09 апреля 2018, 20:04

Обнаруживший уязвимость в Wi‐Fi метро программист рассказал, что утечка данных все еще возможна

Программист рассказал, что в один из дней он просто ехал в метро и обратил внимание на страницу авторизации. Оказалось, что данные пользователей отдавались в открытом виде. Любому человеку были доступны телефон, пол, примерный возраст, примерные местоположение и место жительства, место работы, увлечения. Эта информация, по словам Серова, передавалась в addfox, чтобы делать таргетированную рекламу. Владимир отметил, что техника сейчас позволяет представиться другим пользователем и забрать его данные. Отследить других пользователей в Сети также не составляет большого труда, для этого существуют определенные программы.

После того, как я обнаружил слив информации, я написал небольшую заметку для MaximaTelecom (площадка, поставляющая рекламу для метро — прим. ред.), в которой рассказал, в чем уязвимость, как ее устранить и почему это важно. Я не уверен, что она дошла. Но я хочу сказать, что этой уязвимости вообще не должно было быть изначально. Когда они узнали об уязвимости в последний миг, они зашифровали данные. Но проблема в том, что они использовали такой шифр, который для всех одинаковый. С помощью небольшой математики можно было расшифровать их, даже особо не расшифровывая. Скажем, пол зашифрован одной строкой данных. И эта строка будет одинаковая для мужчин и одинаковая для женщин. Так же можно сделать практически с любыми данными. Они не учли этого и, похоже, не собирались учитывать даже после того, как я в заметке им об этом сказал — Владимир Серов.

Программист заявил, что слив данных пользователей — это исключительная халатность разработчиков MaximaTelecom. «Такого нет нигде. Нигде за свою жизнь я не видел, чтобы данные для рекламы отдавались юзеру. Обычно тебе просто дается ссылка на рекламу, но никаких данных. Учитывая, сколько времени эта уязвимость была, это около года, с прошлого мая, это довольно жуткая утечка данных», — Владимир Серов.

Узнав о том, что в MaximaTelecom его называют хакером, Владимир искренне удивился. Улыбнувшись, молодой человек рассказал, что считает это слово комплиментом, однако пользоваться данными не собирался.

Честно говоря, лет до 16 я думал, что хакеры — это плохо. После 16 лет я узнал, что «хакеры» — это довольно хорошее слово, потому что они любят разбирать вещи, смотреть, как они устроены. Так что окей, спасибо, я не против, я хакер. Я честно скажу, что меня не интересуют данные пользователей. И вообще, все телефоны можно собрать только в течение месяцев шести, это довольно долгий процесс. За час можно получить где-то 300 телефонов. То есть мошенникам потребовалось бы около 10 тысяч часов, чтобы расшифровать три миллиона номеров — Владимир Серов.

По словам молодого программиста, в Wi-Fi московского метро и сейчас можно получить данные. «Это не будут данные какого-то конкретного пользователя, но тем не менее с помощью них можно расшифровать весь их странный процесс шифрования, который у нормальных разработчиков называется обфускацией. Говоря проще, обфускация — это когда ты прячешь, а не шифруешь», — подытожил Серов.

Ранее хакеры парализовали работу нескольких российских СМИ. В результате виртуального нападения была приостановлена работа дата-центров.