[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfk" } } }, { "id": 6, "disable": true, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byswn", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "create", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "cndo", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223677-0", "render_to": "inpage_VI-223677-0-101273134", "adfox_url": "//ads.adfox.ru/228129/getCode?p1=byaeu&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid11=&puid12=&puid13=&puid14=&puid21=&puid22=&puid31=&fmt=1&pr=" } } ]
{ "author_name": "Roman Persianinov", "author_type": "self", "tags": ["\u043a\u0438\u0431\u0435\u0440\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c","\u0440\u0430\u0437\u0431\u043e\u0440\u044b"], "comments": 13, "likes": 20, "favorites": 4, "is_advertisement": false, "section_name": "default", "id": "59932" }
Roman Persianinov
3 206

Охранной фирме «Гольфстрим» указали на брешь, угрожавшую безопасности клиентов

Российская компания назвала информацию неактуальной и заподозрила сообщивших в «шантаже».

Поделиться

В избранное

В избранном

Машина сотрудников быстрого реагирования. Фото «Гольфстрим»

26 сентября основатель биржи по продаже уязвимостей в ПО Expocod Андрей Шорохов опубликовал на «Хабрахабре» исследование о системе охранной компании «Гольфстрим». Специалист заявил, что в ней находятся уязвимости, угрожающие персональным данным клиентов и защите их домов. До этого он несколько месяцев пытался убедить компанию в проблеме, но, как утверждает, не получил ответа.

27 сентября автор обновил заметку и сообщил, что наконец «донёс» до руководства фирмы степень важности проблемы. В ответ на это представители «Гольфстрим» рассказали TJ, что материал изначально был неактуальным. Они закрыли уязвимость ещё до сообщений Шорохова, а его действия расценили как попытку «шантажа».

Чем занимается «Гольфстрим»

Охранная компания создаёт, настраивает и продаёт системы безопасности для федеральных, коммерческих или индивидуальных клиентов. Фирма продаёт камеры видеонаблюдения, устанавливает сигнализацию, защитные панели для авторизации, а также имеет специальное подразделение для быстрого реагирования, команду операторов и мониторинговый центр.

«Гольфстрим» основал Вениамин Письман в 1994 году, ему принадлежит 99% фирмы. Для развития компании и создания радиоканальной сети мониторинга предприниматель взял кредит на два миллиона долларов. Теперь, как он утверждает, свою безопасность «Гольфстриму» доверяют банки и музеи.

Общее число клиентов компании — 75 тысяч человек, её центры работают в 21 регионе страны. Количество охраняемых объектов в Москве и Подмосковье составляет больше 60 тысяч.

Почему Expocod опубликовала доклад в открытом доступе

«Некоторое время назад» Expocod узнала о наличии серьёзной уязвимости в системе компании «Гольфстрим», работающей в сфере охранных систем с 1994 года. Дыра позволяла получить доступ к персональным данным пользователей и удалённо управлять сигнализацией «огромного количества объектов».

По словам Шорохова, его компания совместно с анонимным иностранным партнёром пыталась сообщить «Гольфстрим» о проблеме. Они звонили по телефону сотрудникам, писали на электронную почту, приезжали в офис, однако это ни к чему не привело. Поэтому Expocod решила опубликовать подробности уязвимости в СМИ, но не указывать детали, необходимые для эксплуатации системной бреши.

Шорохов предупредил, что публикация создана только с информационной целью и призвана обратить внимание руководства «Гольфстрим» на уязвимости информационной системы. Он подчеркнул, что дыры в защите ставят под удар безопасность клиентов. Шорохов утверждает, что система используется на объектах, охраняемых ФСО. В ведомстве пока не ответили TJ на вопрос, сотрудничают ли они с «Гольфстримом».

О каких уязвимостях идёт речь

Expocod и партнёры компании утверждают, что нашли системные бреши в протоколе взаимодействия мобильного приложения с центральным управлением «Гольфстрим». Этот канал связи якобы не был зашифрован: информация проходила по открытым каналам «без какой-либо защиты».

Киберспециалисты продемонстрировали способ доступа к пользовательской информации. Через запрос к API они перебрали в системе ID пользователей и таким образом нашли данные профиля и частичный адрес соучредителя «Гольфстрима» Вениамина Письмана.

