9 апреля The Village рассказал об уязвимости в бесплатном Wi-Fi «MT_FREE» московского транспорта. Ее обнаружил программист Владимир Серов. «Дыра», предположительно, была доступна около года. Она позволяла скачать «цифровой портрет» любого подключенного к сети пассажира в вагоне — номер его телефона, аналитику оператора «МаксимаТелеком» о возрасте и занятости человека, его семейном положении, станциях, где он живет и работает, а затем даже отследить передвижение человека по метро в режиме реального времени. «Метод Серова» был технически прост: данные в коде страницы авторизации в незашифрованном виде мог открыть любой, кто подменял публичный адрес своего устройства — MAC-адрес — на адрес любого другого смартфона в вагоне.

После публикации «МаксимаТелеком» оперативно убрала все данные «цифрового» портрета из кода страницы авторизации, а Роскомнадзор заявил, что проведет проверку инцидента. На следующей день представители компании согласились дать The Village интервью. Авторы проекта «MT_FREE» оценили масштаб уязвимости и ущерба, а также рассказали о личном отношении и страхе перед Big Data.

Фотографии

Андрей Стекачёв

В интервью «МаксимаТелеком» участвовали:

Михаил Миньковский

технический директор

Олег Копицын

директор по стратегии и развитию

Анастасия Самойлова

менеджер по внешним коммуникациям


Масштабы утечки

— Вы не считаете то, что произошло, утечкой?

Михаил: Утечка наверняка была. Просто она, вероятно, касалась очень небольшого круга людей. Мы посчитали, сколько запросов должно было к нам лететь, чтобы получить методом господина Серова хотя бы 10 % абонентской базы. Такой паразитный, сканирующий трафик был бы существенно выше уровня шума, мы бы его заметили. Таких отклонений не было.

Если же попытаться делать это незаметно, за год получилось бы достать данные только об 1 % абонентской базы. Когда нашу сеть кто-то сканирует или совершает DDoS-атаку, у нас выскакивают «алерты». Это выглядит буквально как аномальный пик на графике. Мы уже проанализировали историю алертов за год — никакого сканирования, похожего на метод Серова, мы не обнаружили. Еще один способ — заранее знать MAC-адреса (специальный публичный номер каждого устройства, которое поддерживает Wi-Fi. — Прим. ред.) наших абонентов и подменять уже целенаправленно на них, а не ловить их в вагоне сниффером (устройством или приложением для считывания MAC-адресов всех ближайших телефонов и ноутбуков. — Прим. ред.). За год у нас накапливается порядка 20 миллионов MAC-адресов. Чтобы использовать эту базу, ее нужно сначала украсть. За всю историю у нас не было ни одного взлома, даже попыток.

— Довольно необычно, учитывая, что у вас самая крупная публичная сеть в Европе.

Михаил: Да просто эти социологические данные никому не нужны, вы поймите. Если бы у нас были кредитные карточки или имена с адресами, наверняка нас бы сломали, как банки ломают. Но у нас их нет. Наши данные могут быть интересны только рекламным конкурентам: по ним можно таргетировать рекламу и зарабатывать деньги. Но методом Серова собирать их просто не выгодно.

— И вы таких массовых сборов не зарегистрировали.

Михаил: Не зарегистрировали.

Олег: Важно заметить, что пока Серов не опубликовал пост, эта уязвимость не была публичным знанием.

Слежка за людьми

— Серов также нашел способ отслеживать местоположение человека, с точностью до станции метро, которую он проезжает. Тесты проводились при мне, инструменты были примитивные, трекинг сработал в одном случае из 16 — мы отслеживали девушку, которая возвращалась домой. По вашему, это не опасно?

Михаил: Этой возможности нет.

— Теперь нет, но эту возможность закрыли 10 апреля, спустя месяц после первой публикации. Она была доступна год.

Михаил: Этот параметр в «цифровом портрете» — «текущая станция», — он был технический, работал только у тех, по кому мы еще не предположили, где он живет и работает, потому что последние станции для таргетинга гораздо ценнее. Логичнее продавать рекламу кинотеатра на «Щелковской», если человек там живет, а не просто проезжает мимо.

— Тогда я не понял, зачем компании вообще это знать.

