Компания «МаксимаТелеком», оператор сети бесплатного Wi-Fi в московском метро, усилит меры по защите персональных данных пользователей и изменит систему авторизации после сообщений ряда СМИ об утечке и неправомерном присвоении данных, сообщает ТАСС со ссылкой на пресс-службу компании.

Речь идет об уязвимости, которую обнаружил московский программист Владимир Серов, о чем рассказало издание The Village. По его данным, «МаксимаТелеком» хранил данные своих пользователей в незашифрованном виде, из-за чего доступ к ним мог получить любой человек. Уязвимость позволяла любому получить номера телефонов всех подключенных пассажиров поезда, а также примерный возраст, пол, семейное положение и достаток пользователей. Кроме того, разработчик написал скрипт, позволяющий отслеживать передвижение по подземке конкретного абонента, если он подключен к сети MT_FREE.

После резонанса в СМИ оператор заявил об устранении ошибки и переработке системы авторизации. «МаксимаТелеком» зашифровал номер телефона, а остальные данные остаются открытыми до сих пор. Предположительно, личные данные были доступны уже больше года.


В пресс-службе «МаксимаТелеком» отметили:

Уязвимость, о которой идет речь была устранена несколько недель назад, после появления статьи на отраслевом ресурсе. Подчеркнем, что автор ранее не обращался напрямую к компании. Мы сразу зашифровали передачу профильных данных (таких как номер телефона, пол, возрастная группа и пр.). До доработки системы авторизации мы выключили хранение данных о перемещении пользователей между станциями метро. Таким образом исчезла возможность трекинга пользователей хакерами. Утечка, о которой сообщают СМИ, — это база, которую собрал лично Владимир Серов в момента наличия уязвимости. Эта база составляет пять профилей — самого Владимира и его друзей.

О существовании аналогичных баз нам неизвестно. Однако мы подчеркиваем, анализировать профильные данные других пользователей можно было исключительно при подмене MAC-адреса и отправке запроса к порталу непосредственно в сети MT_FREE. Дешифровать уже зашифрованные данные статистическим методом и сопоставить с номером телефона возможно, если злоумышленник располагает ранее украденной у нас информацией о номерах телефонов абонентов

Идентификация абонентов в любых сетях происходит с использованием MAC-адресов, что отвечает требованиям постановления № 801 Правительства Р Ф от 12 августа 2014 года. Данные, хранящиеся в профиле пользователя сети — это внутренняя база данных, создаваемая для нужд бизнеса компании. Требования к ее защите законодательством РФ не предъявляются, поскольку она не содержит персональных данных, однако кража такой базы описанным путем может расцениваться как деяние, предусмотренное ст. 272 УК РФ.

Мы продолжаем принимать срочные меры для исключения неправомерного присвоения абонентских данных. Основные усилия сосредоточены на полной переработке системы авторизации, исключающей атаки с подменой адреса устройства. Для того, чтобы улучшить безопасность сервиса, мы призываем сообщать о найденных уязвимостях наibhotline@maximatelecom.ru и гарантируем, что сообщения на эту линию не останутся без внимания.


По собственным данным оператора, в сети бесплатного интернета MT_FREE идентифицированы номера телефонов более чем 12 миллионов пользователей. Ежедневная аудитория оператора в метро составляет до 1,5 миллиона уникальных пользователей, около 150 тысяч пользователей из них покупают пакеты для отключения рекламы.