Por mais de um ano, uma vulnerabilidade no sistema Wi-Fi do metrô de Moscou permitiu a aquisição do número de telefone e dos dados pessoais de todos as pessoas a bordo, incluindo idade, estado civil e rotas frequentes. Vladimir Serov, que descobriu a vulnerabilidade, desenvolveu um programa que permite rastrear os passageiros.
De acordo com a legislação antiterrorista russa, os passageiros têm que fornecer seus números de telefone para usar a rede. Cada dispositivo tem um identificador exclusivo chamado endereço MAC (Media Access Control, ou Controle de Acesso de Mídia). Quando os passageiros registram números de telefone, seus endereços MAC e dados pessoais ficam disponíveis para a operadora da rede. Esses dados são, normalmente, utilizados para segmentação geográfica e posicionamento do anúncio.
Segundo Serov, a MaximaTelecom, que gerencia a rede do metrô moscovita, não fornecia a proteção necessária aos dados do usuário. “Então, decidi verificar a página de autorização”, disse o programador a jornalistas russos.
“Embora a página não forneça dados pessoais, quando se sabe um endereço MAC, é possível obter os dados dos usuários na página de autorização de Wi-Fi”, completou. “Usando programas especiais, um criminoso pode coletar dados de todos no trem.”
Serov entrou em contato com as autoridades de Moscou, mas não recebeu resposta; por isso, decidiu contar sobre a descoberta no Habrahabr, um blog colaborativo para programadores, com o post “Como obter o número de telefone de quase qualquer beldade em Moscou, ou uma peculiaridade interessante da [rede] MT_FREE”.
Certa vez, o programador localizou um código especial para as estações de trem e foi capaz de rastrear uma garota que ia do trabalho para casa.
“Os leitores e eu nos divertimos muito”, disse Serov.
Após a publicação no Habrahabr, a MaximaTelecom reforçou a segurança da rede e pediu a Serov que deletasse a sua publicação. Mas ele se recusou.
“Todo esse tempo, a empresa estava ciente de que estava violando as regras básicas de proteção de dados pessoais”, disse Serov. “Eles não só armazenavam informações não seguras sobre os usuários, o que é inédito, mas também as disponibilizaram por meio de um canal não criptografado em uma rede aberta. Por que eu deveria ficar em silêncio sobre meus dados pessoais serem tratados dessa forma?”, acrescentou.
De acordo com a MaximaTelecom, quase 12 milhões de usuários estavam registrados na MT_FREE em 2016. A mesma rede também está disponível no metrô de São Petersburgo, e nos trens da Russian Railways e expressos do aeroporto de Moscou.
Leia mais sobre a opinião dos russos sobre a privacidade de dados na internet.
Quer receber as principais notícias sobre a Rússia em seu e-mail?
Clique aqui para assinar nossa newsletter.
Autorizamos a reprodução de todos os nossos textos sob a condição de que se publique juntamente o link ativo para o original do Russia Beyond.
Assine
a nossa newsletter!
Receba em seu e-mail as principais notícias da Rússia na newsletter:
