html текст
All interests
  • All interests
  • Design
  • Food
  • Gadgets
  • Humor
  • News
  • Photo
  • Travel
  • Video
Click to see the next recommended page
Like it
Don't like
Add to Favorites

Хакеры в подземелье: как данные пользователей могут украсть через Wi-Fi в метро


Фото Сафрона Голикова / ТАСС

В наше время ситуации утечки персональных данных начинают входить в обычную рабочую рутину. Это начинает становиться нормой для всех: пользователей, операторов и разработчиков. Случай с утечкой персональных данных в Московском метро поражает не столько масштабами (куда Москве до 58 млн пользователей Facebook), сколько безалаберностью оператора «МаксимаТелеком», подставившего под удар всех москвичей.

Подземная дыра

Судя по доступной информации, уязвимость была найдена исследователем еще около месяца назад, и выложена публично в блоге на «Хабрахабр». Она заключается в том, что идентификация пользователя происходила по номеру телефона и МАС-адресу устройства. MAC—адрес устройства, это идентификатор, который вшит в чип вашего устройства, теоретически он — уникальный у каждого устройства в сети: компьютера, смартфона, роутера. Однако, программными средствами можно сэмулировать любой адрес, чтобы, как в случае с беспроводной сетью в Московском метрополитене,  получить доступ к чужим персональным данным. Практически о любом, кто подключился к сети подземки, можно узнать, куда и по каким маршрутам он ездил.

Если бы оператор озаботился защитой информации пользователя, то шифровал бы данные и злоумышленник не смог бы узнать ничего ценного. А в этом случае оператор зашифровал только номера телефонов, по которым происходит подключение (на них приходит SMS), но остальные данные остались в исходном виде.

Безальтернативный оператор

Утечка данных из бюро кредитных историй Equifax гремела не один месяц, последовало увольнение топ-менеджеров, судебные иски. В инциденте с Facebook хватило извинений. А о случае в метрополитене почти не было реакции в соцсетях и СМИ. Все смирились?

С одной стороны, персональные данные, которые могли быть украдены через беспроводную сеть в Московском метрополитене не несут особой ценности. Профили пользователей скорее всего есть (может быть частично) и у других агрегаторов, и даже с большим количеством данных. Кроме того, негативный эффект снижает то, что эти данные продавались различным рекламным агентствам и по другим каналам.

С другой стороны Московский метрополитен обрабатывает данные больше половины всех москвичей. Напомню про про туристов, в которых есть иностранные гости, а значит надо учитывать область действия закона ЕС о персональных данных — GDPR? Последствия могут быть далеко не локальными.

Найденная уязвимость вполне банальна, и должна была быть устранена на этапе тестирования бета-версии продукта или раньше, но почему-то о ней не знали. Это наводит на мысли о том, а насколько вообще нефинансовые организации пекутся о своей безопасности? Точнее о нашей.

Вот финансовая сфера живет в мире, который более чувствителен к киберугрозам, там серьезно занимаются безопасностью. На них «давят» регламенты, риски, пользовательское недовольство в конце концов, потому что там есть что потерять — деньги, измеримые деньги. В случае потери или утечек эффект будет прямой — возмещения, судебные иски и так далее.

В случае с персональными данными потери не так очевидны, а значит и не так страшны риски. Нет прецедентов крупных штрафов которые могут сильно навредить бизнесу. Вот в ЕС по GDPR предусмотрен штраф в размере 4% от годового оборота компании, но в России регламенты с похожими штрафами пока что не слишком популярны, и видимо зря. Оператора не особо заботит мнение пользователей, особенно в метро, где нет конкурентной борьбы — 3G/LTE практически не работает, выбора нет. Поэтому безопасность не в приоритете. Тем более, сейчас в мире столько информационного фона, что об этом забудут через несколько дней.

Памятка выжившего

Очень интересно в разных сферах рынка видеть различный уровень развития организаций в части ИБ. Кто-то всеми способами внедряет процессы безопасной разработки, тестирует приложения, проводит аудит безопасности, а в других сферах компании не озадачиваются даже простейшими тестами на проникновение. Например многие организации финансового сектора проходят множество аудитов на соответствие различным стандартам, проходят различные тестирования своих приложений на безопасность, и не только поддерживают требуемый уровень безопасности но и стараются его максимально улучшить.