​Виниамин Письман с кубками благотворительного теннисного турнира «Absolut Open». Фото Tour Tenniss

В Expocod разобрались, как с помощью запросов к API можно получить видео с камер наблюдения, установленных у клиентов компании. Через такой же же перебор пользовательских профилей специалисты нашли камеры с трансляцией, предположительно, из офиса «Гольфстрима». Сигнализацию, как уточнил Шорохов, можно включить и выключить в любом из тысяч объектов «Гольфстрима» по простому запросу «panel/setArmState».

Другая уязвимость заключалась в бесконтактных ключах. Если объект оборудован этой технологией, по запросу к API можно получить информацию о серийном номере ключа (даёт возможность сделать дубликат), отключить конкретные ключи или заменить их серийные номера.

Как выглядит дубликатор бесконтатных ключей

Мнения сторон

Expocod

Изначально опубликованная статья называлась «Сага о Гольфстриме и гопниках». Позднее автор поменял заголовок на «Сага о Гольфстриме и уровне ИБ в крупной охранной фирме». Судя по всему, под «гопническим» подразумевался стиль общения представителей «Гольфстрима» с сотрудником Expocod. Шорохов утверждает, что у него есть запись разговора. Он рассказал TJ, что изменил заголовок, чтобы избавить читателей от нелицеприятных выражений,

Если верить автору, киберспециалисты около двух месяцев пытались сообщить охранной фирме об уязвимости. 27 сентября Шорохов обновил статью на «Хабрахабре» со словами «Рады, что удалось донести до руководства компании данную проблему, существующую около двух лет. На данный момент сервера компании отключены», — заключил он.

В разговоре с TJ Шорохов объяснил, что не планирует публиковать запись разговора с сотрудниками «Гольфстрима» в открытом доступе «из-за соображений уголовного кодекса». Он предложил корреспонденту приехать в компанию и лично прослушать запись. Также специалист подчеркнул, что изучением уязвимостей охранной фирмы занимался иностранный партнер Expocod на анонимной основе.

«Гольфстрим»

В разговоре с TJ представители «Гольфстрим» признали, что в системе действительно присутствовала уязвимость. Компания заявила, что ошибку выявили сотрудники и устранили её 14 сентября. Хотя в «Гольфстриме» утверждают, что уязвимостью никто не воспользовался, фирма посоветовала всем клиентам обновить мобильное приложение.

В компании подчеркнули — к моменту публикации, 26 сентября, информация в статье Expocod потеряла актуальность. Сервера работали в стандартном режиме, их никто не отключал. Шорохов отрицает эту информацию — по его данным, в 10 часов утра 27 сентября сервис авторизации мобильного приложения был недоступен и выдавал ошибку 403.

Сотрудники «Гольфстрима» общались с Шороховым, но затем приняли решение «не поддаваться на шантаж и прекратить переговоры». Компания отказалась раскрыть подробности диалога и детали «шантажа». Шорохов также предпочёл не обсуждать этот вопрос.

В «Гольфстриме» не ответили, в чём заключалась закрытая 14 сентября уязвимость и была ли она той же, о которой говорилось в статье. По словам представителей, не все факты в материале правдивы, поэтому однозначно ответить на вопрос TJ нельзя. Фирма не уточнила, какие факты в публикации Шорохова ошибочны.

В «Гольфстриме» начали внутреннее расследование из-за выявленной уязвимости. В декабре 2017 года фирма планирует выпустить переработанную версию мобильного приложения с улучшенной защитой.

#кибербезопасность #разборы

Статьи по теме
Теледрама: бывший техдиректор «ВКонтакте» обвинил Павла Дурова в давлении иском на 100 млн рублей
Ключевая программа безопасности: как устроена система Palantir
Почему не стоит выкладывать фотографии билетов и ключей в социальные сети
Популярные материалы
Показать еще
{ "is_needs_advanced_access": true }

Лучшие комментарии

Дискуссии по теме
доступны только владельцам клубного аккаунта

Купить за 75₽
Авторизоваться

Преимущества
клубного аккаунта

  • отсутствие рекламы
  • возможность писать комментарии и статьи
  • общение с членами клуба
Подробнее

Преимущества
клубного аккаунта

  • отсутствие рекламы
  • возможность читать и писать комментарии
  • общение с членами клуба
  • возможность создавать записи

Сколько это стоит?

Членство в клубе стоит всего 75₽ в месяц. Или даже дешевле при оплате за год.

Что такое клуб?

Клуб ТЖ это сообщество единомышленников. Мы любим читать новости, любим писать статьи, любим общаться друг с другом.

Вступить в клуб

Комментарии Комм.

Популярные

По порядку

0

Прямой эфир

Вы не против подписаться на важные новости от TJ?

Нет, не против