Пользователь «Хабра» получил доступ к камерам наблюдения, табло и сервисам РЖД. Компания заявила об отсутствии утечек
Многие сервисы перевозчика работали с паролями по умолчанию, выяснил программист.
Кот на камере наблюдения, к которой программист получил доступ
Пользователь «Хабра» и создатель телеграм-канала об информационной безопасности под ником LMonoceros рассказал, что получил доступ к камерам наблюдения на вокзалах и в офисах, а также многим внутренним сервисам РЖД.
LMonoceros решил проверить, насколько защищены сервисы РЖД, поскольку остался недовольным «пренебрежительной» реакцией компании на пост другого пользователя «Хабра» в ноябре 2020 года. Тот получил доступ к внутренней сети РЖД через Wi-Fi «Сапсана». Тогда представитель РЖД отверг наличие уязвимостей, «которые бы влияли на утечку каких-то критических данных», и назвал пользователя «Хабра» «юным натуралистом» и «злоумышленником».
В интернете очень много бесплатных прокси-серверов. Но кто в здравом уме будет открывать всем желающим выход в интернет через свой роутер? Вариантов по большому счету два: это либо взломанные устройства, либо владелец забыл отключить эту функцию.
Таким образом меня посетила идея проверить гипотезу: «Есть ли жизнь за прокси»?
Автор публикации открыл утилиту Nmap и запустил открытое сканирование IP-сетей. С помощью этого он обнаружил сервисы с открытыми портами. «Гипотеза подтверждена: за прокси могут быть целые незащищённые сети», — отметил программист.
Ряд сервисов РЖД работал с паролями по умолчанию, отметил пользователь «Хабра». Он заявил, что получил доступ к:
- сетевому оборудованию;
- не менее чем 10 тысячам камер наружного наблюдения на вокзалах и в офисах РЖД;
- системам управления табло на перронах;
- IP-телефонам и FreePBX-серверам, которые нужны для офисной телефонии;
- IPMI (Intelligent Platform Management Interface) серверов — можно удалённо управлять их работой;
- ряду внутренних сервисов, в том числе дирекции пассажирских обустройств (комплекс, включающий платформы, навесы, павильоны, кассы, вокзалы, ограждения, статическую и динамическую визуальную информацию);
- мониторингу систем обеспечения зданий;
- системам управления кондиционированием и вентиляцией.
Дирекция пассажирских обустройств скриншот пользователя «Хабра»
LMonoceros в публикации на «Хабре» описал видение ситуации, например, отметив отсутствие межсетевых экранов (комплекс, необходимый для повышения безопасности данных), «кучу устройств без защиты» и отсутствие контроля исходящего трафика.
Автор обратился к замгендиректора РЖД Евгению Чаркину, который до декабря 2020 года занимал должность директора по информационным технологиям и отвечал на публикацию другого пользователя «Хабра» об уязвимостях в компании.
У меня лично есть всего три варианта:
1. У вас исходно плохая команда. Проверку проводил тот же отдел, который и проектировал/обслуживает систему. Отрицая проблему, они или сохраняют свою работу, или преследуют иные цели.
2. Вы доверились не тому специалисту. Аудит проводил некомпетентный сотрудник.
3. Вы и так знаете о проблеме, но по каким-то неведомым причинам не можете её публично признать и решить.
РЖД в ответе на запрос СМИ рассказала о начале внутреннего расследования по факту публикации на «Хабре». Компания кратко заявила, что данные пользователей не утекали и угрозы безопасности нет.
РЖД проводит расследование по публикации в открытом источнике данных, связанных с информационной безопасностью одного из подразделений холдинга. Сообщаем, что утечки персональных данных клиентов холдинга не произошло, угрозы безопасности движения нет.
РЖД непрерывно совершенствует собственную IT-инфраструктуру - одну из самых масштабных в России — тестирует и аудирует новые решения. Компания открыта и приветствует предложения по усовершенствованию собственной IT-инфраструктуры, при этом выступает против неправомерного доступа к информационным системам и публикации данных, связанных с информационной безопасностью, в открытых источниках.
Напоминаем, что неправомерный доступ к компьютерной информации является уголовным правонарушением.
Сам LMonoceros в комментарии «Открытым медиа» отказался раскрывать подробности взлома сетей. При этом он отметил, что процедуру может повторить «любой квалифицированный» человек.
#новости #хабр #утечки #ржд