В сервисе бесплатного Wi-Fi московского метро, который предоставляется компанией «МаксимаТелеком» обнаружена серьёзная уязвимость. Она позволяет любому желающему получать номера телефонов подключенных пользователей, а также возраст, пол, семейное положение и прочие данные. Об этом пишет издание The Village.
Уязвимость раскрыл программист и разработчик Android-приложений Владимир Серов. Он заметил, что в коде страницы авторизации содержатся незашифрованные пользовательские данные, привязанные к MAC-адресу устройства. Если сменить этот адрес, то можно увидеть чужую информацию. Сделать это очень просто. К тому же с помощью сторонних программ можно просканировать MAC-адреса активных Wi-Fi-устройств поблизости. В качестве эксперимента Владимир Серов написал скрипт, который позволял отслеживать передвижения конкретного пользователя в метро, если он подключился к Wi-Fi.
После публикации информации об уязвимости на профильном ресурсе «Хабрахабр», «МаксимаТелеком» в срочном порядке зашифровала номера телефонов пользователей, но Серов считает, что проблема по-прежнему осталась, ведь остальные данные остались в открытом доступе. По его словам, разработчики знали об этом, компания просто сэкономила на загрузке серверов.
«Мы принимаем срочные меры для исключения неправомерного присвоения абонентских данных. Основные усилия сосредоточены на полной переработке системы авторизации, исключающей атаки с подменой адреса устройства», — Анастасия Самойлова, представитель «МаксимаТелеком».
Компания «МаксимаТелеком» обеспечивает доступ к бесплатному Wi-Fi в московском метро, в «Аэроэкспрессах», на Московском центральном кольце, в некоторых пригородных электричках, а с 2017 года предоставляет аналогичные услуги в Петербургском метрополитене. По некоторым данным, в конце 2016 года в сети MT_FREE насчитывалось более 12 млн зарегистрированных пользователей.
