифрованном виде.

В начале марта Android-разработчик Владимир Серов опубликовал исследование кода страницы авторизации, в котором он пришёл к выводу, что номер телефона и другие данные пользователей сети Wi-Fi не были зашифрованы. Любой пассажир метро мог это проверить, открыв код страницы и взглянув на фрагмент после userdata.

Фактически любой человек мог собирать базу пассажиров московского метро для своих целей.

Для доступа к «цифровому портрету» любого пассажира достаточно было узнать чужой MAC-адрес и подменить его на свой или любой другой. Узнать MAC-адреса устройств в виде готовых списков реально: Серов привёл пример, как всего за две станции с помощью программы Airodump-ng собрал «тысячу работающих маков и посмотрел по ним социологию».

Разработчик упростил задачу и для избавления от ручного перебора MAC-адресов сделал скрипт. Программа позволила не только получать данные пассажиров, но и отслеживать их передвижения в режиме реального времени.

Таблица Серова с расшифрованными значениями «цифрового портрета»

Уязвимость работала больше года

5 марта Серов пожаловался на уязвимость через портал московской мэрии mos.ru, «потому что у „МаксимаТелеком“ нормальной техподдержки нет». Он не получил ответа и спустя неделю, 13 марта, рассказал о ситуации на «Хабрахабре».

Через два часа после публикации Серова номера телефонов в сети MT_FREE стали шифровать при передаче, чтобы исключить возможность их утечки. Судя по обновлениям в посте на «Хабрахабре», в последующие несколько дней оператор пытался изменить систему безопасности.

Разработчик заявил, что код всё равно остался доступным для дешифровки. 9 апреля он рассказал изданию The Village, что данные пассажиров московского метро до сих пор находятся под угрозой. Напрямую к «Максимателеком» Серов не обращался, что позднее признал «тупым» решением.

Уязвимость работала в сети Wi-Fi московского метро как минимум с 17 марта 2017 года, обнаружил The Village, изучив код страницы авторизации через её архивную копию в сервисе Wayback Machine.

Оператор отреагировал спустя месяц после рассказа об уязвимости

Сначала представители «МаксимаТелеком» попросили Серова удалить публикацию на «Хабрахабре», но тот отказал: «И почему я должен молчать о том, что с моими личными данными так обращаются?». Разработчик также не согласился добавить в свой пост официальный комментарий оператора.

9 апреля «МаксимаТелеком» в разговоре с TJ признала факт уязвимости. Компания «выключила хранение данных» о перемещении пользователей между станциями и, по её данным, исключила возможность трекинга пассажиров. Неизвестно, сколько номеров пользователей были доступны всё это время.

«МаксимаТелеком» намерена переработать систему авторизации так, чтобы было невозможно узнать чужие данные с помощью подмены MAC-адреса устройства. Пока этого не сделано, данные о трекинге будут отключены.

По сведениям «МаксимаТелеком», масштабной утечки данных пользователей удалось избежать. Единственное исключение — база, которую собрал лично Серов, о других оператору «неизвестно». О том, что теперь будет с этой базой, не упоминалось. Массовых атак такого рода компания не зафиксировала.

Дешифровать уже зашифрованные данные статистическим методом и сопоставить с номером телефона возможно, если злоумышленник располагает ранее украденной у нас информацией о номерах телефонов абонентов.

«МаксимаТелеком»
{ "author_name": "Сергей Звезда", "author_type": "editor", "tags": ["\u0440\u0430\u0437\u0431\u043e\u0440\u044b","\u043e\u043f\u0435\u0440\u0430\u0442\u043e\u0440\u044b","\u043c\u0435\u0442\u0440\u043e","\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c"], "comments": 85, "likes": 63, "favorites": 8, "is_advertisement": false, "subsite_label": "tech", "id": 68871, "is_wide": true, "is_ugc": false, "date": "Tue, 10 Apr 2018 00:27:00 +0300", "is_special": false }
0
85 комментариев
Популярные
По порядку
Написать комментарий...
Рыбный цвет

Комментарий удален по просьбе пользователя

40
Водный череп

Причем там не только номера телефонов, но и паспортов.

1
Испанский клуб

По сведениям «МаксимаТелеком», масштабной утечки данных пользователей удалось избежать. Единственное исключение — база, которую собрал лично Серов, о других оператору «неизвестно».

Если вы не знаете о краже данных, то её как бы и не было.

22
Городской шар

What if we don’t get hacked due to our amazing security? (c) Tmobile austria.

3
Классный историк

вся персональная информация должна храниться в зашифрованном виде

зашифрованном

9
Деревянный рубин

Сочувствую тем, кто вынужден часто бывать в метро Москвы. Сочувтсвую, тем, кто мечтает жить в Москве. Сочувствую себе, что пока не събался из Москвы.

