В России две проблемы — дураки и «Российские железные дороги».

Пользователь «Хабра» под ником @LMonoceros рассказал, что получил доступ к камерам наблюдения, внутренним сервисам и приватным данным РЖД. Это произошло в ходе проверки IT-защиты компании.

В большом посте на сайте юзер рассказал, что ему удалось проникнуть во внутренние системы с помощью сервисов с открытыми портами (много фактуры здесь). Автор признался, что его вдохновил текст пользователя @keklick1337, который в ноябре 2019 года смог через дыру в безопасности проникнуть в систему «Сапсанов» (он написал об этом текст).

Кто хочет, может почитать исследование @LMonoceros полностью, здесь лишь кратко перечислим, какую пользу мог бы получить автор, если бы был злоумышленником. Специалист получил доступ к сетевому оборудованию, 10+ тысячам камер на вокзалах и в офисах РЖД, IP-телефонам, внутренним сервисам, системам управления кондиционирования и прочим устройствам и данным.

Энтузиаст заявил, с помощью дыры можно навредить аппаратуре, например, вырубить все камеры. По его оценке, потенциальный хакер может нанести компании многомиллионный ущерб, не говоря уж о террористах, которым база с камерами наблюдения очень бы пригодилась.


Быстро заменить камеры на работающие РЖД не сможет. В резерве столько нет. Купить новые из-за обязанности объявления торгов так же не получится. Таким образом вся железная дорога будет без видеонаблюдения не меньше месяца. А вот это уже опасность террористической угрозы. Чтобы ее хоть как-то снизить потребуется на 10 тысячах объектов существенно усилить охрану.

@LMonoceros.

На публикацию хакера отреагировал @keklick1337 — тот самый программист, который ранее проник в систему «Сапсана». По его словам, постом про дыры в РЖД энтузиаст фактически «заслужил» 272-ю статью УК РФ («Неправомерный доступ к компьютерной информации»).

В комментарии к записи он рассказал, что РЖД пытались завести на него уголовное дело за проникновение в собственные сети, а «Хабр» якобы слил на него всю инфу по требования правоохранительных органов (Кеклик постил под псевдонимом, личные данные были только у «Хабра»).

В середине дня РЖД отреагировали на резонансную публикацию, заметив, что проведут расследование. Компания отказалась признавать, что с ее цифровой безопасностью что-то не так: «Сообщаем, что утечки персональных данных клиентов холдинга не произошло, угрозы безопасности движения нет».

Напомним, что по похожему сценария ситуация развивалась и в конце 2019 года, когда РЖД назвали автора поста про «Сапсаны» «юным натуралистом» и «злоумышленником», а также отвергли наличие уязвимостей.



Главное
Тимофей Беляков
28 Янв '21
86
Лучший смартфон до 30 тысяч рублей отдают по скидке. Надо торопиться — скоро он пропадет из продажи
Это самый топовый девайс Realme.
Андрей Ставицкий
27 Янв '21
1115
Лучший iPhone 12 подешевел. Особенно повезло жителям регионов
Сравниваем его с 12 mini.
Андрей Ставицкий
26 Янв '21
2051
iPhone 12 Pro уже стоит сильно дешевле, чем на старте. Знаем, где выгодно брать лучшую модель
OLED, три камеры с лидаром и 5G — убедили?
Тимофей Беляков
26 Янв '21
7109
Хитовые девайсы Realme можно урвать по отличным ценам. Рассказываем, как это сделать
Довольно щедро!
Шамиль Газибегов
25 Янв '21
5569
Флагман Asus ZenFone внезапно обесценился в России. Это уникальный девайс на чистом Android
Конкурентов почти нет.
Шамиль Газибегов
25 Янв '21
17128
Пора брать флагманы Samsung Galaxy S20. Девайсы стоят рекордно дешево
Собрали кучу полезных ссылок.
Комментарии