Оператор бесплатного Wi-Fi в метро допустил утечку данных пользователей

В марте была обнаружена уязвимость, допускающая получение данных о «цифровом портрете» интернет-пользователей в метро Москвы и Петербурга. Как сообщило издание The Village, оператор бесплатного Wi-Fi компания «МаксимаТелеком» признала факт наличия уязвимости.

Раскрыл уязвимость системы программист Владимир Серов, обнаружив в публично доступном коде страницы авторизации в сети «МаксимаТелеком» (MT_FREE), данные о пользователе – номер телефона, примерные возраст, пол, семейное положение, станции, где пользователь предположительно живет и работает, станция, на которой пользователь находится в реальном времени и другая информация, привязанная в системе «МаксимыТелеком» к MAC-адресу устройства, с которого пользователь подключается к сети.

«МаксимаТелеком» составляет и хранит такой цифровой портрет о каждом пользователе для выдачи таргетированной рекламы, на которой зарабатывает. По словам Серова, с помощью программы для сбора MAC-адресов находящихся вокруг устройств можно набрать тысячу таких адресов за пару станций метро и затем, подменяя свой MAC-адрес, выгружать данные об этих пользователях со страницы авторизации.

Программист опубликовал пост об уязвимости и написал алгоритм, позволяющий выгружать данные в удобном виде, а затем начал «веселиться с читателями».

«Уязвимость, о которой идет речь, была устранена несколько недель назад после появления статьи на отраслевом ресурсе. Мы сразу зашифровали передачу профильных данных, таких как номер телефона, пол, возрастная группа, а также выключили хранение данных о перемещении пользователей между станциями метро. Таким образом исчезла возможность трекинга пользователей хакерами. Мы продолжаем принимать срочные меры для исключения неправомерного присвоения абонентских данных, основные усилия сосредоточены на полной переработке системы авторизации, исключающей атаки с подменой адреса устройства», - сказал представитель «МаксимаТелеком».

Он подчеркнул, что утечка, о которой сообщают СМИ, это база, которую программист Владимир Серов собрал в момент наличия уязвимости.

«Основные усилия сосредоточены на полной переработке системы авторизации, исключающей атаки с подменой адреса устройства», – добавил представитель компании.

 

Источник: ТАСС
subscribe

Подпишитесь на рассылку SearchEngines

preview Mail.Ru Group запускает онлайн-сервис поиска и заказа лекарств «Все аптеки»

Mail.Ru Group запускает онлайн-сервис поиска и заказа лекарств «Все аптеки»

Новый сервис от Mail...
preview myTarget запустил премиальную аудиторную сеть

myTarget запустил премиальную аудиторную сеть

Рекламная платформа MyTarget запустила новый продукт – «Премиальная аудиторная сеть», доступный для закупки в аукционе myTarget...
preview Объем рынка онлайн-кинотеатров увеличился на 60%

Объем рынка онлайн-кинотеатров увеличился на 60%

Объем рынка онлайн-кинотеатров в 2017 г. увеличился сразу на 60% — до 7,7 млрд рублей, такие данные приводятся в исследовании компании «ТМТ Консалтинг»
preview Минфин РФ хочет ускорить процесс снижения порога беспошлинного ввоза товаров

Минфин РФ хочет ускорить процесс снижения порога беспошлинного ввоза товаров

Минфин РФ предложил с 1 июля текущего года снизить порог беспошлинной интернет-торговли вдвое — с $1000 до $500 евро. Это следует из проекта постановления правительства
preview AdWords представил новый инструмент Reach Planner

AdWords представил новый инструмент Reach Planner

Google AdWords запускает новый инструмент Reach Planner
preview Подготовлена новая редакция «законопроекта о Соцсетях»

Подготовлена новая редакция «законопроекта о Соцсетях»

Новая версия законопроекта об ответственности социальных сетей и мессенджеров за контент, предусматривает возможность их блокировки в случае отказа от удаления информации...