Американец повесил на машину номер «NULL», чтобы обмануть систему. Вместо этого он получил штрафы за других людей

Система начала назначать все неоплаченные штрафы на номерной знак.

В закладки
Аудио
Иллюстрация Виктора Тангерманна

Исследователь по кибербезопасности под псевдонимом Droogie зарегистрировал номерной знак «NULL», чтобы обмануть камеры скорости и паркоматы. Он надеялся, что номер не смогут распознать, но вместо этого получил штрафы за других людей. Об этом сообщил Mashable со ссылкой на выступление Droogie на конференции DEFCON.

По словам исследователя, он зарегистрировал номер в шутку и надеялся стать «невидимым» для паркоматов и камер. По его задумке, полицейские системы не должны были принимать значение NULL. Отчасти план сработал: номер и правда вызвал проблемы в системах, но не те, что думал Droogie.

Droogie на конференции DEFCON Фото Джека Морзе для Mashable

Исследователь не сразу понял, что произошло. Droogie пояснил, что он осторожный водитель и в первый год не получал никаких штрафов. Потом ему понадобилось перерегистрировать номера, но сайт Департамента автотранспорта (DMV) не распознал «NULL» как номерной знак.

Скриншот сайта Департамента автортранспорта после ввода «NULL» Фото Джека Морзе для Mashable

Тогда исследователь впервые заподозрил проблемы, а потом получил штрафов на 12 тысяч долларов, хотя не совершал нарушений. Droogie считает, что причиной стала ошибка в системе процессингового центра: вероятно, все нераспознанные номера там указываются как NULL, поэтому исследователю прислали штрафы за других людей.

Эксперт рассказал о произошедшем Департаменту автотранспорта Калифорнии и полиции Лос-Анджелеса, но там ему посоветовали просто сменить номера. Исследователь отказался, потому что не считает, что сделал что-то не так.

В департаменте связались с частным подрядчиком, который обрабатывает данные с номеров, и попросили снять все штрафы. Но, по словам, Droogie, саму ошибку так не исправили — после этого он получил штрафов ещё на 6 тысяч долларов.

Спасибо за наводку hh

Материал опубликован пользователем.
Нажмите кнопку «Написать», чтобы рассказать свою историю.

Написать
{ "author_name": "hh", "author_type": "self", "tags": ["\u0445\u0430\u043a\u0435\u0440\u044b","\u043a\u0438\u0431\u0435\u0440\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c"], "comments": 47, "likes": 159, "favorites": 21, "is_advertisement": false, "subsite_label": "tech", "id": 111341, "is_wide": false, "is_ugc": false, "date": "Wed, 14 Aug 2019 14:24:04 +0300", "is_special": false }
0
{ "id": 111341, "author_id": 5135, "diff_limit": 1000, "urls": {"diff":"\/comments\/111341\/get","add":"\/comments\/111341\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/111341"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 214344, "last_count_and_date": null }
47 комментариев
Популярные
По порядку
Написать комментарий...
24

Надо было undefined

Ответить
31

За такую хитрость ему бутылочную инъекцию в жопу назначат

Ответить
0

У нас точно))

Ответить
0

Система это за команду примет?

Ответить
6

По задумке, да. Типа система должна принять номерной знак и начать его сверять в своей базе данных. Поэтому вначале он написал номер, кавычку и точку с запятой. Система решит, что параметр уже был передан и начнет исполнять команду далее: DROP DATABASE... То есть стирать дб. Но на практике, это не сбработает никогда, потому что контрится на раз-два, а код, уязвимый к подобной херне пишут только отбитые.

Ответить
18

Ну дык в госорганы эти отбитые как раз и идут

Ответить
2

так в госорганах никто сам не пишет: все заказывается у частных интеграторов

Ответить
1

Аутсорсам из Индии отдадут

Ответить
0

Что не отменяет тот факт, что заказы чаще всего выполняются "на отвали". Средства получены, бюджет распилен (хотя масштабы распилов в США наверняка на порядок меньше, но не верю, что их там вообще нет).

