Forbes Russia: Хакеры в подземелье: как данные пользователей могут украсть через Wi-Fi в метро
В беспроводной сети подземки найдена уязвимость. Почему оператор не провел простое тестирование, чтобы не ставить под удар миллионы москвичей и гостей столицы.
В наше время ситуации утечки персональных данных начинают входить в обычную рабочую рутину. Это начинает становиться нормой для всех: пользователей, операторов и разработчиков. Случай с утечкой персональных данных в московском метро поражает не столько масштабами (куда Москве до 58 млн пользователей Facebook), сколько безалаберностью оператора «МаксимаТелеком», подставившего под удар всех москвичей.
Подземная дыра
Судя по доступной информации, уязвимость была найдена исследователем еще около месяца назад и выложена публично в блоге на «Хабрахабр». Она заключается в том, что идентификация пользователя происходила по номеру телефона и МАС-адресу устройства. MAC-адрес устройства — это идентификатор, который вшит в чип вашего устройства, теоретически он уникальный у каждого устройства в сети: компьютера, смартфона, роутера. Однако программными средствами можно сэмулировать любой адрес, чтобы, как в случае с беспроводной сетью в Московском метрополитене, получить доступ к чужим персональным данным. Практически о любом, кто подключился к сети подземки, можно узнать, куда и по каким маршрутам он ездил.
Если бы оператор озаботился защитой информации пользователя, то шифровал бы данные и злоумышленник не смог бы узнать ничего ценного. А в этом случае оператор зашифровал только номера телефонов, по которым происходит подключение (на них приходит SMS), но остальные данные остались в исходном виде.
Безальтернативный оператор
Утечка данных из бюро кредитных историй Equifax гремела не один месяц, последовало увольнение топ-менеджеров, судебные иски. В инциденте с Facebook хватило извинений. А о случае в метрополитене почти не было реакции в соцсетях и СМИ. Все смирились?
С одной стороны, персональные данные, которые могли быть украдены через беспроводную сеть в Московском метрополитене, не несут особой ценности. Профили пользователей скорее всего есть (может быть, частично) и у других агрегаторов, и даже с большим количеством данных. Кроме того, негативный эффект снижает то, что эти данные продавались различным рекламным агентствам и по другим каналам.
С другой стороны, Московский метрополитен обрабатывает данные больше половины всех москвичей. Напомню про туристов, среди которых есть иностранные гости, а значит, надо учитывать область действия закона ЕС о персональных данных — GDPR. Последствия могут быть далеко не локальными.
Найденная уязвимость вполне банальна и должна была быть устранена на этапе тестирования бета-версии продукта или раньше, но почему-то о ней не знали. Это наводит на мысли о том, а насколько вообще нефинансовые организации пекутся о своей безопасности? Точнее, о нашей.
Вот финансовая сфера живет в мире, который более чувствителен к киберугрозам, там серьезно занимаются безопасностью. На них «давят» регламенты, риски, пользовательское недовольство в конце концов, потому что там есть что потерять — деньги, измеримые деньги. В случае потери или утечек эффект будет прямой — возмещения, судебные иски и так далее.
В случае с персональными данными потери не так очевидны, а значит, и не так страшны риски. Нет прецедентов крупных штрафов, которые могут сильно навредить бизнесу. Вот в ЕС по GDPR предусмотрен штраф в размере 4% от годового оборота компании, но в России регламенты с похожими штрафами пока что не слишком популярны, и видимо, зря. Оператора не особо заботит мнение пользователей, особенно в метро, где нет конкурентной борьбы — 3G/LTE практически не работает, выбора нет. Поэтому безопасность не в приоритете. Тем более сейчас в мире столько информационного фона, что об этом забудут через несколько дней.
Памятка выжившего
Очень интересно в разных сферах рынка видеть разный уровень развития организаций в части ИБ. Кто-то всеми способами внедряет процессы безопасной разработки, тестирует приложения, проводит аудит безопасности, а в других сферах компании не озадачиваются даже простейшими тестами на проникновение. Например, многие организации финансового сектора проходят множество аудитов на соответствие различным стандартам, проходят различные тестирования своих приложений на безопасность и не только поддерживают требуемый уровень безопасности, но и стараются его максимально улучшить.
Какие же выводы можно сделать? Пользователям повлиять было практически невозможно: хочешь интернет — держи Wi-Fi, все остальное не ловит. В результате и максимально возможная реакция: «Покричат немного, а потом забудут». Избежать повторения ситуации, когда персональные данные жителей столицы хранились в незашифрованном виде, можно только с помощью регулятора: путем введения правил, штрафов, санкций и всего того, что так не любят.
Пользователь может только запомнить, что подключение к публичным точкам Wi-Fi априори считается небезопасным. Так как получить все данные, которые вы передаете в незашифрованном виде, может как минимум хозяин точки доступа. Злоумышленник, получивший доступ к оборудованию или сымитировавший сеть, может перехватить и передаваемые персональные данные, и даже файлы, в которых часто содержатся пароли.
Несмотря на многочисленные инциденты с утечками данных, взломами различных сервисов, найденными критическими уязвимостями в различном оборудовании и ПО, компании начинают заниматься безопасностью, когда риски достигают уровня, в несколько раз превышающего стоимость внедрения этой самой системы информационной безопасности. В основном этот момент наступает после того, как происходит какой-то непоправимый инцидент. Нежелание учиться на чужих ошибках может дорого стоить, а пока непоправимой ситуации не произошло, у нас любят полагаться на старый добрый авось. Не настало ли время переосмыслить подходы?
Алексей АНТОНОВ