Рубрика развивается при поддержке
Advertisement

Пользователь «Хабра» рассказал, как взломал Wi-Fi в «Сапсане» и получил доступ к данным пассажиров. В РЖД всё отрицают Статьи редакции

Он успел сделать это за одну поездку от скуки из-за отсутствия интернета.

Обновлено 18 ноября в 17:16: в РЖД рассказали ТАСС, что на серверах информационно-развлекательной системы «Сапсана» нет персональных данных пассажиров. В компании пообещали провести расследование.

Пользователь «Хабра» под псевдонимом keklick1337 рассказал, как взломал Wi-Fi в «Сапсане» пока ехал из Санкт-Петербурга в Москву. Как оказалось, на сервере скоростного поезда хранится информация обо всех текущих и прошлых рейсах.

Взлом Wi-Fi от скуки

Keklick1337 рассказал, что ехал в Москву с конференции по информационной безопасности ZeroNights, на которой не было «интересных задач». Ему быстро наскучило читать книгу, и он решил поработать. Но в пути он часто ловил только 2G-интернет, которого не хватало, даже чтобы подключиться к почте.

Я решил подключиться к местному Wi-Fi «Сапсана». Делал я это впервые! Ну так вот, он попросил меня ввести номер вагона, места и последние 4 цифры паспорта для авторизации, и тут меня уже немного заинтересовало, что же я могу сделать с этой сеткой Сапсана, но всё же в приоритете были пентест-задачи по работе.

Из-за плохого соединения пользователь так и не поработал и собирался вернуться к книге, но попробовал взломать «Сапсан». Он отметил, что раз для авторизации в Wi-Fi нужно вводить цифры паспорта и номер места с вагоном, то поезд хранит у себя данные обо всех пассажирах.

Пользователь решил выяснить, насколько трудно получить к ней доступ. Оказалось, для этого достаточно просканировать сеть и использовать пару публичных эксплоитов.

Как произошёл взлом

Сначала Keklick1337 просканировал сеть «Сапсана» с помощью утилиты nmap с параметрами -v -A. Он обнаружил множество сервисов с открытыми портами и отметил, что такой «взлом» занял 20 минут — и то, потому что сервер «Сапсана» глючил.

Лишь часть открытых портов в сети «Сапсана» Скриншот пользователя «Хабра» Keklick1337​

Пользователь решил зайти на каждый сервис по отдельности. Вскоре он понял, что в «Сапсане» всё работает на одном сервере, на котором установлен Docker — среда для управления и развёртывания контейнерных приложений.

После этого Keklick1337 зашёл в cAdvisor — утилиту для мониторинга ресурсов и удивился показателям. Оперативная память сервера была загружена на 96% — вероятно, из-за этого он и глючил.

Пользователь изучил содержимое контейнеров и с помощью публичных эксплоитов попал в файловую систему. Он пояснил, что у «Сапсана» установлены простые пароли, а по ssh можно получить доступ к Root.

В базе данных на диске «Сапсана» нашлась информация обо всех пассажирах текущего и прошлых рейсов. Кроме того, там оказался VPN в сеть РЖД. Однако больше всего пользователя удивило, что компания не стала покупать сертификат шифрования для HTTPS, а воспользовалась бесплатным Let's Encrypt.

Keklick1337 пришёл к выводу, что в «Сапсанах» всё настроено «ужасно». По его словам, везде используют одни и те же пароли, а данные хранят в текстовых документах.

Пользователь не опубликовал данные авторизации, одинаковые для всех «Сапсанов». Он пояснил, что несколько лет назад уже обращался в РЖД с уязвимостью, но ему не выплатили вознаграждения и просто исправили ошибку.

Keklick1337 призвал компанию исправить уязвимости и пообещал проверить их ещё раз через пару месяцев. Заодно он напомнил всем пассажирам «Сапсана», что их данные находятся под угрозой.

Все, кто подключён к их Wi-Fi, подвержены снифу [перехвату] трафика. Так как всё идёт через их прокси, можно легко собирать HTTP-трафик, но если чуть постараться, то и [зашифрованный] HTTPS (проверенно). К данным пассажиров рейса получить доступ не составляет труда, и занимает это от силы 20 минут.

Редакция TJ обратилась в РЖД за комментарием, но не получила ответа. ТАСС компания рассказала, что проведёт расследование после заявления пользователя Хабра о взломе системы «Сапсана». Перевозчик уточнил, что на серверах мультимедийного портала не хранятся персональные данные пассажиров.

