В 2014 году на Facebook (запрещенная в России экстремистская организация) появился тест. Британский психолог молдавского происхождения Александр Коган, работающий в Кембридже, проводил исследование. В качестве площадки он выбрал Facebook (запрещенная в России экстремистская организация). Тест показали 300 тыс. американцев, 85 тыс. из них согласились его пройти. Сам по себе тест был совершенно неинтересным: примерно 100 вопросов о личных качествах. За прохождениe теста каждому заплатили по 5 долларов.
Но, что более важно, чтобы пройти тест, респондент давал доступ к его профилю в социальной сети. Несмотря на то что Facebook (запрещенная в России экстремистская организация) предупреждает, какими данными он собирается поделиться с третьими лицами, пользователи согласились на предложенные условия. Cambridge Analytica, которая была заказчиком исследования Когана, получила доступ к следующим данным: к дню рождения, местоположению и, самое критичное, всем лайкам, которые ставил пользователь.
Cambridge Analytica создала масштабный социальный граф, достаточно точно описывающий поведение пользователей. Но это было только начало. Дав разрешение почти всем сервисам Facebook (запрещенная в России экстремистская организация), аналитическая компания получила доступ к этим же данным всех друзей респондента. Через три месяца тест прошли уже 270 тыс. человек, а через их друзей компания получила данные 87 млн (!!!) пользователей. Скорее всего, среди них есть и ты.
В 2016 году Cambridge Analytica использовала полученные данные для президентской кампании Дональда Трампа, позволяя очень точно направлять рекламные сообщения, надавливая на персональные болевые точки избирателей. Честно это или нет, сейчас решает Конгресс и обсуждает вся американская пресса. Но как можно умело воспользоваться данными, ясно из контекста.
Тем временем оператор Wi-Fi московского метро Maxima Telecom делал что-то похожее на сбор данных Cambridge Analytica.
Если ты живешь в Москве, то наверняка ездил в метро или на аэроэкспрессах, в которых действует бесплатная Wi-Fi-сеть MT-Free.
Чтобы подключиться к этой сети, нужно зарегистрироваться по номеру сотового телефона. Таких абонентов у Maxima Telecom 12 млн, 1,5 млн из них используют сеть ежедневно.
При этом сеть сканирует весь трафик, то есть знает все сайты, на которые ты заходил. Если подключение к сайту не защищено (сайты, чьи адреса начинаются с http://), то ей доступны все страницы, которые ты посещал. Если подключение защищено (адрес начинается с https://), то система будет только знать, на какие сайты ты заходил. То есть про PornHub она узнает, а про то, что ты там ищешь ролики по мотивам фильма «Любовь и голуби» — нет.
Система запоминает пользователей по MAC-адресам устройств. Это уникальный номер, присвоенный производителем сетевой карты или Wi-Fi-модуля. Система точно знает, на какой станции ты сел в вагон, на какой вышел, во сколько ты это сделал, твой пол, доход, занятость и т.д.
Как оказалось, вся эта информация хранилась незашифрованной прямо в HTML-коде корневой страницы auth.wi-fi.ru. Чтобы получить данные конкретного пользователя, надо всего лишь подменить MAC-адрес на компьютере взломщика, и подробные данные у него в кармане.
Подменить MAC-адрес на компьютере проще простого (на Android — сложнее, на iOS — достаточно сложно). Получить MAC-адреса устройств находящихся вокруг людей тоже несложно: достаточно объявить себя роутером — и большинство устройств попытается связаться с тобой, чтобы узнать название Wi-Fi-сети, есть ли у неё пароль и т.п. В этот момент они отдадут необходимый злоумышленнику MAC-адрес.
Написать необходимый для сбора данных скрипт оказалось слишком просто, и достаточно легко можно наблюдать за передвижением пользователей по станциям в режиме реального времени.
Разработчик решил сообщить о уязвимости, но, не получая ответа месяц, опубликовал подробности на Habrahabr.
Уязвимость действовала в течение года. Представители оператора начали шифровать данные, но, имея исходные значения, подобрать к ним ключ не составило особого труда. «Максима Телеком» также сообщила, что масштабной утечки данных удалось избежать, но проверить или опровергнуть их слова не представляется возможным. Как и узнать, передавал ли оператор данные третьим лица, в том числе правительству.