6
Дружеский череп

Можно подробнее? Просто я рассматриваю Москву как город для жизни

0
Рыжий завод

По своему опыту могу сказать следующее.

Москва - это горд для зарабатывания денег. Жить - именно жить, а не выживать - тут можно только начиная от 100-150к в месяц на одного-двоих.
Если есть ребёнок, то нужен доход от 200к.
Тогда ты сможешь себе позволить покупать нормальные продукты в нормальных магазинах, лечиться в платных поликлиниках (потому что в бесплатных беспросветный пиздец), будешь иметь (при желании, конечно) машину среднего класса и сможешь раз в год выбираться в недорогую заграницу.

Но при этом ты будешь дышать этим сильно загрязнённым воздухом, жить в большом, шумном, грязном городе. Сразу перебраться в центральную часть ты вряд ли сможешь, а это значит, что скорее всего будешь жить на окраине города, где мин стоимость аренды нормальной не убитой и обставленной однушки - 30-35 тыс плюс коммуналка в 3-7 к. Ну и жизнь на окраине часто означает выше уровень преступности, наркомании, алкоголизма. Под окнами будут шнырять нарки в поисках закладки, ночами будут орать и врубать музло пьяные пидарасы.

Общественный транспорт переполнен, ездить на метро в час пик очень тяжело психологически, сильная давка, агрессия, пот.

Часто путь до работы занимает 1-1.5 часа. Бывает и больше.

Но да, инфраструктура в целом крутая. Почти везде всегда можно найти круглосуточные магазин или аптеку, много больших тц с развлечениями. Много ресторанов и пабов, но подавляющее большинство расположено в центре. На окраинах их нет, либо есть, но очень плохонькие, где зависают синяки.

Поэтому я строю дом в Подмосковье и поэтому я хочу жить там и по возможности перейти на удаленную работу. Там воздух - им можно дышать, его не видно, он имеет свой запах цветов и трав, он чистый. Там меньше болеешь, там чище продукты и можно самому их выращивать. Там в получасе езды на машине по пустой дороге немаленький город, где можно найти почти все то же, что есть в Москве. Но только дешевле.

11
Чудесный Женя

блин, про наркоманов, которые под окнами ищут закладки - у меня первый этаж и по утрам за чашкой кофе частенько наблюдаю шоу "найди закладку". сомневаюсь, что о таком виде из окна я мечтала переезжая в Москву...

1
Деревянный рубин

Друг мой, я тебе готов ответить на все вопросы и открыть ужасы жизни здесь. Из какого города ты планируешь переехать в Москву?

1
Дружеский череп

Из города с населением ~600 тыс человек

1
Деревянный рубин

Вопрос очень обширный,минимум 10 тысяч знаков текста написать для размышления (может даже топик создам тут, хоть что-то полезное от меня будет). То, что главное. Сколько тебе лет? Молодым до 27-30 тут можно потусоваться. Что ты хочешь от жизни? Кем планируешь работать? Тут меня просто распирает всё, не понимаю, почему люди из городов меньше миллионника едут в Москву - это также по сложности как уехать в другую страну. В МСК нормально живется от 100к дохода на одного. В рамках этой ветки уместны просто вопрос - мой ответ глядя на жизнь тут. Ну самый простой пример: В Москве на общественном транспорте - полная жопа, и на машине. Ой мама-мия, столько всего тут можно сказать. Кто из Москвы и кому за 30 (мне 31), поймут.

8
Дружеский череп

Товарищ. Мы с тобой про город говорили, а ты на деньги в кармане перешёл. Пробки, открою секрет, в определённое время есть уже давно везде, не только в Москве. Обсуждение города это в первую очередь инфраструктура, затем экология, качество жизни, процент ума, процент алкашей, качество медицины, транспортные развязки и так далее

4
Прикладной Данила

Ну на машине жопа хотя бы комфортная!

0
Убежденный утюг

Ну хуй знает комфортно ли в пробке сидеть шесть часов в день.

8
Деревянный рубин

Да, у меня одноклассник встаёт в 6, херачит по пустой трассе 30 минут, покупает кофе и завтрак, потом ещё час в машине спит. И на работу. Хотя 150к зарабатывает, много лет карьеру строил, живёт в трёшке с женой, двумя дочерьми и родителями. Раз в год - Турция или Европа на недельку.

2
Талантливый рубин

Комментарий удален по просьбе пользователя

4
Рыжий завод

Зашибись жизнь - вставать в 6, чтобы избежать пробок, получать 150 к и их хватает только на 1 раз в год в Турцию

1
Талантливый рубин

Комментарий удален по просьбе пользователя

2
Деревянный рубин

Ты родился тут или переехал?

