A felhasználó "Habra" hozzáférhet a felügyeleti kamerákhoz, az eredménytáblához és az orosz vasúti szolgáltatásokhoz. A vállalat bejelentette a szivárgás hiányát

Számos hordozó szolgáltatás alapértelmezett jelszavakkal dolgozott, kiderült egy programozót.

Macska a megfigyelő kamrában, amelyhez a programozó hozzáférhet

Felhasználó "Habra" és a The Telegram információbiztonsági csatorna alkotója Nick Lmonoceros alatt azt mondta, hogy hozzáférjen a felügyeleti kamerákhoz az állomásokon és az irodákban, valamint számos belső orosz vasúti szolgáltatásban.

Lmonoceros úgy döntött, hogy ellenőrzi, hogyan védi az orosz vasutak, mivel a vállalatnak a "Habra" egy másik felhasználójának egy másik felhasználójának a 2020 novemberi felhasználójának posztjára maradt. Hozzáférést kapott az orosz vasutak belső hálózatához Wi-Fi "Sapsasana" keresztül. Ezután a vasúti képviselő elutasította a sebezhetőségek jelenlétét, "amely befolyásolná a kritikus adatok szivárgását", és úgynevezett "Habra" felhasználó "fiatal naturalista" és "támadó".

A kiadvány szerző megnyitotta az NMAP segédprogramot, és megnyitott IP hálózati szkennelést. Ezzel felfedezték a nyitott portokkal rendelkező szolgáltatásokat. "A hipotézist megerősítik: a proxy teljes védelem nélküli hálózattal rendelkezik" - jegyezte meg a programozó.

Számos orosz vasúti szolgálat dolgozott az alapértelmezett jelszavakkal, a felhasználó "Habra" mondta. Azt állította, hogy hozzáférhet:

• hálózati berendezés;
• Nem kevesebb, mint 10 ezer kültéri felügyelet a vasútállomásokon és az orosz vasúti irodákban;

• Az ellenfelek eredménytábla kezelésére szolgáló rendszerek;
• IP-telefonok és FreePBX szerverek, amelyek az irodai telefonáláshoz szükségesek;
• IPMI (intelligens platformkezelő interfész) szerverek - távolról kezelheti munkájukat;
• Számos belső szolgáltatás, beleértve az utasok rendelkezéseinek (összetett, beleértve a platformokat, előtetőket, pavilonokat, készpénz régiókat, vasútállomást, kerítéseket, statikus és dinamikus vizuális információkat);
• az épületek biztosítására szolgáló rendszerek;
• Légkondicionáló és szellőztető rendszerek.

Utassági megállapodások igazgatósága. Írta: Screenshot a felhasználó "habra"

LMONOCEROS A publikációk ügyéről le egy elképzelés a helyzet például, megjegyezve hiányában tűzfalak (komplex javításához szükséges adatbiztonság), egy csomó eszközök védelem nélkül „, és az ellenőrzés hiánya a kimenő forgalom.

A szerző fellebbezést nyújtott be a vasúti ágazat Evgenia Charkin, amely 2020 decemberig tartotta az információs technológiák igazgatójának álláspontját, és felelős volt egy másik HABRA felhasználó közzétételéért a vállalat sebezhetőségeiről.

A média kérésére válaszul a Habré-i közzététel tényének belső vizsgálatának kezdetével beszélt. A vállalat röviden kijelentette, hogy ezek a felhasználók nem folytatták, és nincs biztonsági fenyegetés.

Lmonoceros maga a "nyitott média" megjegyzései megtagadták a hálózatok hackelésének részleteit. Ugyanakkor megjegyezte, hogy az eljárás megismételheti a "bármilyen minősített" személyt.

# Hírek # Hubre # szivárgások # orosz vasutak

Egy forrás