Для авторизации в системе пользователь должен ввести только последние четыре символа документа, на который куплен билет, а также вагон и номер места. Эти данные не относятся к персональным, в соответствии с действующим законодательством РФ, и хранятся на сервере ИРС не более одного дня. Сервер ИРС не связан с внутренней сетью ОАО «РЖД» или другими внутренними сервисами управления в поезде, он разработан исключительно для развлекательной и информационной тематики и не хранит никаких конфиденциальных данных клиентов

пресс-служба РЖД
0
136 комментариев
Популярные
По порядку
Написать комментарий...

Пользователь хабра: от скуки ломает вай фай сапсана
Пользователь тж: от скуки борется за ник в один символ

167

Комментарий удален по просьбе пользователя

36

самое смешное если дырки оставят, а за кулхацкером начнут бегать полицаи.

4

1. путать причину и следствие вечно невозможно
2. в дырку полезут более серьёзные люди, например, иностранные
3. кого-то за пункт 2 трахнут так, что дым встанет коромыслом

0
Легендарный рубин

Наконец-то действительно смешной комментарий) Спасибо, дружище)

1
Легендарный рубин

Сейчас чувака перестанут пускать на сапсан

68

И заберут все мили

132
Легендарный рубин

И кота.

44

Думаю с их компетенцией им сложно будет его вычислить

60

Двушечку за взлом.

22

Первая мысль была как раз об этом.

1
Легендарный рубин

Не исключено 

0

Нет ничего плохо в использовании Let's Encrypt, если честно.

38

Ничего плохого. Просто такая крупная компания, да пожидилась на корпоративный сертификат.

4

Кто сказал, что они "пожидились"? Я почти уверен, что в РЖД оплатили ну очень дорогой сертификат.

2

Корпоративные сертификаты хуже LE.

1

Комментарий удален по просьбе пользователя

2

Да, вот этот момент смутил

0
Легендарный рубин
25

Блокировка письки

0
Легендарный рубин

Он должен это сообщить в компанию и потребовать исправить а не рекламировать своё портфолио.

–69
Легендарный рубин

Что он еще должен?

72
Легендарный рубин

Соблюдение Конституции РФ и законов РФ ... 
Уважение прав и свобод других лиц ... 
Забота о детях и нетрудоспособных родителях ... 
Получение основного общего образования ... 
Забота о памятниках истории и культуры ... 
Уплата налогов и сборов ... 
Охрана природы и окружающей среды ... 
Защита Отечества

–49

Он и сообщил, разве нет?
Одно другому не мешает

5
Легендарный рубин

Он взломал и выложил данные граждан в даркнет.

–44

Чо ещё пизданешь смешного, а? Не слышу!

6
Легендарный рубин

Получение НСД к чужим информационным ресурсам наказуемо. Его запросто могли ментам сдать просто потому что.

1

тогда можно вообще не шифровать данные, и пароль ставить йцукен, потому что кто зайдет - того в тюрячку. лучшая защита данных.

0
Легендарный рубин

Ага, это всегда работает.

0

Да, сообщить и выждать какой-то срок (то ли пару недель, то ли пару месяцев) но он уже сообщал РЖД об уязвимостях, и обиделся, что денег не дали.

Чувак не хочет быть этичным white hat хакером, щито поделать.

0

Уже был прецедент, когда в ответ на такое сообщение РЖД писал иск в суд.

0

 у «Сапсана» установлены простые пароли, а по ssh можно получить доступ к Root

А что же он тогда ломал его "с помощью публичных эксплоитов" а не вошёл по паролю?

 компания не стала покупать сертификат шифрования для HTTPS, а воспользовалась бесплатным Let's Encrypt

А в чём проблема? Капиталистов лишили денег из воздуха? Шатлворту не хватает на третий феррари?

–28

Может не хотел брутфорсить, система и так глючила и была перегружена, возможно при переборе вообще бы сдохла.

Насчёт летсэнкрипт тоже не понял, экономить на SSL для не публичных сервисов нормальная практика

38

Но не в случае работы с персональными данными

0

Просто жадные жлобы, ничего больше. Как впринципе везде по росеюшке. 

0
Легендарный рубин

А что же он тогда ломал его "с помощью публичных эксплоитов" а не вошёл по паролю?

Чтобы это понят, надо было сперва взломать

10

- пароль элементарно можно подобрать
- ну подбери
- ты чё это долго, будем ломать эксплойтами

–23

"А что же он тогда ломал его "с помощью публичных эксплоитов" а не вошёл по паролю?"

Либо дед по старости лет приобрел маразм, либо совсем ослеп и нисколько не знает о том, что негоже специалисту по информационной безопасности логинится через вифу с полуоткрытой кривой бд, где твои личные данные(пикрелейтед) может угнать любой школьник, владеющий нмапом чуть более чем ламерски

0

Комментарий удален по просьбе пользователя

2
Легендарный рубин

Именно поэтому я не пользуюсь вайфаем в метро и сапсанах.

