РЖД заявила об отсутствии критических уязвимостей Wi-Fi в «Сапсане» и назвала пользователя «Хабра» злоумышленником Статьи редакции

Дорабатывать систему тоже не будут.

В РЖД заявили, что провели проверку после сообщений о взломе публичного Wi-Fi в «Сапсане». Компания не нашла критических уязвимостей, которые могли приводить к утечке данных. Об этом сообщило ТАСС со ссылкой на директора РЖД по информационным технологиям Евгения Чаркина.

Чаркин уточнил, что дорабатывать систему «Сапсанов» не будут. «Защищённая система — это та система, взлом которой стоит дороже, чем ценность информации, которая там есть. Вот и всё», — пояснил он.

Во-первых никакие данные персональные [в системе] не хранятся [...] Почему удалось взломать? Наверное, потому, что злоумышленник. Там уязвимостей, которые бы влияли на утечку каких-то критических данных, нет.

Евгений Чаркин
директор РЖД по информационным технологиям

15 ноября пользователь «Хабра» рассказал, как взломал Wi-Fi в «Сапсане» пока ехал из Петербурга в Москву и заявил, что на серверах хранятся данные пассажиров. В РЖД хранение персональных данных отвергли.

{ "author_name": "Артём Мазанов", "author_type": "editor", "tags": ["\u0445\u0430\u0431\u0440","\u0440\u0436\u0434","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u0432\u0437\u043b\u043e\u043c\u044b"], "comments": 82, "likes": 112, "favorites": 20, "is_advertisement": false, "subsite_label": "news", "id": 127235, "is_wide": true, "is_ugc": false, "date": "Thu, 21 Nov 2019 12:18:21 +0300", "is_special": false }
0
82 комментария
Популярные
По порядку
Написать комментарий...
Седой Женя

Почему удалось взломать? Наверное, потому, что злоумышленник.

АХАХАХАХАХААХ. Извините

Почему убил? Потому что убийца

Почему украл? Потому что вор

Евгений Чаркин - директор РЖД по профессиональному пиздежу.

202
Седой Женя

Чтоб вы правильно поняли мой посыл - директор РЖД по информационным технологиям ОФИЦИАЛЬНО признает, что для того, что бы взломать "Спасан", нужно быть всего лишь "злоумышленником".

123

хуясе, новый уровень копЕтана!!!

3
Седой Женя

Всегда на страже очевидного!

4
Возможный Даниль

Комментарий удален по просьбе пользователя

1

Комментарий удален по просьбе пользователя

15

Нет уязвимостей. Это лазейка для майора ;)

2
Лесной Орзэмэс

- Во-первых, я вообще не ебу какие данные там хранятся.
- Во-вторых, хуй знает как эти пиздюки что-то там взламывают, но наверняка их можно за это притянуть.
- В-третьих, никаких уязвимостей у нас нет, я на себя этот геморой вешать не собираюсь.
- В-четвертых, вы сначала бюджет мне на доработку запилите, потом уже мозг ебите.
Евгений Чаркин
директор РЖД по информационным технологиям

136
Сталинский Слава

Чаркин уточнил, что дорабатывать систему «Сапсанов» не будут. «Защищённая система — это та система, взлом которой стоит дороже, чем ценность информации, которая там есть. Вот и всё», — пояснил он.

Как посчитать ценность базы паспортов

33
Седой Женя

Уверен, что его там сейчас на хуях вертят за упущенную возможность с государства денег попросить на "модернизацию" и распил.

28

Не было там никаких паспортов. Там было "четре цифры от документа, на который была оформлена покупка".
Ценность такой информации действительно нулевая.

4
Сталинский Слава

Ну даже если так, информация не несёт ценности, только если она в свободном доступе

0

Щито? Это просто собершенно бесполезная информация. НО!

Cпециально для вас: СУПРЕСЛИВ!!  База данных последних 4-х цифр от паспортов! Проверьте себя - если ваш паспорт в этом списке - вы в ОПАСНОСТЕ!!!!

https://drive.google.com/open?id=18z6nSqFZD24EWJeFqDVZx1XTfOYpKOnq

0

Ааааа, чёрт, нашёл четыре последние цифры номера своего паспорта! Кошмар какой. Скажите, на меня уже взяли кредит, да?

