В России две проблемы — дураки и «Российские железные дороги».

Пользователь «Хабра» под ником @LMonoceros рассказал, что получил доступ к камерам наблюдения, внутренним сервисам и приватным данным РЖД. Это произошло в ходе проверки IT-защиты компании.

В большом посте на сайте юзер рассказал, что ему удалось проникнуть во внутренние системы с помощью сервисов с открытыми портами (много фактуры здесь). Автор признался, что его вдохновил текст пользователя @keklick1337, который в ноябре 2019 года смог через дыру в безопасности проникнуть в систему «Сапсанов» (он написал об этом текст).

Кто хочет, может почитать исследование @LMonoceros полностью, здесь лишь кратко перечислим, какую пользу мог бы получить автор, если бы был злоумышленником. Специалист получил доступ к сетевому оборудованию, 10+ тысячам камер на вокзалах и в офисах РЖД, IP-телефонам, внутренним сервисам, системам управления кондиционирования и прочим устройствам и данным.

Энтузиаст заявил, с помощью дыры можно навредить аппаратуре, например, вырубить все камеры. По его оценке, потенциальный хакер может нанести компании многомиллионный ущерб, не говоря уж о террористах, которым база с камерами наблюдения очень бы пригодилась.

Быстро заменить камеры на работающие РЖД не сможет. В резерве столько нет. Купить новые из-за обязанности объявления торгов так же не получится. Таким образом вся железная дорога будет без видеонаблюдения не меньше месяца. А вот это уже опасность террористической угрозы. Чтобы ее хоть как-то снизить потребуется на 10 тысячах объектов существенно усилить охрану.

@LMonoceros.

На публикацию хакера отреагировал @keklick1337 — тот самый программист, который ранее проник в систему «Сапсана». По его словам, постом про дыры в РЖД энтузиаст фактически «заслужил» 272-ю статью УК РФ («Неправомерный доступ к компьютерной информации»).


В комментарии к записи он рассказал, что РЖД пытались завести на него уголовное дело за проникновение в собственные сети, а «Хабр» якобы слил на него всю инфу по требования правоохранительных органов (Кеклик постил под псевдонимом, личные данные были только у «Хабра»).

В середине дня РЖД отреагировали на резонансную публикацию, заметив, что проведут расследование. Компания отказалась признавать, что с ее цифровой безопасностью что-то не так: «Сообщаем, что утечки персональных данных клиентов холдинга не произошло, угрозы безопасности движения нет».

Напомним, что по похожему сценария ситуация развивалась и в конце 2019 года, когда РЖД назвали автора поста про «Сапсаны» «юным натуралистом» и «злоумышленником», а также отвергли наличие уязвимостей.



Главное
Андрей Ставицкий
12 Апр '21
2 172 
Samsung Galaxy S20+ серьезно скинул в цене. По некоторым показателям он уделывает даже новый iPhone
Телефон сильно в порядке!
Андрей Ставицкий
12 Апр '21
10 034 
Культовый клон Apple Watch от Amazfit подешевел. Умные часы доступны с доставкой из России
Аксессуар, который полюбили миллионы.
Андрей Ставицкий
11 Апр '21
5 860 
Как пользоваться подпиской «Яндекс.Плюс» с огромной скидкой? Вечная акция с бесплатным периодом
За год сэкономим почти 2000 рублей.
Шамиль Газибегов
10 Апр '21
4 315 
Новый бюджетник Realme отдают за гроши и с подарком. Подсказываем, где проходит такая акция
Дешевле нет даже в Китае.
Шамиль Газибегов
10 Апр '21
4 883 
Беспроводные наушники Sony сливают по самой низкой цене в МТС. Это гарнитура с АШП и зверской автономностью
Отличный вариант по соотношению цены и качества.
Шамиль Газибегов
10 Апр '21
4 438 
Редкий девайс на чистом Android рекордно подешевел. Это лучший аналог Xiaomi
Про этот середняк мало кто знает.
Комментарии