Компания «МаксимаТелеком», оператор сети бесплатного Wi-Fi в московском метро, усилит меры по защите персональных данных пользователей и изменит систему авторизации после сообщений ряда СМИ об утечке и неправомерном присвоении данных, сообщает ТАСС со ссылкой на пресс-службу компании.
Речь идет об уязвимости, которую обнаружил московский программист Владимир Серов, о чем рассказало издание The Village. По его данным, «МаксимаТелеком» хранил данные своих пользователей в незашифрованном виде, из-за чего доступ к ним мог получить любой человек. Уязвимость позволяла любому получить номера телефонов всех подключенных пассажиров поезда, а также примерный возраст, пол, семейное положение и достаток пользователей. Кроме того, разработчик написал скрипт, позволяющий отслеживать передвижение по подземке конкретного абонента, если он подключен к сети MT_FREE.
После резонанса в СМИ оператор заявил об устранении ошибки и переработке системы авторизации. «МаксимаТелеком» зашифровал номер телефона, а остальные данные остаются открытыми до сих пор. Предположительно, личные данные были доступны уже больше года.
В пресс-службе «МаксимаТелеком» отметили:
Уязвимость, о которой идет речь была устранена несколько недель назад, после появления статьи на отраслевом ресурсе. Подчеркнем, что автор ранее не обращался напрямую к компании. Мы сразу зашифровали передачу профильных данных (таких как номер телефона, пол, возрастная группа и пр.). До доработки системы авторизации мы выключили хранение данных о перемещении пользователей между станциями метро. Таким образом исчезла возможность трекинга пользователей хакерами. Утечка, о которой сообщают СМИ, — это база, которую собрал лично Владимир Серов в момента наличия уязвимости. Эта база составляет пять профилей — самого Владимира и его друзей.
О существовании аналогичных баз нам неизвестно. Однако мы подчеркиваем, анализировать профильные данные других пользователей можно было исключительно при подмене MAC-адреса и отправке запроса к порталу непосредственно в сети MT_FREE. Дешифровать уже зашифрованные данные статистическим методом и сопоставить с номером телефона возможно, если злоумышленник располагает ранее украденной у нас информацией о номерах телефонов абонентов
Идентификация абонентов в любых сетях происходит с использованием MAC-адресов, что отвечает требованиям постановления № 801
Мы продолжаем принимать срочные меры для исключения неправомерного присвоения абонентских данных. Основные усилия сосредоточены на полной переработке системы авторизации, исключающей атаки с подменой адреса устройства. Для того, чтобы улучшить безопасность сервиса, мы призываем сообщать о найденных уязвимостях на[email protected] и гарантируем, что сообщения на эту линию не останутся без внимания.
По собственным данным оператора, в сети бесплатного интернета MT_FREE идентифицированы номера телефонов более чем 12 миллионов пользователей. Ежедневная аудитория оператора в метро составляет до 1,5 миллиона уникальных пользователей, около 150 тысяч пользователей из них покупают пакеты для отключения рекламы.