В системе управления придомовыми шлагбаумами в Москве нашли уязвимость. Их можно блокировать или скачать личные данные

Под угрозой оказались около трети шлагбаумов, установленных в городе. Оператор систем въезда устранил ошибку и поблагодарил за её обнаружение.

Компания Postuf, специализирующаяся на информационной безопасности, нашла уязвимость в системе управления придомовыми шлагбаумами от компании «АМ Видео». Ошибка могла стать причиной утечки персональных данных, следует из поста на «Хабре».

Уязвимость позволяла пользователям, заходящим на сайт «АМ Видео» через тестовый аккаунт, получить доступ к любым объектам системы компании. Для этого можно было подставлять ID камер или шлагбаумов, просто подбирая числовой идентификатор. Кроме того, система открывала доступ ко всем данным пользователей: именам, адресам, телефонам, маркам автомобилей. Уязвимость давала возможность блокировать придомовые шлагбаумы, рассылать пользователям системы уведомления или использовать их личные данные.

Как уточнил в разговоре с РБК сооснователь Postuf Бекхан Гендаргеноевский, основная часть шлагбаумов «АМ Видео» — около 85% — установлена в Москве. Компания управляет почти третью шлагбаумов города, более 1500 штук.

По мнению Гендаргеноевского, уязвимость могла возникнуть из-за того, что «АМ Видео» разрабатывала систему своими силами. «Возможно, компания не потянула: код написали, а множество этапов его жизненного цикла, в том числе тестирование и безопасность, — не смогли», — сказал он.

Когда компании передали информацию об уязвимости, она сразу же её устранила, написал Гендаргеноевский. «Мы оперативно организовали работу, своевременно устранили найденную уязвимость. Благодарим компанию, которая её обнаружила. Не ошибается тот, кто не работает. Без ошибок и проблем никакая компания существовать не может», — сказал РБК учредитель «АМ Видео» Антон Уткин.

#новости #хабр #уязвимости