Охранной фирме «Гольфстрим» указали на брешь, угрожавшую безопасности клиентов

Российская компания назвала информацию неактуальной и заподозрила сообщивших в «шантаже».

26 сентября основатель биржи по продаже уязвимостей в ПО Expocod Андрей Шорохов опубликовал на «Хабрахабре» исследование о системе охранной компании «Гольфстрим». Специалист заявил, что в ней находятся уязвимости, угрожающие персональным данным клиентов и защите их домов. До этого он несколько месяцев пытался убедить компанию в проблеме, но, как утверждает, не получил ответа.

27 сентября автор обновил заметку и сообщил, что наконец «донёс» до руководства фирмы степень важности проблемы. В ответ на это представители «Гольфстрим» рассказали TJ, что материал изначально был неактуальным. Они закрыли уязвимость ещё до сообщений Шорохова, а его действия расценили как попытку «шантажа».

Охранная компания создаёт, настраивает и продаёт системы безопасности для федеральных, коммерческих или индивидуальных клиентов. Фирма продаёт камеры видеонаблюдения, устанавливает сигнализацию, защитные панели для авторизации, а также имеет специальное подразделение для быстрого реагирования, команду операторов и мониторинговый центр.

«Гольфстрим» основал Вениамин Письман в 1994 году, ему принадлежит 99% фирмы. Для развития компании и создания радиоканальной сети мониторинга предприниматель взял кредит на два миллиона долларов. Теперь, как он утверждает, свою безопасность «Гольфстриму» доверяют банки и музеи.

Общее число клиентов компании — 75 тысяч человек, её центры работают в 21 регионе страны. Количество охраняемых объектов в Москве и Подмосковье составляет больше 60 тысяч.

«Некоторое время назад» Expocod узнала о наличии серьёзной уязвимости в системе компании «Гольфстрим», работающей в сфере охранных систем с 1994 года. Дыра позволяла получить доступ к персональным данным пользователей и удалённо управлять сигнализацией «огромного количества объектов».

По словам Шорохова, его компания совместно с анонимным иностранным партнёром пыталась сообщить «Гольфстрим» о проблеме. Они звонили по телефону сотрудникам, писали на электронную почту, приезжали в офис, однако это ни к чему не привело. Поэтому Expocod решила опубликовать подробности уязвимости в СМИ, но не указывать детали, необходимые для эксплуатации системной бреши.

Шорохов предупредил, что публикация создана только с информационной целью и призвана обратить внимание руководства «Гольфстрим» на уязвимости информационной системы. Он подчеркнул, что дыры в защите ставят под удар безопасность клиентов. Шорохов утверждает, что система используется на объектах, охраняемых ФСО. В ведомстве пока не ответили TJ на вопрос, сотрудничают ли они с «Гольфстримом».

Expocod и партнёры компании утверждают, что нашли системные бреши в протоколе взаимодействия мобильного приложения с центральным управлением «Гольфстрим». Этот канал связи якобы не был зашифрован: информация проходила по открытым каналам «без какой-либо защиты».

Киберспециалисты продемонстрировали способ доступа к пользовательской информации. Через запрос к API они перебрали в системе ID пользователей и таким образом нашли данные профиля и частичный адрес соучредителя «Гольфстрима» Вениамина Письмана.

В Expocod разобрались, как с помощью запросов к API можно получить видео с камер наблюдения, установленных у клиентов компании. Через такой же же перебор пользовательских профилей специалисты нашли камеры с трансляцией, предположительно, из офиса «Гольфстрима». Сигнализацию, как уточнил Шорохов, можно включить и выключить в любом из тысяч объектов «Гольфстрима» по простому запросу «panel/setArmState».

Другая уязвимость заключалась в бесконтактных ключах. Если объект оборудован этой технологией, по запросу к API можно получить информацию о серийном номере ключа (даёт возможность сделать дубликат), отключить конкретные ключи или заменить их серийные номера.

Expocod

Изначально опубликованная статья называлась «Сага о Гольфстриме и гопниках». Позднее автор поменял заголовок на «Сага о Гольфстриме и уровне ИБ в крупной охранной фирме». Судя по всему, под «гопническим» подразумевался стиль общения представителей «Гольфстрима» с сотрудником Expocod. Шорохов утверждает, что у него есть запись разговора. Он рассказал TJ, что изменил заголовок, чтобы избавить читателей от нелицеприятных выражений,

Если верить автору, киберспециалисты около двух месяцев пытались сообщить охранной фирме об уязвимости. 27 сентября Шорохов обновил статью на «Хабрахабре» со словами «Рады, что удалось донести до руководства компании данную проблему, существующую около двух лет. На данный момент сервера компании отключены», — заключил он.

В разговоре с TJ Шорохов объяснил, что не планирует публиковать запись разговора с сотрудниками «Гольфстрима» в открытом доступе «из-за соображений уголовного кодекса». Он предложил корреспонденту приехать в компанию и лично прослушать запись. Также специалист подчеркнул, что изучением уязвимостей охранной фирмы занимался иностранный партнер Expocod на анонимной основе.

«Гольфстрим»

В разговоре с TJ представители «Гольфстрим» признали, что в системе действительно присутствовала уязвимость. Компания заявила, что ошибку выявили сотрудники и устранили её 14 сентября. Хотя в «Гольфстриме» утверждают, что уязвимостью никто не воспользовался, фирма посоветовала всем клиентам обновить мобильное приложение.

В компании подчеркнули — к моменту публикации, 26 сентября, информация в статье Expocod потеряла актуальность. Сервера работали в стандартном режиме, их никто не отключал. Шорохов отрицает эту информацию — по его данным, в 10 часов утра 27 сентября сервис авторизации мобильного приложения был недоступен и выдавал ошибку 403.

Сотрудники «Гольфстрима» общались с Шороховым, но затем приняли решение «не поддаваться на шантаж и прекратить переговоры». Компания отказалась раскрыть подробности диалога и детали «шантажа». Шорохов также предпочёл не обсуждать этот вопрос.

В «Гольфстриме» не ответили, в чём заключалась закрытая 14 сентября уязвимость и была ли она той же, о которой говорилось в статье. По словам представителей, не все факты в материале правдивы, поэтому однозначно ответить на вопрос TJ нельзя. Фирма не уточнила, какие факты в публикации Шорохова ошибочны.

В «Гольфстриме» начали внутреннее расследование из-за выявленной уязвимости. В декабре 2017 года фирма планирует выпустить переработанную версию мобильного приложения с улучшенной защитой.

#кибербезопасность #разборы