В марте 2018 года программист Владимир Серов сообщил компании «МаксимаТелеком» о серьезной уязвимости в сервисе бесплатного Wi-Fi в московском метро. Уязвимость позволяла злоумышленникам получить номера телефонов всех подключенных пассажиров и их персональные данные.
Во время входа в сеть Wi-Fi MT_FREE пользователю выдается MAC-адрес, который связан с номером телефона и хранится в открытом виде. Злоумышленники, зная чужой MAC-адрес, могли получить доступ к чужим данным. «МаксимаТелеком» не шифровали номера телефонов пользователей, а также примерный возраст, пол, семейное положение и достаток. Сначала Серов сообщил об уязвимости разработчикам из mos.ru, однако не получил от них ответа, поэтому материал был опубликован на Хабрахабр.
Помимо того, Серов обнаружил возможность отследить передвижение пользователя в метро в режиме реального времени, если он подключен к сети MT_FREE.
«После сообщения Владимира Серова об уязвимости на портале авторизации мы оперативно зашифровали передачу профильных данных (таких как номер телефона, пол, возрастная группа и пр.) Дешифровать их статистическим методом и сопоставить с номером телефона возможно, если злоумышленник располагает ранее украденной у нас информацией о номерах телефонов абонентов. Мы также принимаем срочные меры для исключения неправомерного присвоения абонентских данных. Основные усилия сосредоточены на полной переработке системы авторизации, исключающей атаки с подменой адреса устройства», — сообщил представитель «МаксимаТелеком» изданию The Village.
Напомним, что дополнительно защитить соединение при подключении через общественные Wi-Fi сети можно с помощью VPN.