Оператор Wi-Fi московского метро в течение года сохранял "дыру" для кражи данных пользователей
С помощью чужого MAC-адреса злоумышленники могли получить полные сведения о человеке на странице его авторизации в Сети.
В марте 2018 года программист Владимир Серов обнаружил уязвимость в Wi-Fi московского метро, которая как минимум год позволяла любому пользователю получить телефон и информацию о тех, кто зарегистрировался в системе бесплатного интернета от "Максимателеком".
Программист выяснил, что "Максимателеком" не шифрует сведения пользователей, используемых для таргетинга рекламных объявлений. Серов сообщил об уязвимости разработчикам из mos.ru, однако не получил от них ответа.
В результате злоумышленники могли свободно получить информацию о пользователе, включая номер его телефона, пол и примерный возраст, семейное положение и достаток, станции его дома и работы.
Уязвимость содержалась в коде страницы с 17 мая 2017 года. Только после его статьи на сайте "Хабрахабр" разработчики закрыли возможность утечки.