«Паранойю пора отпустить. За вами следят. Это реальность» Авторы «MT_FREE», крупнейшей Wi-Fi-сети в Европе, — об утечке данных и отношении к Big Data
9 апреля The Village рассказал об уязвимости в бесплатном Wi-Fi «MT_FREE» московского транспорта. Ее обнаружил программист Владимир Серов. «Дыра», предположительно, была доступна около года. Она позволяла скачать «цифровой портрет» любого подключенного к сети пассажира в вагоне — номер его телефона, аналитику оператора «МаксимаТелеком» о возрасте и занятости человека, его семейном положении, станциях, где он живет и работает, а затем даже отследить передвижение человека по метро в режиме реального времени. «Метод Серова» был технически прост: данные в коде страницы авторизации в незашифрованном виде мог открыть любой, кто подменял публичный адрес своего устройства — MAC-адрес — на адрес любого другого смартфона в вагоне.
После публикации «МаксимаТелеком» оперативно убрала все данные «цифрового» портрета из кода страницы авторизации, а Роскомнадзор заявил, что проведет проверку инцидента. На следующей день представители компании согласились дать The Village интервью. Авторы проекта «MT_FREE» оценили масштаб уязвимости и ущерба, а также рассказали о личном отношении и страхе перед Big Data.
Фотографии
В интервью «МаксимаТелеком» участвовали:
Михаил Миньковский
технический директор
Олег Копицын
директор по стратегии и развитию
Анастасия Самойлова
менеджер по внешним коммуникациям
Масштабы утечки
— Вы не считаете то, что произошло, утечкой?
Михаил: Утечка наверняка была. Просто она, вероятно, касалась очень небольшого круга людей. Мы посчитали, сколько запросов должно было к нам лететь, чтобы получить методом господина Серова хотя бы 10 % абонентской базы. Такой паразитный, сканирующий трафик был бы существенно выше уровня шума, мы бы его заметили. Таких отклонений не было.
Если же попытаться делать это незаметно, за год получилось бы достать данные только об 1 % абонентской базы. Когда нашу сеть кто-то сканирует или совершает DDoS-атаку, у нас выскакивают «алерты». Это выглядит буквально как аномальный пик на графике. Мы уже проанализировали историю алертов за год — никакого сканирования, похожего на метод Серова, мы не обнаружили. Еще один способ — заранее знать MAC-адреса (специальный публичный номер каждого устройства, которое поддерживает Wi-Fi. — Прим. ред.) наших абонентов и подменять уже целенаправленно на них, а не ловить их в вагоне сниффером (устройством или приложением для считывания MAC-адресов всех ближайших телефонов и ноутбуков. — Прим. ред.). За год у нас накапливается порядка 20 миллионов MAC-адресов. Чтобы использовать эту базу, ее нужно сначала украсть. За всю историю у нас не было ни одного взлома, даже попыток.
— Довольно необычно, учитывая, что у вас самая крупная публичная сеть в Европе.
Михаил: Да просто эти социологические данные никому не нужны, вы поймите. Если бы у нас были кредитные карточки или имена с адресами, наверняка нас бы сломали, как банки ломают. Но у нас их нет. Наши данные могут быть интересны только рекламным конкурентам: по ним можно таргетировать рекламу и зарабатывать деньги. Но методом Серова собирать их просто не выгодно.
— И вы таких массовых сборов не зарегистрировали.
Михаил: Не зарегистрировали.
Олег: Важно заметить, что пока Серов не опубликовал пост, эта уязвимость не была публичным знанием.
Чтобы прочитать целиком, купите подписку. Она открывает сразу три издания
месяц
год
Подписка предоставлена Redefine.media. Её можно оплатить российской или иностранной картой. Продлевается автоматически. Вы сможете отписаться в любой момент.
На связи The Village, это платный журнал. Чтобы читать нас, нужна подписка. Купите её, чтобы мы продолжали рассказывать вам эксклюзивные истории. Это не дороже, чем сходить в барбершоп.
The Village — это журнал о городах и жизни вопреки: про искусство, уличную политику, преодоление, травмы, протесты, панк и смелость оставаться собой. Получайте регулярные дайджесты The Village по событиям в Москве, Петербурге, Тбилиси, Ереване, Белграде, Стамбуле и других городах. Читайте наши репортажи, расследования и эксклюзивные свидетельства. Мир — есть все, что имеет место. Мы остаемся в нем с вами.
