Оператор Wi-Fi рассказал об уязвимости сети в московском метро

Данная информация передается по необычайному номеру любого девайса, по сочетанию которого с номером телефона происходит регистрации устройства в системе. По последним данным, к началу зимы 2016 г в сетях компании «МаксимаТелеком» было зарегистрировано не менее 12 млн пользователей.

Программист объясняет, что узнать MAC человека можно при помощи утилиты airodump-ng, после в метро просто поменять собственный мак на мак того, чей номер нужен, и открыть страничку auth.wi-fi.ru.

Серов выяснил, что «МаксимаТелеком» сохраняет номера телефонов и цифровые портреты пользователей в открытом виде на странице авторизации и никак не шифрует эту информацию.

После выхода публикации The Village уполномоченные «МаксимаТелеком» сообщили, что усилят меры «по защите персональных данных пользователей».

Информацию опубликовало печатное издание The Village, ссылаясь на программиста Владимира Серова, который раскрыл утечку в начале весны.

Обнаружив уязвимость, Серов в тот же день проинформировал об этом на портал Mos.ru, так как у оператора Wi-Fi в метро — компании «МаксимаТелеком» — по его выражению, «нормальной техподдержки нет». Вся данная информация передавалась в addfox, чтобы делать таргетированную рекламу. «Сделал небольшой скрипт, который сам выгружал данные в комфортном виде», — дальше сказал программист.

Программист Серов, отследив уязвимость, написал еще и скрипт, который позволяет отслеживать перемещение по подземке определенного абонента, ежели он подключен к сети MT_FREE, — обычно такие технологии доступны только спецслужбам. Ответа заявитель не получил и спустя неделю, 13 марта, решил поделиться знанием на портале «Хабрахабр». Уязвимость существовала минимум с 17-го мая прошедшего года, однако программист нашел ее только некоторое количество дней назад. Неизвестно, сколько номеров пользователей были доступны всё это время. «Основные усилия сосредоточены на полной переработке системы авторизации, исключающей атаки с подменой адреса устройства», — добавили в «МаксимаТелекоме».

По достоверным сведениям на текущий момент «МаксимаТелеком», масштабной утечки данных пользователей удалось избежать.

Bookmark the permalink.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *