Москва
22 ноября ‘24
Пятница

Минимум телекома: куда ведут дыры в WiFi московского метрополитена

История компании «МаксимаТелеком» является убийственной пародией на весь новорусский бизнес.

Телефон красотки

Крупный скандал разразился вокруг сети WiFi в московском метро: программисту Владимиру Серову удалось простейшим способом, через чтение кода html-страницы, получить доступ к своим личным данным, а с минимальными усилиями, не требующими каких-то редких способностей, – к данным всех своих соседей. Его попытка сообщить об уязвимости оператору сети «МаксимаТелеком» не увенчалась успехом, поэтому рассказ появился на профильном ресурсе «Хабрахабр» под интригующим названием «Как получить телефон (почти) любой красотки в Москве», где мгновенно стал суперхитом.

О технических подробностях вы можете прочесть на «Хабрахабре», мы изложим проблему кратко: обладая минимальными техническими знаниями, вы могли узнать о людях, подключившихся одновременно с вами, к сети MT-FREE: номер телефона, пол, семейное положение, род занятости, уровень дохода, текущее местонахождение, стоимость мобильного телефона.

Программист уверен, и мы с ним согласны, что это не злой умысел, а результат банальной некомпетентности программистов. Личные данные так или иначе собирают все, но это делается с учетом всех ограничений, налагаемых законом «О персональных данных». «МаксимаТелеком» же объявлял, что не считает себя оператором персональных данных – и, судя по всему, сделал из этого вывод об отсутствии необходимости их защиты.

Характерно, что первой реакцией провайдера было не устранение уязвимости, а просьба к автору убрать публикацию. Одновременно в телеком-компании произвели некоторые телодвижения, результатом которых стало следующее.

Имитация ликвидации

Буквально на следующий день «МаксимаТелеком» отчитался о ликвидации уязвимости. Отчет этот довольно активно был распространен по социальным сетям, причем в обелении репутации провайдера поучаствовали многие блогеры, известные своей склонностью к коммерческому сотрудничеству. К сожалению, в компании просто нет квалифицированных программистов, способных реально в короткие сроки решить системную проблему. Не исключено, что программный код вообще писали индийцы, известные во всем IT-мире крайне низкими финансовыми запросами, высокой скоростью работы и, мягко говоря, альтернативной логикой программирования.

Что ж, после реляций об исправлении ошибки выяснилось, что номера телефонов своих абонентов провайдер действительно спрятал – теперь вместо него можно получить хеш этого номера, из которого нельзя без ключа восстановить оригинальные цифры. Все остальные данные остались, просто сменился способ их шифровки – примитивный, надо сказать, до идиотизма. А параметры «домашняя станция» и «станция работы» пользователя до сих пор передаются в открытом виде.

Между тем «МаксимаТелеком» наглядно демонстрирует, как она может использовать данные о пользователях в своих бизнес-целях. Собираемая о пользователях WiFi в метро информация может быть использована для построения профилей пользователй и других алгоритмов показа интеренет-рекламы как в самом метро, так и в сети контентных сайтов-партнеров, которым компания предоставляет услуги по оптимизации доходов от интернет-рекламы. Также данные могут быть использованы и для обогащения знаний о пользователях интернет-гигантов Google (Максима является реселлером рекламной технологии AdX) и Yandex (компании тесно сотрудничают по вопросам применения рекламного технологического стека Yandex на контентных сайтах). Построенные при помощи таких глубоких знаний о пользователях рекламные продукты становятся уникальными и могут представлять большой интерес для рекламодателей.

Прямая речь

Акционеры этой компании предпочитают себя не называть. Как и большинство новых русских, ее известные владельцы связаны с национальными диаспорами: в число совладельцев входят Сергей Асланян, Алеко Крихели. Кстати, в июле 2017 года господин Крихели дал интервью изданию «Совершенно секретно». В числе прочего речь шла и о личных данных пользователей:

– А сами данные, на которых основывается аналитика, big data, продавать не планируете?

