Per oltre un anno una vulnerabilità del sistema del wi-fi della metropolitana di Mosca potrebbe aver aiutato i malintenzionati a impadronirsi del numero di telefono e di altri dati personali (compresi l’età, lo stato coniugale e il percorso abituale) delle persone che viaggiavano. Vladimir Serov, che ha trovato la falla, ha sviluppato un programma che permette di tracciare chiunque viaggi sottoterra.
Secondo la legislazione anti-terrorismo russa, i pendolari, per accedere al network, devono fornire il proprio numero di telefono. Ogni dispositivo ha un identificatore unico, chiamato “media access control address” (MAC address), o indirizzo per il controllo dell’accesso. Quando i passeggeri registrano i loro numeri telefonici, il loro indirizzo MAC e i dati personali sono a disposizione dell’amministratore della rete. Di solito viene utilizzato per la geo-targetizzazione o per il piazzamento di pubblicità.
Secondo Serov, Maxima Telecom, che era incaricata della gestione del network, non ha fornito una protezione sufficiente ai dati degli utenti. “Ho deciso di controllare la pagina di autorizzazione”, ha spiegato ai giornalisti russi. “Nonostante la pagina non desse la possibilità di accedere ai dati personali di qualcuno, se si è a conoscenza di un indirizzo MAC si possono ottenere tutti i dati partendo dalla pagina di autorizzazione del wi-fi”. Secondo Serov, utilizzando programmi particolari, un criminale potrebbe, in teoria, raccogliere i dati di tutte le persone che viaggiano.
Dopo essersi rivolto alle autorità di Mosca, senza ricevere nessuna risposta, Serov ha deciso di rivelare questa sua scoperta inaspettata su Habrahabr, un blog collaborativo di programmatori, scrivendo un post dal titolo: “Come ottenere i numeri di quasi tutte le belle donne di Mosca, ovvero una peculiarità interessante di MT_FREE”
Non ricevendo risposte dalle autorità, ha continuato a giocare con il network. Per esempio, ha trovato un indicatore speciale per ogni stazione dei treni e, grazie a questo, è riuscito a tracciare una ragazza che stava tornando a casa dal lavoro. “Io e i miei lettori ci siamo divertiti parecchio”, ha detto.
Dopo la pubblicazione su Habrahabr, Maxima Telecom ha provveduto a mettere in sicurezza la rete e ha chiesto a Serov di rimuovere il post. Lui si è rifiutato: “Per tutto questo tempo l’azienda era consapevole di violare le regole basilari della protezione dei dati personali”, ha detto. “Non solo hanno immagazzinato informazioni non protette sugli utenti, che è un fatto senza precedenti, ma le hanno anche messe a disposizione con un canale non criptato a un network aperto. Perché dovrei stare zitto di fronte al fatto che i miei dati personali vengano trattati in questo modo?”
Secondo Maxima Telecom, circa 12 milioni di utenti sono stati registrati su MT_FREE nel 2016. Lo stesso network si trova anche sulla metropolitana di San Pietroburgo, sui treni espresso per gli aeroporti di Mosca e perfino sulle ferrovie russe.
Ed ecco sei errori incredibili da evitare nella metropolitana di Mosca