Хакер рассказал, что нашел уязвимость в информационной безопасности «Сапсана»
Лента новостей
По словам пользователя портала Habr, он смог взломать Wi-Fi «Сапсана» меньше чем за 20 минут. За такое же время, как признался хакер, якобы легко получить доступ к личным данным пассажиров
Читатель портала Habr под ником keklick1339 рассказал об изъяне в системе защиты «Сапсан». По его словам, он взломал сеть Wi-Fi от скуки, используя открытые сервисы для проверки на уязвимости.
Для подключения к Wi-Fi в «Сапсане» пользователь должен указать номер своего вагона и места и последние четыре цифры номера паспорта. По словам программиста, для этого в единой базе хранятся все данные пассажиров текущего и прошлых рейсов.
На взлом системы у хакера ушло якобы около 20 минут, и только потому, что «сервер РЖД сильно тормозит». «К данным пассажиров рейса получить доступ не составляет труда, и занимает это от силы 20 минут», — добавил он. РЖД информацию на момент публикации материала никак не прокомментировали.
Такая база действительно может содержать данные пассажиров этого конкретного поезда, но информация о бывших пассажирах должна оперативно удаляться. Если сообщение хакера правда, вина лежит на разработчиках. Продолжает генеральный директор компании Zecurion Алексей Раевский.
— Я думаю, там данные обо всех пассажирах хранятся. Дело в том, что когда вы регистрируетесь для пользования Wi-Fi, система должна каким-то образом сравнить те данные, которые вы вводите, с теми, которые у нее хранятся. С этой целью она может хранить все данные обо всех пассажирах.
— А как-то можно оперативно уладить эту ситуацию? Это легко устранимо?
— Здесь надо проанализировать причину, почему эта уязвимость произошла, почему не было вовремя установлено обновление. Если это какой-то разовый случай, то в принципе, я думаю, устранить это несложно. Но, скорее всего, здесь речь идет о том, что просто отсутствует такая практика, такой бизнес-процесс, по которому администратор должен регулярно проверять эти системы на уязвимость и устанавливать обновления самостоятельно, пока это не сделали хакеры. Если речь идет об организации такого процесса, это может занять дольше времени.
Пользователь Habr также рассказал о том, почему в «Сапсане» очень сложно подключиться к сети. По его словам, оперативная память системы перегружена на 96%, и она не успевает обрабатывать запросы. Обозреватель Business FM Дмитрий Гаврилов — частый пассажир поездов «Москва — Санкт-Петербург» — рассказал, что Wi-Fi в «Сапсане» — это вообще сеть не для всех:
Дмитрий Гаврилов обозреватель Business FM «Пару лет назад я выяснял у проводников, как можно подключиться к Wi-Fi. Мне сказали, что подключиться к Wi-Fi нельзя, потому что это служебный Wi-Fi для сотрудников, а пассажиры могут, например, смотреть кино, которое на экранах показывают в вагоне «Сапсана». Во всяком случае, я больше и не пытался даже, и насколько я знаю, те пассажиры, которые со мной ехали, тоже пытались узнать, есть ли Wi-Fi, и у них тоже ничего не получилось. В других поездах нет тоже Wi-Fi. Насколько я знаю, в «Гранд-экспрессе» — очень дорогой поезд — тоже нет Wi-Fi . В принципе, можно было бы, конечно, воспользоваться и мобильным интернетом, но это невозможно сделать на протяжении всей трассы. Интернет появляется только в городах: например, в Твери. На этих станциях появляется интернет, и то ненадолго. Такая ситуация у всех операторов, потому что у меня несколько карточек, и я пытался подключиться. Везде одна и та же ситуация. Поэтому в дороге остается только читать книги».
Первые точки Wi-Fi появились в поездах «Сапсан» еще в 2012 году. Сейчас, по данным РЖД, доступ в сеть есть также в составах «Ласточки», «Невского экспресса» и «Стрижа». На части маршрутов выход в интернет остается платной услугой.
Рекомендуем:
Рекомендуем:
