Пользователь «Хабра» получил доступ к камерам наблюдения, табло и сервисам РЖД. Компания заявила об отсутствии утечек

Многие сервисы перевозчика работали с паролями по умолчанию, выяснил программист.

Пользователь «Хабра» и создатель телеграм-канала об информационной безопасности под ником LMonoceros рассказал, что получил доступ к камерам наблюдения на вокзалах и в офисах, а также многим внутренним сервисам РЖД.

LMonoceros решил проверить, насколько защищены сервисы РЖД, поскольку остался недовольным «пренебрежительной» реакцией компании на пост другого пользователя «Хабра» в ноябре 2020 года. Тот получил доступ к внутренней сети РЖД через Wi-Fi «Сапсана». Тогда представитель РЖД отверг наличие уязвимостей, «которые бы влияли на утечку каких-то критических данных», и назвал пользователя «Хабра» «юным натуралистом» и «злоумышленником».

Кот на камере наблюдения, к которой программист получил доступ

В интернете очень много бесплатных прокси-серверов. Но кто в здравом уме будет открывать всем желающим выход в интернет через свой роутер? Вариантов по большому счету два: это либо взломанные устройства, либо владелец забыл отключить эту функцию.

Таким образом меня посетила идея проверить гипотезу: «Есть ли жизнь за прокси»?

LMonoceros

Автор публикации открыл утилиту Nmap и запустил открытое сканирование IP-сетей. С помощью этого он обнаружил сервисы с открытыми портами. «Гипотеза подтверждена: за прокси могут быть целые незащищённые сети», — отметил программист.

Ряд сервисов РЖД работал с паролями по умолчанию, отметил пользователь «Хабра». Он заявил, что получил доступ к:

- сетевому оборудованию;

- не менее чем 10 тысячам камер наружного наблюдения на вокзалах и в офисах РЖД;

- системам управления табло на перронах;

- IP-телефонам и FreePBX-серверам, которые нужны для офисной телефонии;
IPMI (Intelligent Platform Management Interface) серверов — можно удалённо управлять их работой;

- ряду внутренних сервисов, в том числе дирекции пассажирских обустройств (комплекс, включающий платформы, навесы, павильоны, кассы, вокзалы, ограждения, статическую и динамическую визуальную информацию);
мониторингу систем обеспечения зданий;

- системам управления кондиционированием и вентиляцией.

LMonoceros в публикации на «Хабре» описал видение ситуации, например, отметив отсутствие межсетевых экранов (комплекс, необходимый для повышения безопасности данных), «кучу устройств без защиты» и отсутствие контроля исходящего трафика.

Автор обратился к замгендиректора РЖД Евгению Чаркину, который до декабря 2020 года занимал должность директора по информационным технологиям и отвечал на публикацию другого пользователя «Хабра» об уязвимостях в компании.

У меня лично есть всего три варианта:

1. У вас исходно плохая команда. Проверку проводил тот же отдел, который и проектировал/обслуживает систему. Отрицая проблему, они или сохраняют свою работу, или преследуют иные цели.

2. Вы доверились не тому специалисту. Аудит проводил некомпетентный сотрудник.

3. Вы и так знаете о проблеме, но по каким-то неведомым причинам не можете её публично признать и решить.

LMonoceros

РЖД в ответе на запрос СМИ рассказала о начале внутреннего расследования по факту публикации на «Хабре». Компания кратко заявила, что данные пользователей не утекали и угрозы безопасности нет, но пока подробно не прокомментировала находку программиста.

РЖД проводит расследование по публикации в открытом источнике данных, связанных с информационной безопасностью одного из подразделений холдинга. Сообщаем, что утечки персональных данных клиентов холдинга не произошло, угрозы безопасности движения нет.

РЖД
полный комментарий ТАСС

Сам LMonoceros в комментарии «Открытым медиа» отказался раскрывать подробности взлома сетей. При этом он отметил, что процедуру может повторить «любой квалифицированный» человек.

источник

В кассу за билетами, пока не подорожали

Размещено через приложение ЯПлакалъ

Под катом ещё ничего нет, но ответ уже написан, хуя ты электровеник бляяяяя

На вокзал

Это ж вроде они первые дружно на самую защищённую ось перешли? Ну там вроде всё на байкалах/эльбрусах крутится.. не?

Размещено через приложение ЯПлакалъ

Билет бесплатный можно взять? Москва-Владивосток желательно

Я тебя по айпи вычислил

Так то уже подорожали. Я раньше за 24р ездил от Депо до Долгопрудного а теперь 26р билет

А зря тему минусите, прочитал статью на хабре, парень красавчик.
Вы же понимаете, что все эти ржд, газпромы, роснефти, вечно клянчат бабло из бюджета на всякие неибические проекты, в том числе и на информационные технологии.
А потом получаем то, что описано в статье. В нормальной стране, этого Чаркина, после такой статьи, ни то что уволить, заставили бы всю ИБ за свой счет модернизировать, думается мне.

Это сообщение отредактировал сибиряк17 - 13.01.2021 - 09:37

Тут наверное, куда ехать и на чём ?

Дело не в них, а так называемой "касте" айтишников. Они же регулярно рассуждают, какие мол пользователи тупорылые, как им тяжело... по факту толпа тупорылых дармоедов, которые нахватались вершков и пальцы гнут, аж хруст стоит.

Так может стоило статью СЮДА перенести? А не ссылку кидать?

Если правда, то хреново. Наверняка базу покупателей билетов уже слили в даркнет, скоро начутся звонки от всяких аферюг и прочих страдальцев.

Если это всё правда - то как бы всё очень и очень печально... И дело даже не в билетах, железка - это ж стратегическая безопасность

взломаны дефолтные пароли.
никогда такого не было...

Как будто в даркнете твоих данных уже нет.

Размещено через приложение ЯПлакалъ

Ты нихуя не понимаешь, там - это не то!

А по факту - ты прав, и автор статьи красавчик
Я в отличие от перврнахов прочитал её

Кто не в теме, тот в жизни не поймет какие системы применяются в РЖД и что с этим делать. Так, что узбагойтесь. Стрелки вы точно не переведете, особенно на релейных системах автоблокировки....

Как раньше хорошо было..
Чугунка, "столыпин", паровоз, кипяток. Лошадь в соседнем вагоне. Телеграф могли только взломать, споив телеграфиста.
И не было шуток типа: ""Боюсь я в России на поездах ездить. На них самолеты часто падают..."

Это сообщение отредактировал Chapleen - 13.01.2021 - 09:50

Ну дык ожижаемо. Моему племяннику после миэт сразу предложили куда то в кейджиби идти прогать за 45р... хотя любая контора московская от 100 платит..

Размещено через приложение ЯПлакалъ

А нормально пост оформить религия не позволяет? Или теперь достаточно названия и ссылки на источник?
Статью прочитал информационная безопасность у pid ржд просто на высоте

Тема не взлетела из-за оформления. Что за пижню он предлагает? По линкам побегать? Оформить текст самостоятельно не судьба? Зелени хочется, а уважать сообщество нах не нужно? Вот и не взлетел.

ну как бы "взлом" это сильно громко.
но да. отношение к безопасности мягко говоря на отъебись.
и нехер так посты оформлять.

Это сообщение отредактировал idk - 13.01.2021 - 09:52