0
Талантливый рубин

Комментарий удален по просьбе пользователя

0
Деревянный рубин

От многих вещей всё зависит, да индивидуально всё. Характер какой у человека, восприятие и вагоны мелких вещей. Про себя говоря: В Москве для меня нет никаких плюсов жизни тут. Я тут родился, до конца универа было пофигу, но потом с каждым годом мне тут все меньше нравится, точнее уже ничего не нравится. Единственное что держит - родственников много тут, каких-то любимых мест не будет хватать, друзья. А так у меня заработок по интернету, я не привязан сейчас к офису или дислокации - я к этому стремился, достаточно добился. Мне проще у моря жить, мне лично так проще. Размеренно. Единственное над чем работаю - не продать квартиру свою в Москве и всё-таки жениться и завести детей.

2
Талантливый рубин

Комментарий удален по просьбе пользователя

0
Деревянный рубин

Вахмурка моя в Иваново живёт) Надеюсь, что не проебу и успею всё организовать. Я тоже хотел сравнить Москву с Нью-Йорком, но я там не был, вообще в Штатах не был, сложно судить. Ну и то, что знаю о Штатах - не моё... У меня просто работа не зависит от места, поэтому, учитывая мою неудовлетворенность Москвой, я могу уехать. С Вахмуркой желательно протестить места новой дислокации. И даже, как не удивительно, рассматриваю мной любимый Крым). Просто по семейным обстоятельствам не могу сейчас никаких таких шагов предпринимать, почему - не спрашивай, личное.

0
Талантливый рубин

Комментарий удален по просьбе пользователя

1
Бледный утюг

Возьми себя в руки, тряпка!

0
Конкретный Слава

Комментарий удален по просьбе пользователя

0
Дружеский череп

Думаешь?

0
Конкретный Слава

Комментарий удален по просьбе пользователя

2
Успешный жар

Комментарий удален по просьбе пользователя

6
Конкретный Слава

Комментарий удален по просьбе пользователя

0
Законодательный диод

Так в Москве на перегонах он тоже не работает, не надо свистеть.

17

Комментарий удален

Конкретный Слава

Комментарий удален по просьбе пользователя

0
Рыжий завод

МТС в московском метро работает в пределах кольцевой линии и изредка на 2-3 станциях за кольцевой. Все, что дальше и под землёй - только на станциях и то, очень часто бывает показывает 3g или lte, а по факту инета нет вообще

2
Конкретный Слава

Комментарий удален по просьбе пользователя

1
Благополучный завод

Хз, у меня почти везде работает 🤔

0
Рыжий завод

Какая ветка?

0
Благополучный завод

Основные: оранжевая, серая и салатовая. Конечные станции в том числе

0
Рыжий завод

Значит там допилили. На этих ветках не был примерно год-два.
На синей и на фиолетовой (подземные части) до сих пор за кольцевой глушь

2
Благополучный завод

Ну на них всегда все плохо. На фиолетовой вообще не до интернета, там бы выжить

0
Рыжий завод

О, да. Хотя можно и поспать, пока тебя со всех сторон подпирают

0
Благополучный завод

Есть прикольный тест: если ты смог поджать под груди ноги, и при этом не упал, ты на фиолетовой ветке. Я так делал, прикольно

5
Успешный жар

Комментарий удален по просьбе пользователя

0
Заработный турник

Мегафон работает. А вот вайфай в метро совсем нет, просто подключается к точке и все, скорость ровно 0.

0
Успешный жар

Комментарий удален по просьбе пользователя

0
Заработный турник

Хз, я в те края не гоняю. По красной ветке от ветеранов до центра норм, и от центра по синей ветке до Парнаса вроде тоже без проблем, но тут точно не скажу.

1
Вероятный холод

У меня Мегафон работает где-то на 70% перегонов в Питере. Хуже всего в южной части города.

0
Книжный татарин

Мы с вами, видимо, в разных вселеенных находимся. У йоты дела не столь плохи в плане доступа - где-то пропадает, но чаще 3г/4г есть. Интернет подземки же есть всегда со стабильной скоростью, которой хватает для мессенджеров/музыки/тытрУба.

0
Частый украинец

За всех не скажу, но в вагонах петербургского метро «МегаФон» работает примерно никак за редкими исключениями. Оператор Wi-Fi, если что, тот же.

1
Конкретный Слава

Комментарий удален по просьбе пользователя

0
Аналогичный цветок

Да мегафон, объективно, один из лучших операторов. У мтс до сих пор LTE в городе медленный и с агрегацией каналов в основном туго, а цены при этом большие. У билайна такое хреновое покрытие, что чуть от города отъехав уже можно с нормальным инетом прощаться, зачастую.

Мегафон же дает самую высокую скорость и самое хорошее покрытие. МТС может еще с ним конкурировать, потому за городом бывают места, где он лучше ловит. Но по совокупности параметров мегафон однозначно веселее будет.