— Нет, это наше уникальное богатство, которые мы сами монетизируем за счет рекламы и таргетинга. Не хочется его терять. Мы не являемся оператором персональных данных, и это самое важное. Мы стараемся максимально от этого отойти. У нас человек — это обезличенный профиль, кто это именно, мы не знаем, только номер телефона и мак-адрес. Мы примерно догадываемся о параметрах возраста, пола. Есть определенное понимание, big data все это собирает и сортирует. При этом мы можем делать аналитику.

Спасибо, господин Крихели, теперь все желающие могут делать вашу аналитику. Кстати, этот человек ранее был известен отнюдь не в IT-кругах, а как не слишком удачливый ресторатор. Смена вектора определенно пошла ему на пользу.

Уже в апреле 2018 года стало известно об еще одном совладельце – это, разумеется, РЖД через промежуточные организации (НПФ «Благосостояние», «Трансфингруп»). Разумеется, отдавая заказ без конкурса, транспортники не могли не обеспечить себе долю в прибыли.

А директор компании Борис Вольпе в октябре хорошо высказался для VC.ru: «С моей точки зрения, бизнес-модель в чем-то ущербна, если в соответствии с ней приходится с кем-то активно конкурировать. Либо она должна сделать конкурента нерелевантным, либо должна быть кооперативной».

Действительно, никакой реальной конкуренции «МаксимаТелеком» выдержать не может. И волшебным образом потенциальные конкуренты сами уходят в сторону – например, снижая силу сигнала сотовых сетей на станциях и в тоннелях метро.

Они договорились

Проблема «МаксимаТелекома» типична для России. Частная компания, пользуясь определенными связями с чиновниками, получает большой бюджетный заказ без конкурса, по максимальной цене, после чего старается выполнить этот заказ с минимальными издержками – либо отдавая многие задачи на субподряд, либо просто урезая зарплатный фонд по всем направлениям. При этом в менеджменте сидят пристроенные родственники нужных людей, которым нельзя было отказать – и уровень некомпетентности этого менеджмента потрясает. Когда вы видите, что автотрассу стоимостью миллиарды рублей за километр в реальности строят несчастные таджики буквально за похлебку – вы видите перед собой совершенно аналогичную схему работы.

Хор платных блогеров, вступившихся за сомнительного оператора, – проблема иного свойства. Очевидно, что у оператора нет ни бюджета, ни связей, чтобы оперативно включить армию пропаганды – а значит, он воспользовался чьей-то дружественной организацией. Разумеется, это по-дружески подключилась столичная машина пропаганды, ведь люди Сергея Собянина искренне уверены: нет публикации – нет проблемы, а раз уж публикация есть, то можно много раз написать обратное за приличные деньги, и проблема тоже как-то рассосется.

Интересно, что «МаксимаТелеком» стал оператором московского вайфая, вообще не имея никакого опыта: компания, ранее занимавшаяся совершенно другими проектами, была выкуплена специально под победу в конкурсе. «В Москве эта тема обсуждалась в Департаменте транспорта еще с 2012 года, с 2013 года начались пилоты. Мы долго вели переговоры» – вспоминает Алеко Крихели. Редкое саморазоблачение: ведь покупка компании состоялась в 2013 году. То есть весь бизнес-план по организации конкурса был проговорен московскими властями не с организацией, а с конкретными людьми, которые уже потом подтянули более-менее подходящую бизнес-структуру. Здесь, безусловно, можно усмотреть признаки злоупотребления служебным положением и ограничения конкуренции.

В компании слабо умеют писать код, но хорошо разбираются в переговорах. Так, в Санкт-Петербурге «МаксимаТелеком» активно продвигался совершенно феерическим чиновником Игорем Албиным – тем самым, у которого бакланы съели крышу самого дорогого стадиона в мире. Еще раньше под фамилией Слюняев он довел Министерство регионального развития до полного расформирования, теперь отыгрывается на Санкт-Петербурге, которому последние тридцать лет вообще не везет с руководством.

* * *

Говоря непринужденным языком современных приблатненных чиновников, «МаксимаТелеком» облажался по полной программе. И самым разумным действием со стороны правительства Москвы был бы разрыв 15-летнего контракта с профнепригодным подрядчиком, выставление ему крупного штрафа и назначение нового конкурса с реальным допуском всех конкурентов. Удалось бы и городские деньги сберечь, и провайдера нормального получить.

Полная версия