Михаил: Чтобы не упускать возможность показать рекламу части абонентов, по которым мы еще не определили цифровой портрет до конца. Но использовать этот параметр, чтобы трекать абонентов через рекламные вызовы… Ну да, неприятное свойство — мы его отключили. Но на практике злоумышленнику это невыгодно: вы будете получать одну из 15 локаций, с задержкой в 10 минут — не знаю, что вы будете делать с этими данными.

— То есть вы не считаете, что это опасно.

Михаил: Наверное, можно придумать какой-то сценарий слежки мужа за женой... С нашей точки зрения, это точно не было опасно. Но я понимаю, что возможность установить, где ты находишься даже просто в течение дня, притом что ты не давал случайному человеку разрешения, это неприятно. Мы закрыли эту возможность.

Олег: Не забывайте, что сначала Серову нужно было узнать MAC-адрес — самостоятельно, — а потом уже пробовать следить.

Проблема Big Data

— Вы тоже пользователи. Ваши цифровые портреты тоже считываются и хранятся у it-гигантов и сервисов. Люди относятся к big data с опаской, потому что все равно ощущают цифровой портрет чем-то «своим». Это «их» — паттерн поведения, манеры, следы в сети, даже если по закону это не «персональные данные». Вы лично считаете, что компании могут распоряжаться Big Data как захотят?

Михаил: Очень хороший вопрос. До «Максимы» я имел мало контактов с данными такого рода. Я относился к ним параноидально. Отключал cookies, запрещал другие рекламные параметры в телефонах. Теперь мне стало все равно, потому что понимаю, какой объем данных на нас собирают. У меня есть умный дом, его управление находится в облаке — в iCloud.

Я понимаю, что система геопозиционирования, которую я использую, потому что беспокоюсь за свою семью, тоже в облаке, и технически местонахождение членов моей семьи может быть доступно всем, кому облако решит его раздать. Наверное, я даже никогда не узнаю об этом.

Мы живем в городе с самой высокой плотностью видеонаблюдения. Видеотрекинг сейчас гораздо более точный, чем Wi-Fi-трекинг. Это все равно будет происходить, независимо от нас. Мы вступили в новую эпоху. Сотовые операторы вообще всегда знают, где вы находитесь. Поэтому я и говорю, что закон важен: человек должен знать свои права, знать, что он может защитить их в случае нарушений, потребовать компенсацию или заставить компании прекратить. Но обсуждать сейчас, хорошо или нет себя чувствует человек, за которым следят, уже поздно. Иначе придется вернуться в каменный век.

Олег: Есть Google, в нем есть специальная страница, где вы можете посмотреть, что компания о вас знает. Паранойю пора отпустить. За вами следят. Это реальность. У Google есть алгоритмы, которые насквозь просвечивают вашу почту, выделяют из нее определенные маркеры. Ты открываешь Google Maps, и там уже отмечена звездочкой гостиница, в которой ты остановишься, а у значка аэропорта висит тикет о времени вылета, номер рейса и терминал. На мой взгляд, это скорее удобно, чем опасно. Реклама в Instagram показывает мне продукты, которые я недавно гуглил, — это тоже скорее полезно.

Суть «дыры», аналогия с Facebook и спам-рассылки

— Большинство людей никогда не меняют MAC-адреса своих устройств. Многие также неосторожно размещают телефонные номера в социальных сетях. Ваша уязвимость около года позволяла поймать mac-адреса в вагоне, затем считать «цифровые профили» людей, вытащить оттуда номер телефона, а затем найти человека в соцсетях, узнать его имя и другое, просто вбив полученный номер телефона в Google. Вам не кажется, что это опасная связка?

Олег: Номер телефона можно вбить и без нас. Кому принадлежит MAC-адрес, узнать через нас невозможно.

— Раньше можно было, до 3 марта.

Олег: Можно было только сниффером собрать несколько десятков MAC-адресов. Окей, даже если ты затем (по раскрытому номеру телефона. — Прим. ред.) нашел человека в соцсетях, дальше что? Мы теперь узнали, как он выглядит, мы это и так знали, когда сканировали его MAC-адрес. Что нового? В чем цель? Найти через нас конкретного человека все равно не получится: для этого нужно сначала узнать его номер телефона [при встрече].

