Программист Владимир Серов обнаружил уязвимость в сервисе бесплатного Wi-Fi московского метро, из-за которых персональные данные пользователи оказались незашифрованными и в открытом доступе.
Данные миллионов людей, которые пользовались Wi-Fi в столичном метро, попали в открытый доступ. Об этом сообщил программист Владимир Серов, обнаруживший уязвимость в сервисе.
Как выяснил специалист, не менее года возникшая «дыра» давала возможность любому человеку получить информацию о всех пассажирах поезда, которые подключались к сети MT_FREE, пишет Lenta.ru со ссылкой на The Village.
По словам программиста, в открытом доступе оказались сведения о возрасте и половой принадлежности пользователей, их семейном положении, достатке, а также номера телефонов и названия станций метро, вблизи которых находятся их дома и рабочие места. Вся эта информация была привязана к MAC-адресу пользователя, пояснил Серов.
Перечисленные данные необходимы для того, чтобы показывать пользователям потенциально интересную для них рекламу, всплывающую при подключении к Wi-Fi, уточнил собеседник издания. Несмотря на отсутствие фамилий и имен в перечне полученных сведений, привязка номера телефона к MAC-адресам все равно несет в себе некоторую опасность, ведь зная его, можно посмотреть, что по нему выдает страница авторизации Wi-Fi.
После того, как программист нашел эту уязвимость, он сообщил о ней на портал Mos.ru, в связи с отсутствием «нормальной техподдержки» у оператора Wi-Fi в метро – компании «МаксимаТелеком». Не получив ответа, Владимир Серов решил поделиться этой информацией с другими, разместив в сети соответствующий пост, где желающие могли получить данные пользователей Wi-Fi в удобном формате. Кроме того, программист написал скрипт, дающий возможность следить за перемещением абонента в метро.
После этого представители компании «МаксимаТелеком» связались с программистом, требуя удалить публикацию. Однако Серов отказался сделать это: по его мнению, компании было известно о существующей проблеме, но они продолжали сознательно нарушать правила работы с персональными данными.