Какие же выводы можно сделать? Пользователям повлиять было практически невозможно: хочешь интернет — держи Wi-Fi, все остальное не ловит. В результате и максимально возможная реакция: «Покричат немного, а потом забудут». Избежать повторения ситуации, когда персональные данные жителей столицы хранились в незашифрованном, можно только с помощью регулятора: путем введения правил, штрафов, санкций и всего того, что так не любят.

Пользователь может только запомнить, что подключение к публичным точкам Wi-Fi априори считается небезопасным. Так как получить все данные, которые вы передаете в незашифрованном виде, может как минимум хозяин точки доступа. Злоумышленник, получивший доступ к оборудованию или сымитировавший сеть, может перехватить и передаваемые персональные данные и даже файлы, в которых часто содержатся пароли.

Несмотря на многочисленные инциденты с утечками данных, взломами различных сервисов, найденными критическими уязвимостями в различном оборудовании и ПО, компании начинают заниматься безопасностью, когда риски достигают уровня в несколько раз превышающего стоимость внедрения этой самой системы информационной безопасности. В основном этот момент наступает после того, как происходит какой-то непоправимый инцидент. Нежелание учиться на чужих ошибках может дорого стоить, а пока непоправимой ситуации не произошло у нас любят полагаться на старый, добрый «авось». Не настало ли время переосмыслить подходы?

Читать дальше
Twitter
Одноклассники
Мой Мир

материал с forbes.ru

1

      Add

      You can create thematic collections and keep, for instance, all recipes in one place so you will never lose them.

      No images found
      Previous Next 0 / 0
      500
      • Advertisement
      • Animals
      • Architecture
      • Art
      • Auto
      • Aviation
      • Books
      • Cartoons
      • Celebrities
      • Children
      • Culture
      • Design
      • Economics
      • Education
      • Entertainment
      • Fashion
      • Fitness
      • Food
      • Gadgets
      • Games
      • Health
      • History
      • Hobby
      • Humor
      • Interior
      • Moto
      • Movies
      • Music
      • Nature
      • News
      • Photo
      • Pictures
      • Politics
      • Psychology
      • Science
      • Society
      • Sport
      • Technology
      • Travel
      • Video
      • Weapons
      • Web
      • Work
        Submit
        Valid formats are JPG, PNG, GIF.
        Not more than 5 Мb, please.
        30
        surfingbird.ru/site/
        RSS format guidelines
        500
        • Advertisement
        • Animals
        • Architecture
        • Art
        • Auto
        • Aviation
        • Books
        • Cartoons
        • Celebrities
        • Children
        • Culture
        • Design
        • Economics
        • Education
        • Entertainment
        • Fashion
        • Fitness
        • Food
        • Gadgets
        • Games
        • Health
        • History
        • Hobby
        • Humor
        • Interior
        • Moto
        • Movies
        • Music
        • Nature
        • News
        • Photo
        • Pictures
        • Politics
        • Psychology
        • Science
        • Society
        • Sport
        • Technology
        • Travel
        • Video
        • Weapons
        • Web
        • Work

          Submit

          Thank you! Wait for moderation.

          Тебе это не нравится?

          You can block the domain, tag, user or channel, and we'll stop recommend it to you. You can always unblock them in your settings.

          • Forbes.ru
          • бизнес
          • домен forbes.ru

          Get a link

          Спасибо, твоя жалоба принята.

          Log on to Surfingbird

          Recover
          Sign up

          or

          Welcome to Surfingbird.com!

          You'll find thousands of interesting pages, photos, and videos inside.
          Join!

          • Personal
            recommendations

          • Stash
            interesting and useful stuff

          • Anywhere,
            anytime

          Do we already know you? Login or restore the password.

          Close

          Add to collection

             

            Facebook

            Ваш профиль на рассмотрении, обновите страницу через несколько секунд

            Facebook

            К сожалению, вы не попадаете под условия акции