Потенциальные злоумышленники при помощи уязвимости могли получать персональные данные пассажиров метрополитена, которые подключали свои телефоны к Wi-Fi метрополитена.
Программист Владимир Серов обнаружил уязвимость в бесплатном Wi-Fi московского метрополитена (MT_FREE). По его словам, любой желающий при помощи определенного набора команд получал доступ к базе пассажиров, подключившихся к Интернету. В результате потенциальные злоумышленники могли узнать персональные данные владельца телефона, а при большом желании и отследить его передвижение в метро.
По словам программиста, цифровые портреты пассажиров метрополитена, которые используют для таргетирования рекламы, оказались не зашифрованы. Провайдер получает информацию по MAC-адресу, по сочетанию которого с номером телефона происходит регистрации устройства в системе.
По информации Village, программист получил доступ к базе данных через страницу авторизации. Чтобы отследить передвижения конкретного пользователя, Серов написал скрипт и проверил его на случайном пассажире.
Предоставляющий Интернет провайдер «Максима Телеком» заявил, что уязвимость ликвидирована. Однако компания зашифровала номер телефона, который отследил Серов. Остальные данные пользователей можно найти до сих пор.
В самой компании заявили, что принимают меры для исключение неправомерного присвоения абонентских данных. Представители фирмы попросили убрать Серова пост на «Хабрахабре», где рассказывается об угрозе безопасности. Однако сам Серов отказался этого делать, так как сам является пассажиром метрополитена.