0

Ты перепутал. Это же полная база всех пинкодов. ОТКУДА У ТЕБЯ ЭТО!

0

Едешь к ближайшему МВД и спрашиваешь у торгаша базами паспортов, автомобильных номеров и прочего

3

1 паспорт 300-500 рублей. Вот и считай 

0
Китайский паук например

Он уже посчитал и решил что ценность паспортов пассажиров нулевая.

0
Сильный единорожек88

Защищённая система — это та система, взлом которой стоит дороже, чем ценность информации, которая там есть.

Взлом которой занял 20 минут с обычного ноута. Ок, покупка ноута это действительно очень дорого. Либо информация что там хранится им настолько не ценна

13

в теории можно на ведропланшет накатить линю, выйдет дешевле

0

Тогда уж с Raspberry Pi 

3
Седой Женя

Ну можно к стоимости ноута докинуть стоимость софта на нем и стоимость обучения хакера, я считаю.
Короч паспортные данные людей стоят около 500к (с запасом)

0

Кто-нибудь замените директора РЖД по информационным технологиям. Его кажется взломали.

1
Лесной Орзэмэс

Компетентный директор по информационным технологиям — это тот директор, замена которого стоит дороже, чем содержание того, который сейчас есть. Вот и всё

38

Система взламывается и злоумышленник может перехватывать трафик всех пассажиров. Это не какие-то там данные, это дохрена чего можно утянуть, используя оборудование РЖД.
Автор говорил мол имея доступ к серверу можно перехватывать даже https трафик, но я что-то в этом сомневаюсь

11

вот тут верное замечание, эти места - фамилии нафик не уперлись, а вот с перехвата кого нужно,  можно хорошо поиметь. хотя РЖД скажет, трафик не наш, сами себе буратины, нам пос...ть.

3
Художественный кот

С HTTPS я тоже чёт не понял. Ну да, наверно можно оформить MITM-прокси с подменой CA на РЖДшный, но весь современный софт на это будет вонять.

1

Комментарий удален по просьбе пользователя

0
Художественный кот

Я ж не об этом. Для перехвата читабельного HTTPS-трафика требуется MITM. Проблема в том, что все девайсы от него защищены в целом.

0
Западный чайник

С учетом того, какое количество сертов ставят всякие пользователи сбисов контуров и налоговых онлайн.. если это рабочий ноут бизнесмена на котором он имеет дело с этим )

0

Комментарий удален по просьбе пользователя

0

Так дело ведь даже не в этом. Куча приложений (если это приложения) и даже хром будут ругаться, если сайт подписан сертификатом, выданным не для этого домена.

0
Художественный кот

Корпоративные MITM-прокси на лету генерят сертификаты с нужным доменом. Ты маленько отстал от жизни.

0

Настолько отстал, что сам настраивал это на фаерволе, ага.
Для такого финта нужен CA сертификат добавленный в доверенные центры авторизации на всех устройствах. А в случае хрома - в его внутреннее хранилище

0
Художественный кот

О чём я и сказал сразу. Поэтому я не совсем понял, что имел в виду автор с Хабра.

0

Но, кстати, в последних версиях TLS есть пининг и с ним даже корпоративный CA не помогает вроде как. По крайней мере вендор сказал что не будет работать эта тема. 

0
Художественный кот

Это какая-то новая версия депрекейтнутого HPKP?

0

Комментарий удален по просьбе пользователя

0

Комментарий удален по просьбе пользователя

5
Седой Женя

QWERTY уже неактуален.
Прогрессивные мира сего давно перешли на 123qwe

14

Комментарий удален по просьбе пользователя

0
Седой Женя

пароли в виде дат рождения выдают чиновникам и менеджерам средней руки. Топ-манагерам и руководителям отделов в защищенном кейсе и с телохранителями принося бумажку с 6 одинаковыми цифрами.

11

а по большому блату можно выбить красивый пароль типа 777АУЕ

3

Устаревшая классика. 

2

Комментарий удален по просьбе пользователя

1

Девичью фамилию отца.

