Користувач «Хабра» отримав доступ до камер спостереження, табло та сервісів РЖД. Компанія заявила про відсутність витоків

Багато сервісів перевізника працювали з паролями за замовчуванням, з'ясував програміст.

Кот на камері спостереження, до якої програміст отримав доступ

Користувач «Хабра» і творець телеграм-каналу про інформаційну безпеку під ніком LMonoceros розповів, що отримав доступ до камер спостереження на вокзалах і в офісах, а також багатьом внутрішнім сервісів РЖД.

LMonoceros вирішив перевірити, наскільки захищені сервіси РЖД, оскільки залишився незадоволеним «зневажливою» реакцією компанії на пост іншого користувача «Хабра» в листопаді 2020 року. Той отримав доступ до внутрішньої мережі РЖД через Wi-Fi «Сапсана». Тоді представник РЖД відкинув наявність вразливостей, «які б впливали на витік якихось критичних даних», і назвав користувача «Хабра» «юним натуралістом» і «зловмисником».

Автор публікації відкрив утиліту Nmap і запустив відкрите сканування IP-мереж. За допомогою цього він виявив сервіси з відкритими портами. «Гіпотеза підтверджена: за проксі можуть бути цілі незахищені мережі», - зазначив програміст.

Ряд сервісів РЖД працював з паролями за замовчуванням, зазначив користувач «Хабра». Він заявив, що отримав доступ до:

• мережевого обладнання;
• не менш як 10 тисячам камер зовнішнього спостереження на вокзалах і в офісах РЖД;

• системам управління табло на перонах;
• IP-телефонами і FreePBX-серверів, які потрібні для офісної телефонії;
• IPMI (Intelligent Platform Management Interface) серверів - можна дистанційно керувати їх роботою;
• ряду внутрішніх сервісів, в тому числі дирекції пасажирських облаштувань (комплекс, що включає платформи, навіси, павільйони, каси, вокзали, огорожі, статичну і динамічну візуальну інформацію);
• моніторингу систем забезпечення будівель;
• системам управління кондиціонуванням і вентиляцією.

Дирекція пасажирських облаштувань. Автор: скріншот користувача «Хабра»

LMonoceros в публікації на «Хабре» описав бачення ситуації, наприклад, відзначивши відсутність міжмережевих екранів (комплекс, необхідний для підвищення безпеки даних), «купу пристроїв без захисту» та відсутність контролю вихідного трафіку.

Автор звернувся до заступника гендиректора РЖД Євгену Чаркіним, який до грудня 2020 року обіймав посаду директора з інформаційних технологій і відповідав на публікацію іншого користувача «Хабра» про уразливість в компанії.

РЖД у відповіді на запит ЗМІ розповіла про початок внутрішнього розслідування за фактом публікації на «Хабре». Компанія коротко заявила, що дані користувачів не витікали і загрози національній безпеці немає.

Сам LMonoceros в коментарі «Відкритим медіа» відмовився розкривати подробиці злому мереж. При цьому він зазначив, що процедуру може повторити «будь-який кваліфікований» людина.

# Новини # Хабр # витоку # РЖД

джерело