В РЖД заявили, что провели проверку после сообщений о взломе публичного Wi-Fi в «Сапсане». Компания не нашла критических уязвимостей, которые могли приводить к утечке данных. Об этом сообщило ТАСС со ссылкой на директора РЖД по информационным технологиям Евгения Чаркина.
Чаркин уточнил, что дорабатывать систему «Сапсанов» не будут. «Защищённая система — это та система, взлом которой стоит дороже, чем ценность информации, которая там есть. Вот и всё», — пояснил он.
Во-первых никакие данные персональные [в системе] не хранятся [...] Почему удалось взломать? Наверное, потому, что злоумышленник. Там уязвимостей, которые бы влияли на утечку каких-то критических данных, нет.
Евгений Чаркин
директор РЖД по информационным технологиям
15 ноября пользователь «Хабра» рассказал, как взломал Wi-Fi в «Сапсане» пока ехал из Петербурга в Москву и заявил, что на серверах хранятся данные пассажиров. В РЖД хранение персональных данных отвергли.
Чтоб вы правильно поняли мой посыл - директор РЖД по информационным технологиям ОФИЦИАЛЬНО признает, что для того, что бы взломать "Спасан", нужно быть всего лишь "злоумышленником".
- Во-первых, я вообще не ебу какие данные там хранятся.
- Во-вторых, хуй знает как эти пиздюки что-то там взламывают, но наверняка их можно за это притянуть.
- В-третьих, никаких уязвимостей у нас нет, я на себя этот геморой вешать не собираюсь.
- В-четвертых, вы сначала бюджет мне на доработку запилите, потом уже мозг ебите.
Евгений Чаркин
директор РЖД по информационным технологиям
Чаркин уточнил, что дорабатывать систему «Сапсанов» не будут. «Защищённая система — это та система, взлом которой стоит дороже, чем ценность информации, которая там есть. Вот и всё», — пояснил он.
Не было там никаких паспортов. Там было "четре цифры от документа, на который была оформлена покупка".
Ценность такой информации действительно нулевая.
Защищённая система — это та система, взлом которой стоит дороже, чем ценность информации, которая там есть.
Взлом которой занял 20 минут с обычного ноута. Ок, покупка ноута это действительно очень дорого. Либо информация что там хранится им настолько не ценна
Ну можно к стоимости ноута докинуть стоимость софта на нем и стоимость обучения хакера, я считаю.
Короч паспортные данные людей стоят около 500к (с запасом)
Компетентный директор по информационным технологиям — это тот директор, замена которого стоит дороже, чем содержание того, который сейчас есть. Вот и всё
Система взламывается и злоумышленник может перехватывать трафик всех пассажиров. Это не какие-то там данные, это дохрена чего можно утянуть, используя оборудование РЖД.
Автор говорил мол имея доступ к серверу можно перехватывать даже https трафик, но я что-то в этом сомневаюсь
вот тут верное замечание, эти места - фамилии нафик не уперлись, а вот с перехвата кого нужно, можно хорошо поиметь. хотя РЖД скажет, трафик не наш, сами себе буратины, нам пос...ть.
С учетом того, какое количество сертов ставят всякие пользователи сбисов контуров и налоговых онлайн.. если это рабочий ноут бизнесмена на котором он имеет дело с этим )
И большинство уважающих себя интернет-компаний используют HSTS, что на корню пресекает возможность использования MITM, если этот сайт уже посещался ранее с использованием HTTPS.
Так дело ведь даже не в этом. Куча приложений (если это приложения) и даже хром будут ругаться, если сайт подписан сертификатом, выданным не для этого домена.
Настолько отстал, что сам настраивал это на фаерволе, ага.
Для такого финта нужен CA сертификат добавленный в доверенные центры авторизации на всех устройствах. А в случае хрома - в его внутреннее хранилище
Но, кстати, в последних версиях TLS есть пининг и с ним даже корпоративный CA не помогает вроде как. По крайней мере вендор сказал что не будет работать эта тема.
пароли в виде дат рождения выдают чиновникам и менеджерам средней руки. Топ-манагерам и руководителям отделов в защищенном кейсе и с телохранителями принося бумажку с 6 одинаковыми цифрами.
Защищённая система — это та система, взлом которой стоит дороже, чем ценность информации, которая там есть.
Чел просто просканил систему на наличие актуальных уязвимостей, нашёл их, запустил эксплоиты к ним, которые в открытом доступе лежат, и вошёл. Если бы как минимум софт постоянно обновлялся, то проблемы бы не было. Да, тот чел был пентестер и ехал с конфы по взломам как раз.
Дык как они сделают по уму? Обрудование все или китайское сделанное на коленке в подвале с экзекутабле файлом в домашней директории пользователя разрабатывавшего приложение или западное. Экспертизы немножечко есть у Positive Technologies, но РЖД дазве когда-нибудь снизойдет до того что бы подряд организовать и купить аудит. В целом я думаю, что истории будут продолжаться.
Какой стыд, думаю такое отношение к данным пользователей будет длиться до тех пор пока их кто нибудь хорошо не засудит. Прямо хочется чтобы это произошло.
А где-то в параллельной вселенной - программисту выплатили вознаграждение, а также устранили брешь в защите.
Вы намекаете, что подовляющее большинство менеджеров и директоров в Российских компаниях прошли курсы переподготовки квалификации "войти-в-айти" и теперь занимают вкусные должногсти на 100500 денг? Дык, да. Так всегда в России было. А всякие фломастеры учившиеся всю жизнь тупа сваливают на запад делать там бизнес.
Подумаешь там , кто-то узнал куда вы ездили, во сколько, ваш номер паспорта, скриншот паспорта, скриншот справочки для посещения бассейна, и всю подноготную, это что критическая информация, кличку кота или фото собаки мы же там не храним. Всё нормально у нас с безопасностью!
А где видеоотчет о происходящем. В целом шум там где-то был, а по факту что было добыто и как ... Где видео демонстрирующее перехват трафика или документов или звонков или что-то там... В целом если нет доказательств, то может и просто брехня.
Лично сканил сетку от нечего делать во время поездки за пару недель до этого. Наиденое реально вызвало кучу вопросов. Не эксплуатировано исключительно в силу того что сканил с телефона.
фз152, ПДн, пентест, обновления - не, не слышал - директор ит службы РЖД (с)
Так, в агрегаторе новостей «Rambler/Новости» последнее упоминание nginx датируется мартовской новостью о покупке компании, а через «Rambler/Поиск» отображаются только 2 статьи, одна из которых была опубликована полчаса назад.