Пользователь «Хабрахабра» получил доступ к 20 тысячам камер видеонаблюдения в Москве

Пользователь «Хабрахабра» смог получить доступ к более чем 20 тысячам камер наружного виденаблюдения, установленным в Москве. О том, как ему это удалось, он рассказал 24 января, опубликовав подробное описание обнаруженного им способа подключения к системе.

Обновлено: добавлен комментарий пресс-службы московского департамента информационных технологий.

По словам автора заметки, задуматься о получении доступа к камерам его заставила случайно попавшаяся в одном из пабликов во «ВКонтакте» картинка. Изображение представляло собой кадр записи, сделанной через систему городского видеонаблюдения со служебными данными о камере, с которой оно проводилось.

Пообщавшись с автором снимка, пользователь получил от него ссылку для временного доступа к камере. По его словам, она позволяла в течение недели смотреть архив записи наблюдения, при этом не управляя самим устройством.

Проверка исходного кода, обнаруженного благодаря ссылке, помогла получить набор потоков, скопировав которые в медиаплеер, можно было подключиться к картинке с той или иной видеокамеры.

Короче. Вставляете ссылку вида obmen-video.echd.ru/cameraManager/ajaxGetVideoUrls?id=ХХХ&_=1421929669467 в браузер (где ХХХ — произвольный айдишник, я пробовал числа от 50 до 20 000), получаете набор потоков, который можно вставить в медиаплеер на своём смартфоне и при должном упорстве вы можете увидеть себя, курящим у подъезда своего дома.

пользователь «Хабрахабра»

В комментариях к записи пользователи ресурса подтверждают: описанный способ действительно работает. Скриншоты, сделанные со «взломанных» камер, после публикации на «Хабре» стали появляться и в соцсетях, где также сообщают, что метод работает.

Проверил — работает. Смотрю в прямом эфире чей-то двор pic.twitter.com/Kx4chOGbBx

— Руслан Левиев (@RuslanLeviev) January 24, 2015

Как уточняет автор заметки, система управления камерами принадлежит Единому центру хранения данных Москвы (ЕЦХД). Структура представляет собой государственную информационную систему города и управляется Мосгортелекомом. По словам пользователя, он пытался связаться с представителями ЕЦХД по поводу уязвимости, но ответа так и не получил.

Позже ситуацию прокомментировали в московском Департаменте информационных технологий. Представитель пресс-службы ведомства Елена Новикова сообщила, что не считает описанный пользователем доступ к системе несанкционированным. По её словам, сейчас тестируется сервис массового облегчённого доступа в городскую систему видеонаблюдения для жителей, а первый публичный его запуск произошёл ещё 30 декабря. Тогда столичные власти все праздники транслировали с городских камер основные площадки гуляний, а позже показывали крещенские купания.

То, что пользователь принял за уязвимость был сервис, который мы тестировали с группой добровольцев. Он никаким образом не влияет на безопасность, так как не дает доступа в защищенный контур системы, не дает возможности управлять камерой или стирать архив. Примерно с полудня доступ закрыт, так как запускать сервис еще преждевременно.

Елена Новикова, пресс-секретарь департамента информационных технологий Москвы