— Дело в том, что становится публичным очень большой массив данных о поведении человека в интернете, который вы собираете. Я не хочу проводить дурацкие аналогии…

Олег: Ну, проведите дурацкую аналогию.

Михаил: Объясните, в чем угроза, в чем риск для наших абонентов?

— Хорошо. Угроза в том, что у Facebook сейчас такая же проблема.

Михаил: Секундочку. (Смеется, — прим. ред.). У Facebook сейчас доказан факт утаскивания у них 70 миллионов профилей. Это факт. У них был массовый слив данных, у нас его не было.


Наверное, можно придумать какой-то сценарий слежки мужа за женой...

С нашей точки зрения, это точно не было опасно


— У вас были доступны данные цифрового портрета. Его можно было сопоставить с конкретным человеком.

Михаил: Мы не предоставляли возможности это сделать в массе. Все утечки — мнимые или существующие — позволяли сделать это индивидуально. Если вы уже знаете номер и забиваете его в Google, находите человека в соцсетях, то, естественно, можете сопоставить. Но, извините, наша сеть — это тогда, наверное, самый сложный способ получить номер телефона человека.

— Программист разработал метод, с помощью которого собирать номера можно было довольно массово.

Михаил: Окей, предположим, кто-то использовал и собрал 300 номеров — а дальше что?

— У меня же не технологический вопрос, а идеологический.

Михаил: Вот люди боятся использовать публичные сети. Когда вы сидите на сайте и у вас разрешены трекинг и cookies в браузере, вы оставляете сайтам свой социальный профиль. Понятно, что его никто под замком не держит, потому что это не персональные данные. Тот же Facebook содержит кучу персональных, более токсичных данных. Если бы у нас были персональные данные (по закону: например, ФИО, год рождения в связке с номером. — Прим. ред.), или подобные токсичные данные, и если бы был риск их утечки, мы бы с вами, конечно, сейчас иначе разговаривали.

— В ситуации с Facebook тоже сливали социологический портрет, он и представлял интерес. В вашем случае через уязвимость можно было скачать социальный портрет другого человека.

Михаил: С целью коммуникации? Чтобы спамерскую рассылку ему какую-то сделать? На нашу рекламу пользователь при регистрации дает согласие. Если же с абонентом коммуницирует кто-то другой, не мы, то он фактически нарушает наши права, помимо прав пользователя. Эсэмэску спамерскую он может получить и без нас.

— Людей пугает, что кто угодно мог получить доступ к данным о поведении пользователей. Вы построили крупнейшую публичную сеть в европе, вы имеете техническую возможность узнать практически все о пассажирах в метро, анализируя их трафик. Программист (Владимир Серов. — Прим. ред.) увидел, что ваша аналитика не была зашифрована и «цифровой портрет» можно было привязать к конкретным номерам телефонов в массовом порядке.

Михаил: Вот здесь и начинается расхождение. Мы говорим, что не в массовом, а в единичном, и что в массовом было технически невозможно.

Анастасия: Сейчас вообще заявляют, что мы поставили под удар персональные данные целого города.

— Не было такого. Именно про «персональные данные» (ФИО, год рождения в связке с номером. — Прим. ред.) среди ваших данных — у меня не было.

Михаил: Я понимаю, что не у вас, но я сейчас ехал на работу, и одна уважаемая радиостанция мне сообщила именно это, что мы 12 миллионов профилей отдали прямо в руки террористам.

— Я не могу отвечать за коллег, которые неправильно читают фактуру. Для меня эта история — часть проблемы безопасности Big Data, которая существовала еще до того, как появилась ваша компания. Просто раньше не было прецедентов и уязвимостей в России с операторами таких больших публичных сетей.

Михаил: Сотовые операторы имеют гораздо больше данных. Опасность Big Data касается не раскрытия или защиты, а того, как эти Big Data могут использоваться их владельцами. Это тренд европейского или американского законотворчества. Что мы имеем право делать, что не имеем, что должны. Это действительно интересно, наше законодательство здесь очень примитивно, пропасть между нами и Западом здесь должна заполняться. Вот это надо обсуждать.

— Я это и предлагаю обсудить! В Штатах эта история сейчас касается Facebook, потому что пользователи совершенно добровольно давали согласие на сбор данных Cambridge Analytica. Точно так же пользователи совершенно добровольно дают согласие на сбор данных, аналитику которых проводите вы.

