Программист обнаружил в бесплатном Wi-Fi московского метро уязвимость, позволяющую собирать личные данные пользователей
Программист Владимир Серов нашел уязвимость в сервисе бесплатного Wi-Fi московского метро, которая позволяет любому человеку получить личные данные всех пассажиров, подключенных к интернету. На колонку Серова, опубликованную в середине марта на сайте «Хабрахабр», обратил внимание The Village.
У всех устройств с Wi-Fi есть MAC-адрес — уникальный идентификатор, который вместе с телефонным номером используется для авторизации пользователей в сети MT_FREE, но который легко поменять на чужой. На странице авторизации автоматически открывается страница с рекламой, для персонализации которой используется таргетинг. Эти данные о пользователе, включая номер телефона, на странице авторизации никак не шифруется.
«Решил посмотреть, какие данные мне отдает страничка авторизации, и обнаружил кусок кода userdata: там совершенно открыто была перечислена информация, включая номер телефона, пол, примерный возраст, семейное положение, достаток, станции, где твои дом и работа, и все привязано к твоему MAC-адресу», — рассказывает Серов.
Также программист обнаружил возможность отследить передвижение пользователя по метро в режиме реального времени — через параметр current_station с индивидуальными цифровыми указателями станций.
После публикации номер телефона на странице авторизации скрыли; представители компании-оператора попросили удалить пост, но Серов отказался. При этом программист отмечает, что от подмены MAC-адреса защититься практически невозможно: прочие данные о пассажирах до сих пор можно получить, хотя формат представления информации изменен.