Көптеген операторлық қызметтер әдепкі парольдермен жұмыс істеді, бағдарламашы анықталды.
Бағдарламалаушыға кіруге болатын бақылау палатасындағы мысық«Хабра» қолданушысы және Ник Ликоохерос жанындағы ақпараттық қауіпсіздіктің «Жасау» қолданушысы, ол станцияларда және кеңселерде, сондай-ақ көптеген ішкі теміржол қызметтерінде бақылау камераларына қол жетімді екенін айтты.
Лонохерос Ресей темір жолдары қалай қорғалатынын тексеруге шешім қабылдады, өйткені ол 2020 жылғы қарашада компанияның «Хабра» басқа қолданушы қызметіне «Хабра» операциясынан бас тартты. Ол «Сапсана» арқылы Ресей темір жолдарының ішкі желісіне қол жеткізді. Содан кейін теміржол өкілі «кейбір сыни мәліметтердің ағып кетуіне әсер ететін», бұл «Хабра» қолданушысы «Жас натуралист» және «шабуылшы» деп атады.
Жарияланым авторы NMAP қызметтік бағдарламасын ашып, ашық IP желісін сканерлеуді бастады. Осыған байланысты ол ашық порттармен қызметтерді тапты. «Гипотеза расталды: прокси-сервердің барлық қорғалмаған желілері болуы мүмкін», - деп атап өтті бағдарламашы.
Ресей темір жолдары қызметі әдепкі парольдермен жұмыс істеді, деп хабарлады «Хабра» қолданушысы. Ол қол жетімді екенін айтты:
- Желілік жабдық;
- пойыз станцияларында және ресейлік теміржол кеңселерінде 10 мыңнан кем емес ашық бақылау камерасынан кем емес;
- Қарсыластардағы есеп тақтасын басқару жүйелері;
- Office телефониясына қажет IP телефондары мен Freepbx серверлері;
- IPMI (интеллектуалды платформаны басқару интерфейсі) Серверлер - сіз олардың жұмысын қашықтан басқаруға болады;
- Бірқатар ішкі қызметтер, соның ішінде жолаушыларды реттеу дирекциясы (кешенді, соның ішінде платформалар, шатырлар, павильондар, павильондар, жүк көлігі, теміржол вокзалдар, қоршау, семсерлесу, статикалық және динамикалық көрнекі ақпарат);
- ғимараттарды қамтамасыз етудің бақылау жүйелері;
- Кондиционерлеу және желдетуді басқару жүйелері.
Хабре туралы лоохерос жағдайды сипаттады, мысалы, брандмауэрдің жоқтығын атап өтті (деректерді қорғауды жақсарту үшін қажет кешен), қорғаусыз құрылғылар және шығыс трафикті бақылаудың болмауы.
Автор теміржол департаментіне жүгінді, олар 2020 жылғы желтоқсанға дейін ақпараттық технологиялар жөніндегі директор лауазымын атқарды және компаниядағы осалдықтар туралы басқа Хабра қолданушысын жариялауға жауап берді.
Темір жолдар БАҚ сұранысына жауап ретінде Хабре туралы жариялау фактісі туралы ішкі тергеудің басталуы туралы айтты. Компания бұл пайдаланушылар жалғастырмағанын және қауіпсіздікке төнетін қауіп жоқ екенін қысқаша мәлімдеді.
Лооноцерос өзін «ашық бұқаралық ақпарат құралдарында» түсініктеме береді. Сонымен бірге, ол рәсім «кез-келген білікті» адамды қайталай алатындығын атап өтті.
# ЖАҢАЛЫҚТАР # # Hubre # ағып кетеді # Ресей темір жолдары
Көзі