Программист Владимир Серов сообщил об обнаружении уязвимости, которая позволяет увидеть данные о «цифровом портрете» пользователей интернета в метро Москвы и Петербурга. Компания «Максима Телеком», являющаяся оператором Wi-Fi в общественном транспорте, признала факт наличия уязвимости.
Уязвимость была обнаружена в публично доступном коде страницы авторизации в сети «МаксимаТелеком» (MT_FREE). В коде содержались пользовательские данные – номер телефона, примерный возраст, пол, семейное положение, место, где предположительно живет и работает юзер, станция, на которой он в данный момент находится.
«МаксимаТелеком» составляет цифровые портреты пользователей для выдачи таргетированной рекламы. Серов отметил, что при помощи программы для сбора MAC-адресов находящихся вокруг устройств можно собрать около тысячи таких адресов за пару станций метро, а затем, подменяя свой MAC-адрес, выгружать данные об этих пользователях со страницы авторизации.
Программист добавил, что сначала обратился к «знакомым разработчикам в mos.ru», так как у «МаксимыТелеком» «нормальной техподдержки нет», после чего опубликовал пост об уязвимости, а затем написал алгоритм, который позволял выгружать данные в удобном виде, и начал «веселиться с читателями».
Через несколько часов после публикации «МаксимаТелеком» начала шифровать данные. Однако программист уверен, что код все равно доступен для расшифровки. В компании заверяют, что проблему устранили шифрованием «с солью». Кроме того, сейчас специалисты «МаксимыТелеком» работают над исключением атак с подменой MAC-адреса.
Источник: Хабрахабр