В марте 2018 года программист Владимир Серов обнаружил уязвимость в сети Wi-Fi московского метро, оператором которой является компания «МаксимаТелеком». С помощью этой уязвимости можно было получить данные 12 млн человек, которые зарегистрированы в сервисе. Об этом пишет The Village.
По словам Серова, компания не шифровала передаваемые данные и «цифровой портрет» пользователя — номер телефона, пол, возраст, семейное положение, зарплату, а также название станции, где человек подключался и отключался от сети. Программист отметил, что ему даже удалось написать скрипт, который в режиме реального времени позволяет отслеживать местоположение того или иного человека в метро, если он подключен к сети MT_FREE.
Издание пишет, что уязвимость в системе существовала как минимум с мая 2017 года. «МаксимаТелеком» зашифровала номер мобильного телефона только после появления заявления Серова в публичном доступе в марте 2018 года. При этом остальные данные до сих пор остаются открытыми, несмотря на заявление «МаксимаТелеком» о предотвращении ошибки.
IT-специалист Владислав Здольников прокомментировал, что уязвимость больше похожа на банальную некомпетентность создателей, чем на желание разгрузить серверы, о чем утверждает Серов.
После появления информации об утечке данных «МаксимаТелеком» объявила о смене алгоритма авторизации для пользования Wi-Fi. «Мы продолжаем принимать срочные меры для исключения неправомерного присвоения абонентских данных, основные усилия сосредоточены на полной переработке системы авторизации, исключающей атаки с подменой адреса устройства», — цитирует ТАСС представителей компании.