Người dùng "Habra" có quyền truy cập vào các camera giám sát, bảng điểm và các dịch vụ đường sắt của Nga. Công ty tuyên bố không có rò rỉ

Nhiều dịch vụ vận chuyển đã hoạt động với mật khẩu mặc định, tìm ra một lập trình viên.

Mèo trên buồng quan sát mà lập trình viên có quyền truy cập

Người dùng "Habra" và người tạo ra kênh điện tín bảo mật thông tin theo Nick Lmonoceros nói rằng ông đã có quyền truy cập vào các camera giám sát tại các trạm và trong các văn phòng, cũng như nhiều dịch vụ đường sắt Nga nội bộ.

LMONOCEROS quyết định kiểm tra cách bảo vệ bởi các tuyến đường sắt Nga, vì nó vẫn là một phản ứng "loại bỏ" không hài lòng của công ty đến cột của người dùng khác "Habra" vào tháng 11 năm 2020. Anh ta có quyền truy cập vào mạng lưới nội bộ của đường sắt Nga thông qua Wi-Fi "Sapsana". Sau đó, đại diện đường sắt đã từ chối sự hiện diện của các lỗ hổng, "sẽ ảnh hưởng đến sự rò rỉ của một số dữ liệu quan trọng", và được gọi là "người dùng" người trẻ tự nhiên "của" Habra "và" kẻ tấn công ".

Tác giả ấn phẩm đã mở tiện ích NMAP và khởi chạy quét mạng IP mở. Với điều này, ông đã phát hiện ra các dịch vụ với các cảng mở. "Giả thuyết được xác nhận: Proxy có thể có toàn bộ mạng không được bảo vệ", lập trình viên lưu ý.

Một số dịch vụ đường sắt Nga đã hoạt động với mật khẩu mặc định, người dùng "Habra" cho biết. Ông tuyên bố rằng anh ta có quyền truy cập vào:

• thiết bị mạng;
• không ít hơn 10 nghìn phòng giám sát ngoài trời tại các trạm tàu ​​và trong các văn phòng đường sắt Nga;

• Hệ thống để quản lý bảng điểm trên các đối thủ;
• Điện thoại ip và máy chủ freepbx cần thiết cho điện thoại văn phòng;
• Máy chủ IPMI (Giao diện quản lý nền tảng thông minh) - Bạn có thể quản lý công việc từ xa của họ;
• Một số dịch vụ nội bộ, bao gồm cả ban giám sát hành khách (một khu phức hợp, bao gồm các nền tảng, tán cây, gian hàng, khu vực tiền mặt, trạm xe lửa, hàng rào, tĩnh thông tin hình ảnh tĩnh và động);
• Hệ thống giám sát để đảm bảo các tòa nhà;
• Điều hòa và hệ thống điều khiển thông gió.

Tổng cục sắp xếp hành khách. Đăng bởi: Ảnh chụp màn hình của người dùng Habra

LMONOCEROS trong các ấn phẩm trên Habré đã mô tả tầm nhìn của một tình huống, chẳng hạn, lưu ý rằng sự vắng mặt của tường lửa (một sự phức tạp cần thiết để cải thiện bảo mật dữ liệu), một loạt các thiết bị không có bảo vệ và thiếu kiểm soát lưu lượng đi.

Tác giả đã kêu gọi các bộ phận đường sắt Evgenia Charkin, cho đến ngày 20 tháng 12 năm 2020 đã giữ vị trí giám đốc về các công nghệ thông tin và chịu trách nhiệm về việc xuất bản người dùng Habra khác về các lỗ hổng trong công ty.

Đường sắt để đáp ứng yêu cầu truyền thông đã nói về sự khởi đầu của một cuộc điều tra nội bộ về thực tế xuất bản trên Habré. Công ty tuyên bố ngắn gọn rằng những người dùng này đã không tiến hành và không có mối đe dọa bảo mật.

Bản thân LMONOCEROS trong các bình luận "Mở phương tiện truyền thông" từ chối tiết lộ chi tiết về hack mạng. Đồng thời, ông lưu ý rằng thủ tục có thể lặp lại "bất kỳ người có trình độ" có trình độ.

# Tin tức # Hubre # rò rỉ # Đường sắt Nga

Một nguồn