Алиса Хохлова
апрель 2018.
2418

Насколько серьезна утечка данных интернет-пользователей в московском метро?

Ответить
Ответить
Комментировать
1
Подписаться
6
4 ответа
Поделиться

Перепощу вполне исчерпывающий ответ и на сам вопрос, и на заявление пресс-секретаря Максимы из канала https://t.me/unkn0wnerror

Поразительно, что в 2018 году пиарщикам крупных компаний до сих пор приходит в голову, в случае факапов их компании, тем более, связанных с безопасностью данных пользователей, не посыпать её пеплом, каяться и говорить, что они срочно всё исправляют, а писать лживые посты и продвигать их за деньги.

МаксимаТелеком написала пост, полный лжи, и купила продвижение в фейсбуке.

В частности, эти позорные пиарщики уверяют, что «уязвимость была устранена несколько недель назад», и они «сразу зашифровали передачу профильных данных».

Это не так: не зашифровали, а захешировали, и значения хешей уже приводятся во вчерашней статье. (http://www.the-village.ru/village/city/situation/308363-krupnaya-utechka-operator-wi-fi-v-metro-moskvy-vykladyvaet-dannye-o-polzovatelyah-v-obschiy-dostup)

Дальше, они пишут, что

Подмена MAC-адреса — технически сложный процесс, недоступный рядовому пользователю без специальных навыков

Вот на этом моменте вообще вся команда пиарщиков этого позорного оператора должна написать заявления ПСЖ.

Эти люди прямо говорят нам: злоумышленники — это рядовые пользователи, которые не умеют подменять MAC-адрес, поэтому всё хорошо, ваши данные в безопасности.

а массовая атака такого рода из метро нашими системами не зафиксирована.

Вот это вообще прекрасный (и единственный) «ответ» на тезис о том, что дыра была открыта целый год.

Очень сомнительно, что МаксимаТелеком за сутки проанализировала минимум полмиллиарда подключений (исходя из их среднего минимума в 1.5 миллиона подключений в день) на предмет работы парсеров.

К тому же, если собирать личные данные пользователей по несколько тысяч в день, то это вообще практически невозможно отследить.

18
0
Прокомментировать

Скажу сразу — утечки не было.

Около месяца назад в сети на отраслевом ресурсе Хабрахабр появилась статья программиста Владимира Серова, в которой он указывал на наличие уязвимости в нашей системе авторизации. До этого Владимир к нам не обращался, хотя утверждает, что делал это через портал mos.ru. Мы не имеем никакого отношения к этому порталу, соответственно мы не могли получить эту информацию. Но как только мы увидели его статью на Хабрахабр, мы исправили и устранили уязвимость. Мы зашифровали все данные солью. В настоящее время и с тех пор никакие данные в публичный доступ, и по тому алгоритму, который описывает The Village, попасть не могут. Это важно.

Что касается так называемой утечки: ее не было. Владимир Серов в рамках своего эксперимента отслеживал данные своего устройства и устройства своих друзей. Всего их было пять. Миллионная утечка, о которой говорят издания — это неправда. Мы будем исправлять эту информацию всеми доступными методами, в том числе юридическими, поскольку Владимир все это время просто парсил свои данные и данные своих друзей.

С тех пор, как мы захешировали все данные, никто не мог получить ни номер телефона, ни половозрастные характеристики. Вчера, как только мы узнали о том, что Владимир продолжал отслеживать местонахождение пользователей по станциям метро, мы удалили и этот таргетинг. Сейчас даже мы не можем отслеживать передвижение по метро пассажиров, которые используют нашу сеть. Кроме того, мы сейчас занимаемся доработкой системы нашей авторизации. Мы изменяем ее коренным образом так, чтобы злоумышленники не могли подменять MAC-адрес при подключении к нашей сети.