Михаил: Мы прекрасно понимаем, что не можем просто стоять в углу и говорить «пользователь подписал вот такую оферту, поэтому, что хотим, то и делаем».

— Но вы же так и делаете.

Михаил: Мы так не делаем, мы хотим обсуждать, что для пользователя является допустимым, а что — нет.

— Это то, что я у вас и спрашиваю! Вы считаете, публиковать данные социального портрета, который…

Михаил: Мы их не публиковали.

— Они были доступны с помощью подмены MAC-адреса — совершенно публичного инструмента.

Михаил: Мы считаем, что небольшая утечка таких данных, осуществленная с помощью хакерской атаки, реального вреда или угрозы ни людям, ни бизнесу принести не могла. Другой вопрос, хотят ли наши пользователи, чтобы мы знали о них такую историю? Потому что мы действительно знаем, куда они едут, действительно представляем себе портреты миллионов людей, можем коммуницировать с ними, делать выводы, статистический анализ. Это концептуальный разговор, он мне лично интересен, но он вообще не связан с уязвимостью.


Обсуждать сейчас, хорошо или нет себя чувствует человек,

за которым следят, уже поздно.


— Тогда ответьте прямо: вы эту уязвимость, которую нашел Серов, закрыли просто потому, что «полился негатив»? Или потому, что идеологически вы тоже считаете, что иметь доступ к этим данным со стороны — неправильно?

— Уязвимость, касающуюся номера телефона мы закрыли сразу, безусловно, потому, что считаем недопустимой возможность считывать номера из нашей сети. Как только мы об этом узнали, закрыли. Все остальные данные мы скрыли, — и больше не откроем, — потому что увидели общественное отношение.

— Значит, некий баг с доступностью номера телефона все-таки существовал?

Михаил: Да. Мы сейчас изучаем, какая была задача и почему ее так реализовали. Было ли это связано с ошибкой кодирования, или с ошибкой постановки.

— Разве не существует какой-то профилактики таких уязвимостей?

Михаил: Конечно, существует регулярное code review, есть большой департамент качества, привлекаются сторонние тестеры.

— Почему профилактика не обнаружила этот баг раньше?

Михаил: Мы это выясняем, сейчас не могу дать больше комментариев.

Ущерб компании и претензии к «хакеру»

— Компания понесла какой-то ущерб от того, что обнаружилась уязвимость?

Михаил: Репутационный — точно. Работа нескольких человек парализована. Отложено несколько важных задач, в том числе и полезных для клиентов, десять сотрудников заняты внесением изменения механизма таргетинга. У нас сдвинулись планы из-за того, что люди переброшены на другую задачу. Эффективность части рекламных кампаний у нас сейчас снижена. В кратчайшие сроки мы восстановим всю передачу данных для таргетинга, но уже в закрытом виде.

— Вы считаете тот ущерб, который сейчас несете, несправедливым?

Михаил: Это риторический вопрос.

— Да, риторический. Если вы говорите, что другие компании точно так же передают цифровые портреты для таргетинга, значит, нечестно, что хайп подняли только вокруг вас.

— Таких компаний, как мы, по эффективности и объемам монетизации публичных сетей в России больше нет, даже если они устроены точно так же. С технической точки зрения я доволен. Мы почистили код, исправили несколько багов, получили новые каналы обратной связи. У нас изменился майндсет, обратили внимание на то, что пользователи считают важным, а мы раньше не замечали. Наш случай довольно уникальный, потому что мы на рынке такие одни, мы многому учимся в процессе.

— Власти Москвы обсуждали с вами эту историю? Руководство метрополитена?

Анастасия: Мы обсудили с метрополитеном этот случай, подробно описали нашу позицию — сейчас они изучают представленные нами материалы. Метрополитен намерен включить в наши договорные отношения дополнительные гарантии сохранности данных о перемещении пассажиров.

— А вообще, другие инциденты, похожие на уязвимость Серова, были?

Олег: Мы работаем с программистами, когда они общаются с нами по правильным каналам. То есть если нам напрямую сообщают об уязвимости, например на ibhotline@maximatelecom.ru, мы эти кейсы отрабатываем оперативно, об этом даже ничего не публикуют. Весь топ-менеджмент и Михаил лично просматривают эти сообщения. Многие ребята, которые находят и тестируют уязвимости, получают за это вознаграждение. Это общая практика в IT-компаниях мира.