14
Седой Женя

Первая кличка второго кота двоюродной племянницы по линии матери троюродной сестры отца

0

{Первая кличка, имена: кота, двоюродной племянницы, матери, троюродной сестры, отца}
Нормальной силы пароль получается.

1

Прогрессивные мира сего давно перешли на 123qwe

2

Модно по SIM, X509 и прочие Apple Watch авторизации. Вошел в поезд и поезд разблокировался.

1

Вообще-то нет, вот надёга: 1q2w3e

1

Откуда у тебя мой пароль

1

123Qwe

0

А это уже очень сложно, не запомнить) 

0

 Защищённая система — это та система, взлом которой стоит дороже, чем ценность информации, которая там есть.

Чел просто просканил систему на наличие актуальных уязвимостей, нашёл их, запустил эксплоиты к ним, которые в открытом доступе лежат, и вошёл. Если бы как минимум софт постоянно обновлялся, то проблемы бы не было. Да, тот чел был пентестер и ехал с конфы по взломам как раз.

8

Ну да, ну да. Так они и признали свои ошибки. Скорее метеорит в шубохранилище врежется, чем РЖД сделает что-то по уму.

4

Защищают планету от метеоритов

0

Чем в России что-то сделают по уму. 

0

Дык как они сделают по уму? Обрудование все или китайское сделанное на коленке в подвале с экзекутабле файлом в домашней директории пользователя разрабатывавшего приложение или западное. Экспертизы немножечко есть у Positive Technologies, но РЖД дазве когда-нибудь снизойдет до того что бы подряд организовать и купить аудит. В целом я думаю, что истории будут продолжаться.

0

Какой стыд, думаю такое отношение к данным пользователей будет длиться до тех пор пока их кто нибудь хорошо не засудит. Прямо хочется чтобы это произошло.
А где-то в параллельной вселенной - программисту выплатили вознаграждение, а также устранили брешь в защите.

2

с нашими судами, у которых жизнь ничего не стоит, да к тому же с гос монополией.... ухахаха

4

Комментарий удален по просьбе пользователя

2

отрицательная, как депозит в скандинаских банках

0

Ну и речь у этого товарища.

1

Вы намекаете, что подовляющее большинство менеджеров и директоров в Российских компаниях прошли курсы переподготовки квалификации "войти-в-айти" и теперь занимают вкусные должногсти на 100500 денг? Дык, да. Так всегда в России было. А всякие фломастеры учившиеся всю жизнь тупа сваливают на запад делать там бизнес.

0

Об этом

0

Они ему обнулили бонусные мили, не?

1

каких-то критических данных, НЕТ - "Пидора ответ".

1

Так всё верно, нет там никаких уязвимостей, просто пароли не поставили на половину систем, а у второй половины оставили дефолтные.

0
Неопределенный инструмент

То есть то, что любой может положить вай вай, за который вообще то пассажиры деньги платят - ничего не стоит? Уровень сервиса - РЖД

0

Орали всем вагоном.

0

как перестать орать?! хочется позвонить в it департаментотделуправлениедирекцию ржд и сказать: «Алло!!!! Вы шо, совсем ебобо?»

0

как обосраться и не подать виду

0

Подумаешь там , кто-то узнал куда вы ездили, во сколько, ваш номер паспорта, скриншот паспорта, скриншот справочки для посещения бассейна, и всю подноготную, это что критическая информация, кличку кота или фото собаки мы же там не храним. Всё нормально у нас с безопасностью! ред.

0

Воруют воры. Логично. Не поспоришь.

0

Какой честный чувак.

0

А где видеоотчет о происходящем. В целом шум там где-то был, а по факту что было добыто и как ... Где видео демонстрирующее перехват трафика или  документов или звонков или что-то там... В целом если нет доказательств, то может и просто брехня.

0

Типичный говночиновник. Ему провели бесплатный аудит, а он вместо благодарности прилюдно отбеливает свой анус.

0

Лично сканил сетку от нечего делать во время поездки за пару недель до этого. Наиденое реально вызвало кучу вопросов. Не эксплуатировано исключительно в силу того что сканил с телефона.

фз152, ПДн, пентест, обновления - не, не слышал - директор ит службы РЖД (с) 

0
Читать все 82 комментария
null