Сам как-то пользовался МТС все время. Но потом свалил на йоту, которая на сетях мегафона, и не жалею об этом. Да и о чем вообще можно жалеть с такими скоростями?

6
Компьютерный завод

объективно

В моем городе, в тех местах где я бываю.

Kek.
один из лучших операторов

Так их всего 4 (ну 5), лол.

3
Аналогичный цветок

Ну я в городе много где бываю, везде отлично ловит.

0
Убежденный утюг

Спасибо, как раз думал о новом операторе. МТС заебал.

1
Безопасный месяц

Советую приехать в Нижний Новгород и офигеть от количества мест В ГОРОДЕ, где мегафно показывает Е

1
Аналогичный цветок

Ну как-нибудь съезжу, конечно. Но по карте, по крайней мере, все неплохо.

0
Безопасный месяц

Карта наглым образом врёт. Там пятен в разы больше, чем нарисовано. У нас рядом с домом антенну поставили пол года назад, до того не было инета толком. Но на карте он, естественно, был

0
Конкретный Слава

Комментарий удален по просьбе пользователя

0
Призванный бокал

ЕЩЕ В КАМЕДИ КАЛАБЕ БЫЛА ШУТОЧКА, ЧТО ПОЛЬЗОВАТЕЛИ МЕГАФОН ДУМАЮТ, ЧТО ИХ ОПЕРАТОР НАЗЫВАЕТСЯ ”ПОИСК СЕТИ„ )))))))(

1
Благополучный завод

о чем можно жалеть с такими скоростями?

О несчастной любви? О потраченном времени? О несбывшихся надеждах? О неправильном выборе?

0
Частый украинец

нет, сотрудник Tele2, так просто я на твою провокацию не поведусь

4
Конкретный Слава

Комментарий удален по просьбе пользователя

0
Частый украинец

18 марта ты так же говорил?

0
Конкретный Слава

Комментарий удален по просьбе пользователя

–1
Частый украинец

не вижу взаимосвязи

0
Конкретный Слава

Комментарий удален по просьбе пользователя

0
Заработный турник

Странно, у меня мегафон и работает норм...

0
Морской чувак

Каком-каком покрытии? Я опять ходячая погрешность, поди. YOTA на земле-то не работает, не то, что в метро.

1
Конкретный Слава

Комментарий удален по просьбе пользователя

0
Морской чувак

Отвечаешь?:)

0
Конкретный Слава

Комментарий удален по просьбе пользователя

0
Испанский клуб

МТС на некоторой части (по ощущениям - все, что построено после 15 года и вся глубоководка) даёт приятное 3G, приятно напоминающее тебе о том, какой скорости был твой мобильный интернет в 2009 году

0
Конкретный Слава

Комментарий удален по просьбе пользователя

1
Испанский клуб

Илюхер, я рад, что тебя радует, что кто-то даёт, но метрошный вайфай тоже даёт, причём делает это в 10 раз быстрее.

0
Итальянский яд

Да всех предупреждали ещё когда этот вай-фай только запускали

3
Городской шар

Ну вот как бы подали бы сейчас в суд пара тысяч граждан под руководством хитрых юристов — и конец этому телекому, а остальным урок. Но вы находитесь здесь.

2
Талантливый рубин

Комментарий удален по просьбе пользователя

1
Теплый Кирилл

Заботливо сделали некликабельную рекламу на главной, а потом ещё и пару бонусных блоков с уникальной возможностью не авторизоваться, а быть выкинутым обратно на главную.

2
Рыбный цвет

Комментарий удален по просьбе пользователя

0
Школьный космос

я поначалу ждал когда эти блоки закончатся, но оказалось если перейти кликом по первому же блоку интернет даётся сразу, теперь не приходится ждать

2
Талантливый рубин

Комментарий удален по просьбе пользователя

1
Итальянский яд

А потом стали рвать сессию, чтобы показать ещё одну рекламу

0
Безопасный месяц

Кто-нибудь может объяснить, нахрена вообще юзеру отдавать инфу всю? Почему не тупо айпишник или вообще хэш сессии, а остальное на сервере?

1
Рыжий завод

Это нужно для рекламных скриптов для таргетинга. Они не додумались построить свой серверный распределитель рекламы, а положили все на плечи клиентских скриптов.

Обычно делается запрос на сервер, там он под юзера подбирает таргетированную рекламу и отдаёт скрипт для ее показа

Здесь же, как я понял из описания уязвимости на разных сайтах, скрипт на странице на основе сам решает какую рекламу показать.

5
Физический щит

самое ебаное что до запуска "шайтан_free" работал мобильный инет отлично и 3g и lte как запустили все либо наш вайфай либо никак

–1
Читать все 85 комментариев
null