Клиентские данные «МаксимаТелеком» оказались в открытом доступе


Услуги >> 10.04.2018
Клиентские данные «МаксимаТелеком» оказались в открытом доступе

В прошлом месяце программисту В. Серову удалось обнаружить уязвимость в сервисе компании «МаксимаТелеком», выступающей в роли оператора беспроводных сетей Wi-Fi в столичном метрополитене. Серов обратил внимание на тот факт, что при подключении к сети MT_FREE пользователи перенаправляются на страницу авторизации, которая «отдает» персональные данные: телефонный номер, семейное положение, возраст, пол и другую информацию. Указанная информация привязана к пользовательскому MAC-адресу.
 
Программист пытался поставить в известность руководство компании «МаксимаТелеком» об обнаруженной уязвимости, однако не смог этого сделать по причине отсутствия «нормальной техподдержки». В итоге он принял решение разместить информацию об утечке пользовательских данных на официальном веб-ресурсе столичного градоначальника и в собственном блоге на сайте «Хабрахабр».
 
В качестве эксперимента Серов написал скрипт для автоматической выгрузки данных о пользователях беспроводной сети, находящихся рядом. Позже компания «МаксимаТелеком» начала шифровать пользовательские телефонные номера на странице авторизации. В компании Серову рассказали, что «МаксимаТелеком» начала применять шифрование, поэтому получить легкий доступ к пользовательским данным больше нельзя. Между тем программист полагает, что руководство компании лукавит. Дело в том, что пользовательские данные за исключением телефонных номеров по-прежнему открыты.
 
В «МаксимаТелеком» продолжают настаивать на том, что никакой крупной утечки пользовательских данных не было. Якобы Серову удалось собрать данные лишь о пяти профилях своих друзей. По словам представителя компании, получить доступ к данным пользователей беспроводных сетей можно было исключительно с помощью подмены MAC-адреса при подключении к сети MT_FREE. Между тем подмена MAC-адреса является довольно сложным техническим процессом, который рядовому пользователю недоступен.