facebook_pixel
  • 09 апреля 2018, 20:04

    Обнаруживший уязвимость в Wi‐Fi метро программист рассказал, что утечка данных все еще возможна

    Данные, которые пассажиры московского метрополитена передают местной Wi‐Fi сети на протяжении года были доступны любому человеку, об этом заявил программист Владимир Серов. В беседе с «360» молодой человек рассказал, как обнаружил утечку, и чем это грозит обычному пользователю.

    Обнаруживший уязвимость в Wi‐Fi метро программист рассказал, что утечка данных все еще возможна

    Программист рассказал, что в один из дней он просто ехал в метро и обратил внимание на страницу авторизации. Оказалось, что данные пользователей отдавались в открытом виде. Любому человеку были доступны телефон, пол, примерный возраст, примерные местоположение и место жительства, место работы, увлечения. Эта информация, по словам Серова, передавалась в addfox, чтобы делать таргетированную рекламу. Владимир отметил, что техника сейчас позволяет представиться другим пользователем и забрать его данные. Отследить других пользователей в Сети также не составляет большого труда, для этого существуют определенные программы.

    После того, как я обнаружил слив информации, я написал небольшую заметку для MaximaTelecom (площадка, поставляющая рекламу для метро — прим. ред.), в которой рассказал, в чем уязвимость, как ее устранить и почему это важно. Я не уверен, что она дошла. Но я хочу сказать, что этой уязвимости вообще не должно было быть изначально. Когда они узнали об уязвимости в последний миг, они зашифровали данные. Но проблема в том, что они использовали такой шифр, который для всех одинаковый. С помощью небольшой математики можно было расшифровать их, даже особо не расшифровывая. Скажем, пол зашифрован одной строкой данных. И эта строка будет одинаковая для мужчин и одинаковая для женщин. Так же можно сделать практически с любыми данными. Они не учли этого и, похоже, не собирались учитывать даже после того, как я в заметке им об этом сказал

    — Владимир Серов.

    Программист заявил, что слив данных пользователей — это исключительная халатность разработчиков MaximaTelecom. «Такого нет нигде. Нигде за свою жизнь я не видел, чтобы данные для рекламы отдавались юзеру. Обычно тебе просто дается ссылка на рекламу, но никаких данных. Учитывая, сколько времени эта уязвимость была, это около года, с прошлого мая, это довольно жуткая утечка данных», — Владимир Серов.

    Узнав о том, что в MaximaTelecom его называют хакером, Владимир искренне удивился. Улыбнувшись, молодой человек рассказал, что считает это слово комплиментом, однако пользоваться данными не собирался.

    Честно говоря, лет до 16 я думал, что хакеры — это плохо. После 16 лет я узнал, что «хакеры» — это довольно хорошее слово, потому что они любят разбирать вещи, смотреть, как они устроены. Так что окей, спасибо, я не против, я хакер. Я честно скажу, что меня не интересуют данные пользователей. И вообще, все телефоны можно собрать только в течение месяцев шести, это довольно долгий процесс. За час можно получить где-то 300 телефонов. То есть мошенникам потребовалось бы около 10 тысяч часов, чтобы расшифровать три миллиона номеров

    — Владимир Серов.

    По словам молодого программиста, в Wi-Fi московского метро и сейчас можно получить данные. «Это не будут данные какого-то конкретного пользователя, но тем не менее с помощью них можно расшифровать весь их странный процесс шифрования, который у нормальных разработчиков называется обфускацией. Говоря проще, обфускация — это когда ты прячешь, а не шифруешь», — подытожил Серов.


    Ранее хакеры парализовали работу нескольких российских СМИ. В результате виртуального нападения была приостановлена работа дата-центров.