Особенность публичных сетей Wi-Fi заключается в том, что в них обязательно надо проходить идентификацию и авторизацию. Мы идентифицируем людей по номеру телефона или через портал госуслуг, но также обязательной связкой является привязка к этим данным MAC-адреса — это адрес устройства, который определяется в сети Wi-Fi. Подменить MAC-адрес можно в любой общественной сети. И сейчас мы разрабатываем систему, которая сделает невозможной эту подмену в нашей сети.

Пользовательские данные являются нашей коммерческой информацией. Без специальных программистских навыков и без специального программного обеспечения невозможно их достать. Владимир в своей статье на Хабрахабр детально описывал, что он делал и с помощью какого ПО. Подчеркну, что обычный человек или даже человек, который погрузился в эту проблему, не сможет проделать то же самое. Если бы на наши сети была произведена масштабная атака с целью кражи данных, наши системы заметили бы активность по подмене MAC-адресов. Но ее замечено не было.

Анализировать данные других пользователей до устранения этой уязвимости можно было исключительно при подмене MAC-адреса и отправки запроса к порталу непосредственно в сети MT Free. Для подмены MAC-адреса у человека, во-первых, должно быть специальное ПО, во-вторых, это надо делать непосредственно в нашей сети. Метро работает не круглосуточно, бесконечно ездить на поезде нельзя. Соответственно, беспрерывно скачивать данные не получится. Как отметил сам Владимир Серов в одном из своих интервью, для того, чтобы скачать данные нескольких миллионов профилей, необходимо потратить 10 000 часов. Это трудоемкий процесс, недоступный рядовому пользователю без специальных навыков. Подчеркну, что данные, которые хранятся в профиле пользователя — это наша внутренняя база данных, которая создана для наших нужд, для нужд бизнеса. Требования к ее защите законодательством не предъявляются, поскольку она содержит только пользовательские данные, не персональные. Однако кража такой базы описанным путем может расцениваться как деяние, предусмотренное статьей 272 УК РФ «Неправомерный доступ к компьютерной информации». Сейчас мы не планируем жаловаться на Владимира Серова в органы правопорядка, потому что он нам помог выявить уязвимость и начать масштабную работу по усилению безопасности. 

Для Владимира в данной ситуации это хорошая пиар-акция. Он себя проявил как хороший программист. Мы ему благодарны за сообщение об этой уязвимости, но мы не приветствуем методы, которыми он это сделал. Мы планируем защищать нашу информацию и информацию наших пользователей дальше. В ближайшее время мы выступим с конкретными мерами и с тем, что сделано.

17
-12

Тот факт, что максима телеком нашли эту проблему через Хабру говорит о том, что они нормально мониторят сеть со своими упоминаниями. А вот почему разраб не обратился на прямую, а вместо этого выложил пост, говорит о том, что он и не собирался обращаться, а решил просто словить лойсиков от юзеров хабра.

-6
Ответить

Тот факт, что Максима Телеком занимается исключительно мониторингом упоминания о себе говорит о том, что на мониторинг работоспособности своей сети они не тратят столько сил, сколько могли бы. А вот почему разрабы Максима Телеком не позаботились о безопасности данных о пользователях вообще, а вместо этого натравили маркетинговый департамент оправдываться говорит о том, что они и дальше продолжат свою работу в том же духе.

+1
Ответить
Прокомментировать

Не критична, скажем так! В странах СНГ люди не научены ценить конфедециальные данные. Да и законом не предусмотрено наказание.

По этому вряд ли, плохо одно что могут читать сообщения

0
0
Прокомментировать

Тот факт, что максима телеком нашли эту проблему через Хабру говорит о  том, что они нормально мониторят сеть со своими упоминаниями. А вот  почему разраб не обратился на прямую, а вместо этого выложил пост,  говорит о том, что он и не собирался обращаться, а решил просто словить  лойсиков от юзеров хабра.

1
-11
Прокомментировать
Ответить
Читайте также на Яндекс.Кью
Читайте также на Яндекс.Кью