Falha no Wi-Fi do metrô de Moscou permite acesso a dados dos passageiros

Pavel Golovkin/TASS
Assim como em São Paulo e em outras grandes cidades do mundo, as estações do metrô de Moscou têm acesso Wi-Fi gratuito. Os moscovitas sempre foram orgulhosos de existir internet mesmo dentro nos trens – até que o programador Vladímir Serov descobriu uma vulnerabilidade que permitia invadir privacidade dos usuários.

Por mais de um ano, uma vulnerabilidade no sistema Wi-Fi do metrô de Moscou permitiu a aquisição do número de telefone e dos dados pessoais de todos as pessoas a bordo, incluindo idade, estado civil e rotas frequentes. Vladimir Serov, que descobriu a vulnerabilidade, desenvolveu um programa que permite rastrear os passageiros.

De acordo com a legislação antiterrorista russa, os passageiros têm que fornecer seus números de telefone para usar a rede. Cada dispositivo tem um identificador exclusivo chamado endereço MAC (Media Access Control, ou Controle de Acesso de Mídia). Quando os passageiros registram números de telefone, seus endereços MAC e dados pessoais ficam disponíveis para a operadora da rede. Esses dados são, normalmente, utilizados para segmentação geográfica e posicionamento do anúncio.

Segundo Serov, a MaximaTelecom, que gerencia a rede do metrô moscovita, não fornecia a proteção necessária aos dados do usuário. “Então, decidi verificar a página de autorização”, disse o programador a jornalistas russos.

“Embora a página não forneça dados pessoais, quando se sabe um endereço MAC, é possível obter os dados dos usuários na página de autorização de Wi-Fi”, completou. “Usando programas especiais, um criminoso pode coletar dados de todos no trem.”

Serov entrou em contato com as autoridades de Moscou, mas não recebeu resposta; por isso, decidiu contar sobre a descoberta no Habrahabr, um blog colaborativo para programadores, com o post “Como obter o número de telefone de quase qualquer beldade em Moscou, ou uma peculiaridade interessante da [rede] MT_FREE”.

Certa vez, o programador localizou um código especial para as estações de trem e foi capaz de rastrear uma garota que ia do trabalho para casa.

“Os leitores e eu nos divertimos muito”, disse Serov.

Após a publicação no Habrahabr, a MaximaTelecom reforçou a segurança da rede e pediu a Serov que deletasse a sua publicação. Mas ele se recusou.

“Todo esse tempo, a empresa estava ciente de que estava violando as regras básicas de proteção de dados pessoais”, disse Serov. “Eles não só armazenavam informações não seguras sobre os usuários, o que é inédito, mas também as disponibilizaram por meio de um canal não criptografado em uma rede aberta. Por que eu deveria ficar em silêncio sobre meus dados pessoais serem tratados dessa forma?”, acrescentou.

De acordo com a MaximaTelecom, quase 12 milhões de usuários estavam registrados na MT_FREE em 2016. A mesma rede também está disponível no metrô de São Petersburgo, e nos trens da Russian Railways e expressos do aeroporto de Moscou. 

Leia mais sobre a opinião dos russos sobre a privacidade de dados na internet.

Quer receber as principais notícias sobre a Rússia em seu e-mail? 
Clique 
aqui para assinar nossa newsletter.

Autorizamos a reprodução de todos os nossos textos sob a condição de que se publique juntamente o link ativo para o original do Russia Beyond.

Mais reportagens e vídeos interessantes na nossa página no Facebook.
Leia mais