Пользователи сервиса Smart Wi-Fi, который предоставляет заведениям возможность давать посетителям доступ к беспроводной сети в обмен на размещение записи в соцсетях, обвинили компанию в краже паролей от своих аккаунтов. Представители сервиса называют обвинения
клеветой, а опрошенные AD эксперты разошлись во мнениях.
Обвинения против Smart Wi-Fi появились в сети 24 марта в комментариях на странице бывшего директора по продукту компании Алексея Верютина, который объявил о прекращении сотрудничества с сервисом. Пользователи прислали ему ссылки на видео с описанием
технологии, с помощью которой компания якобы похищает пароли клиентов заведений через подставной сайт.
В ролике показано, как два пользователя подключаются к сети заведения и заходят в браузер, в котором открывается страница на домене smart-wifi-cloud.com. На странице присутствует логотип Smart Wi-Fi и предложение авторизоваться через «ВКонтакте». Авторы ролика обращают внимание,
что на странице авторизации домен не меняется.
В комментариях Верютин объясняет, что техподдержка «ВКонтакте» заблокировала приложение Smart Wi-Fi после акции с «сисюлями», из-за чего теперь сервису приходится использовать фишинговые страницы для продолжения работы. «Именно такой подход в создании
продукта и побудил меня уйти из команды», — добавил он.
Гендиректор Smart Wi-Fi Тимур Аблязов пояснил AD, что Верютин после успешной рекламной акции стал претендовать на долю в проекте
и, получив отказ, создал свой аналогичный проект:
Тимур Аблязовгенеральный директор Smart Wi-Fi
Алексей действительно работал с нами в качестве директора по продукту. В частности, именно его идеей было провести акцию на Digitale и публиковать вторую запись на стенах пользователей. После проведения акции популярность Smart Wi-Fi выросла, и Алексей стал претендовать на долю в проекте. После того, как его предложение было отклонено, он стал реализовывать свою идею о продаже франшиз. По сути, изначально представители в регионах покупали возможность работы именно с роутерами Smart Wi-Fi. Так как мы не поддержали идею продажи франшиз в регионах, Алексей вышел из проекта и создал аналогичный продукт, с которым и стали работать покупатели франшиз, которые уже перевели
ему деньги.
Ролики с «воровством» паролей Аблязов назвал провокацией,
так как, по его мнению, на них нет никаких доказательств похищения данных от аккаунтов:
Данные видео сняты сотрудниками компании-конкурента и являются провокацией. На видео демонстрируется процесс авторизации, озвучивается обвинение в том, что Smart Wi-Fi ворует пароли пользователей, несмотря на то, что на видео нет доказательств этого. На данный момент подключение к интернету в заведениях наших клиентов максимально безопасно. Надежность нашей системы проверяется в том числе техническими специалистами наших клиентов — безопасность пользователей в особенности волнует крупных и сетевых проектов, которых сейчас становится все больше. И обвинения в том, что Smart Wi-Fi якобы ворует пароли пользователей,
не имеют под собой обоснований и являются, по сути, клеветой.
Верютин при этом
утверждает, что Аблязов даже не подозревает о каких-либо проблемах со стороны сервиса. По его словам, гендиректору компании «разработчики вешают лапшу на уши».
Основатель компании по мониторингу и защите веб-сайтов SiteSecure Максим Лагутин отмечает, что указанная в ролике страница действительно похожа на
фишинговую и создана с нарушениями законодательства. Однако он не уверен, что Smart Wi-Fi практикует хищение пользовательских данных:
Максим Лагутиноснователь и генеральный директор SiteSecure
Если оценивать процесс подключения к Wi-Fi, показанный в ролике, то складывается ощущение, что при авторизации человек попадает на фишинговую страницу, целью которой является воровство паролей аккаунта во «ВКонтакте».
На это наводит пять факторов:
1. Домен, отличный от основного доменного имени Smart Wi-Fi.
2. Отсутствие публичной оферты согласия на обработку персональных данных, политики конфиденциальности или любой другой информации, подтверждающей правомерности использования данных пользователя согласно 152-ФЗ «О персональных данных», что ведет к явному нарушению действующего законодательства.
3. Отсутствие атрибутов защиты информации на сайте, таких как SSL-сертификат и знаков защиты сайта (знак SiteSecure.ru или McAfee).
4. Явная схожесть страниц авторизации со страницами социальной сети «ВКонтакте».
5. Сохранение введенного пароля (так часто поступают настоящие фишинговые сайты).
Вряд ли цель Smart Wifi воровать пароли, но реализация заставляет подумать именно об этом. Реализация авторизации не только не соответствует принятому законодательству и стандартным практикам, но и может привести к включению домена, на котором происходит авторизация, в список фишинговых сайтов, из-за чего он будет блокироваться поисковыми системами, антивирусами и браузерами на мобильных устройствах.
Совета владельцам Smart Wi-Fi два:
1. Привести страницу авторизации в соответствие с законодательством в сфере персональных данных.
2. Подключить сайт к мониторингу безопасности, чтобы вовремя узнавать, если сайт будет внесен в тот или иной список как фишинговый.
Менеджер по продукту компании «Код Безопасности» Александр Немошкалов допустил, что фишингом могут заниматься злоумышленники, которые
получили доступ к роутеру:
Александр НемошкаловМенеджер по продукту компании «Код Безопасности»
Точка доступа Wi-Fi — это, по сути, компьютер со своей операционной системой, как правило, на основе ядра Linux. Любая ОС содержит в себе массу как широко известных, так и не исследованных на сегодня уязвимостей. Используя их, злоумышленник может внедрить вредоносный код в точку доступа и при подключении будет происходить автоматическое заражение подключенного устройства трояном, который и сворует необходимую информацию. Этим может заниматься кто
угодно при наличии должной квалификации.
Специалист по инфобезопасности Владимир Безмалый порекомендовал в принципе реже пользоваться открытыми сетями и использовать двухэтапную
аутентификацию.
Владимир БезмалыйMicrosoft Security Trusted Advisor, Microsoft Most Valuable Professional Consumer Security c 2006 года
Пользователям давно пора привыкнуть что в данном мире ничего не бывает бесплатным. Давно пора использовать двухэтапную аутентификацию, а уж если использовать бесплатные сети, то пользоваться одноразовыми паролями. Для пользователей, которые хранят свою почту на серверах Microsoft, это доступно уже, если не ошибаюсь, пару лет. Если же вы пользуетесь социальными сетями — делайте свою аутентификацию также двухэтапной. Это поддерживает и Facebook и Linkedin.
И вообще пора привыкнуть, что если вам что-то дают бесплатно, то нужно дважды подумать, хватит ли денег расплатиться.
About the author