Корисник "хабра" има приступ надзорним фотоапаратима, табловима и руским железничким услугама. Компанија је најавила одсуство цурења

Многе услуге превозника радиле су са подразумеваним лозинкама, открили су програмера.

Кат на проматрачкој комори којој програмер има приступ

Корисник "хабра" и творац телеграма канала информационе сигурности под Ницк Лмонецерос рекао је да је добио приступ надзорним камерама на станицама и у канцеларијама, као и многим унутрашњим руским железничким железничким услугама.

Лмонецерос је одлучио да провери које су заштићене руским железницама, јер је остала незадовољна "одмрзбала" реакција компаније на место другог корисника "Хабра" у новембру 2020. године. Добио је приступ унутрашњој мрежи руских железница путем Ви-Фи "Сапсана". Тада су представник Железние железници одбацио присуство рањивости, "које би утицало на цурење неких критичних података" и назвао "Хабра" корисник "Млади натуралиста" и "нападач".

Аутор публикације отворио је НМАП услужни програм и покренуо отворену ИП мрежу Сцан. Овим је открио услуге са отвореним портовима. "Потврђена је хипотеза: пуномоћник може имати читаве незаштићене мреже", приметио је програмер.

Бројни руски железнички сервис радио је са подразумеваним лозинкама, рекао је корисник "Хабра". Он је изјавио да има приступ:

• мрежна опрема;
• не мање од 10 хиљада комора на отвореном надзора на железничким станицама и у руским железничким канцеларијама;

• Системи за управљање таблицом на противницима;
• ИП телефони и ФрееПбк сервери који су потребни за канцеларијску телефонију;
• ИПМИ (Интелигентна интерфејса за управљање платформом) сервери - можете даљински управљати својим радом;
• бројне интерне услуге, укључујући Дирекцију за аранжмане путника (комплекс, укључујући платформе, надстрешнице, павиљоне, новчане регије, железничке станице, ограде, статичке и динамичке визуелне информације);
• системи за праћење осигурања зграда;
• Системи климатизације и контроле вентилације.

Дирекција за аранжмане путника. Објавио: Снимак екрана корисника "хадра"

Лмонецерос у публикацијама о Хабре описао је визију ситуације, на пример, примећујући непостојање фиревалл-а (комплекс потребан за побољшање сигурности података), гомилу уређаја без заштите "и недостатак контроле одлазног саобраћаја.

Аутор је жалио железничким одељењима Евгениа Цхаркин, који је до децембра 2020. године одржао место директора за информационе технологије и био је одговоран за објављивање друге Хабре корисника о рањивоћима у компанији.

Железнице као одговор на захтев за медије говорио је о почетку интерне истраге о чињеници објављивања на Хаперу. Компанија је укратко изјавила да се ови корисници нису наставили и не постоји безбедносна претња.

ИММОНоцерос у коментарима "Отворени медији" одбили су да открију детаље хакирања мрежа. Истовремено је напоменуо да поступак може поновити "било коју квалификовану" особу.

# Вести # ХУБРЕ # цурење # руске железнице

Извор