Ответить
0

Так я и не спорю, но это вообще тупизм. Даже для них.

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
2

Он что то внесёт в базу в строку со своим номером? Извините я вообще не силён в программировании. Я в начале подумал, что это что то типа для обрушения базы данных, но потом прочёл про инъекцию и подумал, что это относится к переменным в скобках. В любом случае спасибо за ссылку было интересно!

Ответить
1

Ну это и есть для обрушения, там же так и написано DROP DATABASE. Но в целом инъекции, конечно, не только для обрушения используются.

Ответить
0

лол, я только хотел эту картинку искать и сюда кинуть.

Ответить
0

ахахахахахахаха, сказочный ............

Ответить
8

Ловите жабаскриптера

Ответить
35

Ох уж эта динамическая типизация.

Ответить
3

Ох уж эта возможность иметь пустой указатель.

Ответить
1

Скорее это от слабой типизации. В языках с динамической типизацией, но со строгой типизации такого быть не может

Ответить
18
Ответить
16

HyperFace - ткань, разработанная для того, чтобы сбивать с толку системы распознавания лиц.

Ответить
10

Надо надевать такую на митинги

Ответить
0

В России это запрещено законом

Ответить
2

У меня просто платок такой, ничего не знаю.

Ответить
0

The patterns on the goods in this shop are designed to trigger Automated License Plate Readers, injecting junk data in to the systems used by the State and its contractors to monitor and track civilians and their locations.

Шаблоны на товарах в этом магазине предназначены для запуска автоматических считывателей номерных знаков, вводящих ненужные данные в системы, используемые государством и его подрядчиками для мониторинга и отслеживания гражданских лиц и их местоположения.

Ответить
0

Ну в любом другом языке такой код вообще бы не выполнился.

Ответить
0

deleted

Ответить
0

Да ладно?

Ответить
2

/dev/null

Ответить
1

спасибо

Ответить
1

Наверное, именно так появились опциональные переменные

Ответить
1

зачем бороться с системой, если она вечна?

Ответить
1

Сказочный NULL

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
0

прикол, у нас не прокатит...

Ответить
0

Ну, штрафы-то с камер приходить не будут

Ответить
0

Обnullился так обnullился!

Ответить
0

Горе от ума

Ответить
0

Сломал систему.

Ответить
Обсуждаемое
Истории
Фоторепортаж: Школьники Нью-Йорка бастуют против изменения климата на «Пятнице ради будущего»
Тысячи американских подростков на улицах города, следующих заветам 16-летней экоактивистки Греты Тунберг.
Интернет и мемы
Прямая трансляция: «Штурм Зоны 51»
Следим, как воплощается в жизнь самая безумная мем-активность года, назначенная на 20 сентября.
Истории
Кем ты стал: Алекс — режиссёр порно из России, который сотрудничает с лучшими студиями США
Большой рассказ об изнанке бизнеса, серьёзной проблеме пиратства и предпочтениях пользователей.
Популярное за три дня
Истории
Кем ты стал: Алекс — режиссёр порно из России, который сотрудничает с лучшими студиями США
Большой рассказ об изнанке бизнеса, серьёзной проблеме пиратства и предпочтениях пользователей.
Новости
Павла Устинова, осуждённого за вывих плеча росгвардейца на митинге 3 августа, выпустили из СИЗО
Об этом просил адвокат Анатолий Кучерена и ходатайствовала Генпрокуратура.
Интернет и мемы
75 храбрецов из двух миллионов: как прошёл «штурм Зоны 51»
20 сентября в Неваде не стало кровавой трагедией или великим похищением инопланетян. Но это всё равно доказательство, что мемы объединяют.

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "fizc" } } }, { "id": 4, "label": "Article Branding", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "cfovy", "p2": "glug" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfk" } } }, { "id": 6, "disable": true, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byswn", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "cndo", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223677-0", "render_to": "inpage_VI-223677-0-130073047", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=cndo&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Баннер в ленте на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudv", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "ccydt", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvc" } } } ]