Начиная с понедельника, СМИ пестрили известиями о том, что «МаксимаТелеком», провайдер Wi-Fi в московском и петербургском метрополитене, обслуживающий обыденно несколько миллионов пользователей, признал существование обнаруженной энтузиастами уязвимости и закрыл ее. Сообщалось, что уязвимость позволяла «сливать» персональные данные пользователей. Очередной скандал с утечкой персональных данных? Давайте разберемся.
Итак, в чем суть уязвимости? Зайти нужно немножко издалека. Во-первых, у любого сетевого устройства есть MAC-адрес. MAC значит Media Access Control, это уникальный идентификатор, с помощью которого в локальной сети осуществляется маршрутизация на физическом уровне в протоколе Ethernet. Изначально его «зашивали» аппаратно в каждую сетевую карту. Ну, а поскольку Wi-Fi, а не то WLAN, по своей сути недалеко ушел от Ethernet, означает и здесь каждый сетевой адаптер непременно получает MAC-адрес, это 48-разрядное число, уникальное для каждого устройства.
Современные сетевые адаптеры, впрочем, позволяют программно устанавливать любой MAC-адрес. Многие видели эту функцию, например, в роутерах, где она нужна для определенной цели…
И вот для какой. Многие провайдеры семейных сетей (это когда в квартиру приходит Ethernet) используют авторизацию по MAC-адресу компьютера. Это сделано для того, чтобы сосед не был способным физически подключиться к кабелю и пользоваться интернетом за ваш счет. При появлении роутера в него копируется MAC-адрес компьютера, и интернет продолжает работать: провайдер не подмечает подмены. Очень комфортабельная система авторизации: никаких паролей вводить не нужно.
Такая же система авторизации без всяких там паролей использовалась и «МаксимаТелекомом». В первую очередь ради платных пользователей, чтобы тем не очень важно каждый раз вводить номер телефона, пароль и т.п.. Да и вообще авторизация по MAC-адресу используется в большинстве публичных сетей Wi-Fi, например, в таких же отелях: вы один раз ввели номер комнаты и фамилию гостя, и в течение всего пребыванья вас больше не спрашивают, интернет работает автоматически, потому что система запомнила вас по MAC-адресу.
Так в чем же тем временем проблема? А дело в том, что всем остальным, бесплатным пользователям, которых у «Максимателекома» добродетельных 90%, оператор показывает при входе в интернет рекламу. А реклама эта таргетированная: каждый абонент имеет свой профиль, в каком указан его пол, возраст и приблизительный уровень заработка. Данные эти вводятся при первом входе в сеть, их соответствие реальности не проверяется: 16-летний школьник вполне себе может представиться тётушкой-пенсионеркой. Но это не так важно. Важно то, что эти данные хранились на сервере вместе с номером мобильного телефона абонента, который являлся идентификатором для входа в сеть. И хранились они в открытом виде, то бишь, любой мог проанализировать ответ сервера при входе на страницу авторизации и увидеть свой профиль.
Но теперь, напомним, авторизация происходит по MAC-адресу. Если программно поменять MAC-адрес на клиентском устройстве, можно было войти от имени иного пользователя и посмотреть его данные. Конечно, вероятность того, что «от фонаря» подобранная комбинация совпадет с MAC-адресом реального клиента сети «МаксимаТелеком», исчезающе мала: комбинация, напомним, 48-разрядная, а клиентов всего пара миллионов. Но можно сделать по-другому: если просканировать эфир Wi-Fi в вагоне метро, то можно увидеть MAC-адреса едущих рядом пассажиров, а если уж они с большой судьбой вероятности пользуются Wi-Fi и, означает, можно посмотреть их профили.
Что это дает? Это дает то, что абонент с номером телефона +7(987)654-32-10 является, например, тётенькой 50 лет со средним уровнем заработка. Номер, вернее, в открытом виде не передавался, но передавался его md5-хэш, то бишь, ещё бы декодируемая последовательность, означает, информация могла быть знаменита преступнику. Имя, фамилия и иже с ними персональные данные в профиле тоже не хранятся, но есть набор неких обезличенных данных. Что они в состоянии дать преступнику?
Злоумышленник теоретически может на основании этих данных собрать базу социально-демографических характеристик абонентов и рассылать им потом условно таргетированный спам по SMS и в мессенджерах, либо заняться обзвоном — например, в целях мошенничества, ведь у такого же типа тётечки в возрасте наверняка есть сын, который «попал в аварию, мама, скинь денег на данный номер, потом объясню».
На практике эти схемы мало реализуемы, потому что нужно сначала долго и упорно ездить в метрополитене и сканировать MAC-адреса большого количества абонентов, а затем долго и упорно из метро же выкачивать по этим MAC-адресам обезличенные профили. Производительность такого «труда» невелика. Действительно, большую базу таким способом собирать долго и дорого, а данные будут недостаточно ценны, поскольку от SMS-спама нас превосходно оберегают сегодня сами сотовые операторы, мессенджеры тоже в этом преуспели. И к такому же спамеры обычно не мудрят с таргетированием, а просто шлют свои «письма счастья» всем подряд, ведь им важна максимально невысокая цена контакта.
Соответственно, и об утечке данных сказать вряд ли стоит: скорее, идет речь о закрытии уязвимости, позволяющей схватить «Неуловимого Джо», который никому не нужен. МаксимаТелеком сразу зашифровала передачу профильных данных (таких как номер телефона, пол, возрастная группа и пр.). При этом стоит разуметь, что подмена MAC-адреса — технически трудный процесс, недосягаемый рядовому пользователю без специальных навыков. Массовых атак такого рону из метро оператором не зафиксировано, так что хайп, по сути, раздут охочими до сенсаций СМИ и блогерами.
Занимательно, что сам оператор по закону не может никак охранять эту информацию, поскольку она не содержит персональных данных. Но вот создание такой базы с помощью сканирования и подмены MAC-адресов может расцениваться как деяние, предусмотренное ст. 272 УК РФ: «Неправомерный доступ к компьютерной информации», за что предусмотрено наказание в виде лишения свободы до двух лет. В общем, можно дремать кротко, ездить в метрополитене и пользоваться бесплатным Wi-Fi.