4

Молодец, канал свободнее будет. А твои данные все равно будут в доступе. На любой публичной точке трафик могут сниффить, это надо понимать и оценивать риски

8

Комментарий удален по просьбе пользователя

9

Комментарий удален по просьбе пользователя

6

Использование сертификатов Letscrypt максимальный срок которых 3 месяца, и требуется настройка автоматического продления - наоборот, более безопасно, чем покупка коммерческого сертификата сроком на год или более. Тут уж эксперт необоснованно на мой взгляд "придирается".
Все остальное по делу. 

5

Комментарий удален по просьбе пользователя

1
Легендарный рубин

  Для ценной информации как бы есть бд. Божечки кошечки, как будто сложно поднять ту же монго или мускл.

4

Этот "эксперт" и к задачам в кроне придирается.

0

Доступ к wifi по билету и паспорту это просто какой-то лютый бред, на ровне с посадкой в тот же сапсан и ласточку по билету (а потом проверку билетов уже а пути) когда у вас на дверях кнопки для открытия. Звучит будто «ладно безбилетник едет, ну хоть интернет наш не тронет!»

3
Легендарный рубин

/dev ?

1
Легендарный рубин

/pidor Но 
среда для управления и развёртывания контейнерных приложений.

WiFi подвержены снифу трафика, ибо всё идёт через их прокси, можно легко собирать HTTP трафик, но если чуть постараться, то и HTTPS (проверенно)

по ssh можно получить доступ к Root.

Это плять не технологии

–1

рм рф

0

А каких именно данных? Просто места и вагоны или как?

1

Судя по всему, паспортные данные целиком. Как минимум ФИО и серия, номер

1

Ну да, как то не очень, хотя я слабо представляю что можно сделать человеку, зная только его ФИО и номер паспорта, но не имея самого документа на руках

0

Судя по чему "всему"? 
Судя по статье там данные "четыре символа документа, на который куплен билет". Даже трудно себе предсатвить, какую власть обретает человек, знающий, что в поезде на месте 25 едет человек с "3432" в то-ли гражданском паспорте то-ли в загране а может вообще в военнике.

1
Легендарный рубин

Ну охуеть защитка

0
Легендарный рубин

Открытый SSH... 
У сис админа РЖД сапсан головного мозга. Да тут можно было удалённо (сидя дома через VPN) собирать базу пассажиров. 

1

Учитывая какие копейки там платят сисадминам - компетенции их соответствующие

0

Я понимаю конечно, что тут ресурс гуманитариев... Но этот дядя сломал не WiFi. А просто получил доступ к информации, к которой он не должен был дотянуться.

Конечно, уровень секьюрности описанной сети - ну-ле-вой, если все служебные порты были доступны любому юзеру. В этой истории нет магии, тут всё закономерно.

1

дядя посередине

0

Блять, прорыв года

1

У РЖД все пучком! Вы всё врети! :-)

1

как же я люблю вот это вот, уже давно такого не было

1
Легендарный рубин

Он отметил, что раз для авторизации в Wi-Fi нужно вводить цифры паспорта и номер места с вагоном

1. Кто-то реально готов ради условно халявного интернета идти на такой риск?
2. Подлинность введённых данных как-то проверяется?

0

Как я понял в этом и фишка, что там уже есть паспортные данные всех пассажиров для авторизации

1

Каждый раз езжу поездами и не понимаю, на хрена нужна эта авторизация для поезда, который едет 💁🏻‍♂️ Люди будут бежать за поездом с вайфаем и высасывать интернет?

0

Законы РФ запрещают создавать публичные сети без авторизации, а смс-ка в пути может не дойт

1

Ага... после того как РЖД умудрилось слить в сеть данные 700000 своих сотрудников через сервисный портал-вас Wi-Fi в поездах сапсан удивляет)

0

@Дамир Камалетдинов ты не совсем прав. Дело в том, что оперативной памяти в принципе мало, а не в том, что она была загружена на 96%.

И автор хотел вернуться за не выполненные задачи, а не потому, что они были скучные на ивенте.

0

wow, that's smart :)

0

ссать они хотели на его призыв

0

CTF-летсплеи, которые мы заслужили

0

на самом деле ничего удивительного. если учесть что в лучших традициях 90х там 9999 и одна фирма на маленьком участке. и ИТ там можно сказать ругательное слово, как впрочем и на других гигантах вроде почты России.

0
Читать все 136 комментариев
null