Михаил: Правда, господин Серов почему-то заявляет, что мы звали его на работу.

— А вы не звали его на работу?

Анастасия: Мы предлагали ему встретиться и пройти собеседование. У нас не было для него никакой готовой должности.


Я сейчас ехал на работу, и одна уважаемая радиостанция мне сообщила именно это, что мы 12 миллионов профилей отдали прямо в руки террористам


— После публикации Серова на «Хабрахабре» часть индикаторов «цифрового портрета» заменили на случайные символы — расшифровать новые данные можно было еще месяц, просто сопоставив их со старыми, сохраненными профилями пользователей, как через трафарет. Это называется «статистическим анализом». Публично «Максима» сейчас заявляет, что здесь есть признаки «кражи», попадающей под уголовную статью. Вы считаете «статистический анализ» чем-то криминальным?

— Нет, мы не считаем его чем-то криминальным. И перехват MAC-адресов тоже. Сама суть «атаки» — притвориться другим абонентом, от его лица послать на сервер запрос и получить от сервера данные, которые можно к человеку привязать. Это действие, которое не соответствует логике системы, это аналогично любому взлому. Любой взломщик использует уязвимость, чтобы завладеть данными, которыми конкретно с ним делиться никто не собирался. Но я не понимаю, почему вы все переводите в плоскость обсуждения «криминальности», потому что я не юрист. Мы пытаемся донести мысль, что абонентские данные не подвергались опасности, их никуда не выкладывали.

— Это не я перевожу в юридическую плоскость, это сделала компания, когда начала раздавать комментарии о том, что в этой истории может квалифицироваться как «кража». Серов использовал для получения данных о пользователях не какой-то ваш секретный ключ, он использовал публичный MAC-адрес.

— Вы скажите, что хотите от нас услышать? Осуждение его действий? Ну, мы особо и не осуждаем. Ему интересно было — он попробовал. Вам тоже было интересно. Мы исправили. Жалобы кормят наших разработчиков задачами. Этот случай ничем не отличался от всех остальных — до того момента, пока не начался хайп.

Роскомнадзор и латание дыр

— Сейчас стало известно о проверке Роскомнадзором этой утечки. Что вы будете делать?

Анастасия: Мы связались с Роскомнадзором, нам известно, что им написали запрос журналисты и еще несколько пользователей. Роскомнадзор, в свою очередь, направит свой запрос нам — это не претензия, а запрос регулятора. Мы сотрудничаем с Роскомнадзором по этому вопросу и предоставим все запрошенные данные и пояснения.

— Кого-то могут уволить по итогам исследования, или у вас так не принято?

Михаил: Такой опыт есть, но я думаю, что сейчас не тот случай. Здесь просто была комбинация факторов, которые мы должны выучить и больше не повторять. Часто читаешь комментарии, где люди пишут: «Почему же они не сделают так-то, это же очень просто». Хочется всегда пригласить попробовать. У меня большой опыт, я работал и в зарубежных, и в российских компаниях, в МТС, в АФК «Система». Более сложную систему, чем у нас сейчас, я видел только в МТС — но там она и более «стандартизована». У нас все кастомное, собственная разработка.

— Еще в первом комментарии СМИ об этой уязвимости вы сказали, что скоро будете переходить на совершенно новую систему авторизации. Когда это произойдет?

Михаил: В течение нескольких месяцев мы действительно перейдем на другую архитектуру подключения к Wi-Fi. Сейчас она простая, открытая, авторизация через RADIUS-протокол. Мы собираемся перейти на более совершенную систему, она называется Hotspot 2.2. Мы не делали этого раньше, потому что мало устройств были с ней совместимы. Старую оставим для старых устройств. А конкретно к концу апреля, еще до обнаружения уязвимости Серовым, планировалось переделать именно backend-часть этой системы, чтобы исключить любые варианты сниффинга данных. Подмена MAC-адресов в принципе не сработает, потому что авторизация их вообще не использует.

— Я думал, что это требование закона о противодействии терроризму.

Олег: Законодательство в области Wi-Fi не изменяли с 2014 года. Были какие-то мелкие изменения, но реально над ним практически не работают.