NEWSmsk.com: Московские новости ]]>NEWSru.com]]>
14
ноября
pda
Поиск
Архив

В сервисе бесплатного Wi-Fi в метро нашли крупную уязвимость, позволяющую отследить более 10 миллионов телефонов
9 апреля 2018 г. | Время публикации 16:14 | Последние изменения 19:35
Рубрики: Общество  
 
В сервисе бесплатного Wi-Fi московского метро обнаружилась крупнейшая уязвимость, которая минимум около года позволяла получать данные миллионов пользователей сети, привязанные к номеру телефона. Сами номера тоже не были зашифрованы. Такая информация позволяет отследить не только "цифровой портрет" человека, но и его передвижения, пишет The Village.

Уязвимость обнаружил в начале марта программист Владимир Серов, но существовать она могла как минимум с 17 мая 2017 года. Серов выяснил, что номер телефона на странице авторизации в сети Wi-Fi и цифровой портрет пользователей - примерный возраст, пол, семейное положение, достаток, станции, на которых человек живет и работает - никак не шифруются. Серов сообщил об этом разработчикам с сайта мэрии Москвы, а через неделю, не дождавшись ответа, рассказал о "дыре" на специализированном сайте "Хабрахабр".

Оператор Wi-Fi полностью изменит алгоритм авторизации

Кроме того, программист с помощью простейшего скрипта смог отследить передвижение другого человека по метро в режиме реального времени. Обычно такие технологии доступны только спецслужбам. Оператор Wi-Fi в метро "МаксимаТелеком" зашифровала номера телефонов в течение суток после того, как об уязвимости стало известно публично, но другие данные открыты до сих пор. Пункты цифрового портрета просто заменили на случайный, но статичный набор символов. Имея такую базу, можно потенциально отследить более 10 миллионов телефонов.

Представитель "МаксимаТелеком" Анастасия Самойлова сообщила, что после вмешательства компании дешифровать профильные данные статистическим методом и сопоставить их с номером телефона можно, "если злоумышленник располагает ранее украденной у нас информацией о номерах телефонов абонентов". По словам Самойловой, оператор принимает срочные меры, чтобы исключить неправомерное присвоение абонентских данных.

При этом она отметила, что российские законы не предъявляют требований к защите данных, которые хранятся в профиле пользователя сети. Сама база создается "для нужд бизнеса компании", а ее кража может рассматриваться как нарушение статьи 272 УК РФ (Неправомерный доступ к компьютерной информации), объяснила представитель "МаксимаТелеком".

The Village отмечает, что любой пользователь Wi-Fi в метро может проверить, какой цифровой портрет о нем сохранился в сети, и публикует подробный алгоритм проверки. По мнению Серова, разработчики допустили уязвимость, чтобы сэкономить на загрузке серверов "МаксимаТелеком". IT-консультант Фонда борьбы с коррупцией Владислав Здольников считает, что речь идет скорее о некомпетентности. "Отдельно возмущает то, что компания после публикации уязвимости не срочно отключила выдачу аналитики и перестала переделывать этот механизм, а просто заменила значения, которые уже расшифрованы", заключил специалист.
Twitter
facebook



Пробки в Москве
Баллы по шкале Яндекс.Пробок
18.03.2019   15:25
3
10:00 11:00 12:00 13:00 14:00