Wie in anderen Großstädten der Welt, zum Beispiel in New York, gibt es in der Moskauer U-Bahn kostenfreies WLAN für die Fahrgäste. Die Moskauer waren dabei aber immer besonders stolz darauf, dass ihr Internet sogar in den Metrozügen funktioniert, nicht nur an den Stationen. Aber das war, bevor der IT-Techniker Wladimir Serow eine Schwachstelle im System fand, die es ermöglichte die Nutzer und deren Datenverkehr zu tracken.
Über ein Jahr lang konnten sowohl Telefonnummer als auch persönliche Daten der Nutzer, wie Alter, Familienstand und regelmäßige Fahrtroute in der Metro, verfolgt werden. Wladimir Serow, der dieses Datenleck entdeckte, hat nun für die Fahrgäste bereits ein Programm zum Schutz vor dem Datenraub im Moskauer Untergrund entwickelt.
Die russische Anti-Terror-Gesetzgebung fordert von den Internetprovidern, dass sie die Telefonnummern der Nutzer des Netzwerks aufzeichnen. Über die individuelle Media Access Control Address (Medienzugangskontrolladresse, MAC-Adresse) kann der Netzwerkanbieter dann auch die persönlichen Daten des Nutzers sehen. Meist wird diese Eigenschaft für personalisierte Werbung sowie den genauen geografischen Standpunkt genutzt.
Laut Serow hat der Netzanbieter des Moskauer Metro-WLANs, Maxima Telecom, diese Daten der Nutzer nicht ausreichend geschützt. Darum sah er sich einmal die Autorisierungsseite genauer an.
„Obwohl die Seite persönliche Daten nicht direkt anfordert, können diese über die MAC-Adresse der Nutzer der Autorisierungsseite sichtbar gemacht werden“, so Serow gegenüber russischen Journalisten. Mit speziellen Programmen könnten dann auch Kriminelle leicht diese Daten sammeln.
Als er die Moskauer Behörden über diese Lücke informierte, erhielt Serow keine Antwort. Daraufhin erzählte er dem Programmierer-Blog Habrahabr von seiner zufälligen Entdeckung in dem Beitrag „Wie sie die Telefonnummer von fast jeder Moskauer Schönheit bekommen – oder ein interessantes Detail von MT_FREE“ (so heißt das freie WLAN in der Moskauer Metro). Serow testete dafür seine Behauptung – und trackte tatsächlich ein Mädchen, das gerade von der Arbeit nachhause fuhr. „Die Leser und ich hatten eine Menge Spaß“, so Serow.
Nach der Publikation des Beitrags reagierte dann doch immerhin Maxima Telecom: Sie sicherten das Netzwerk besser ab. Ihre Bitte, den Blogbeitrag zu löschen, schlug Serow ab. „Die ganze Zeit war sich das Unternehmen bewusst, dass es eine der Grundregeln des Datenschutzes verletzt“, sagt er zur Begründung. „Sie haben nicht nur ungesicherte Informationen über ihre Nutzer gesammelt, was schon beispiellos ist, sondern haben diese auch noch in einem unverschlüsselten Netzwerk verfügbar gemacht. Warum sollte ich schweigen, wenn meine persönlichen Daten so behandelt werden?“
Im Jahr 2016 registrierte das Moskauer WLAN MT_FREE laut Maxim Telecom 12 Millionen Nutzer. Das gleiche Netz bedient auch die U-Bahn in Sankt Petersburg, die Moskauer Flughafen-Expresszüge und das Internet in den Zügen der Russischen Eisenbahnen.
Gerade mit der Sperrung des russischen Messengers Telegram Anfang April hat das Thema Datenschutz und Internet in Russland neue Dringlichkeit erfahren. Hier lesen Sie mehr dazu: