Многие сервисы перевозчика работали с паролями по умолчанию, выяснил программист.
Пользователь «Хабра» и создатель телеграм-канала об информационной безопасности под ником LMonoceros рассказал, что получил доступ к камерам наблюдения на вокзалах и в офисах, а также многим внутренним сервисам РЖД.
LMonoceros решил проверить, насколько защищены сервисы РЖД, поскольку остался недовольным «пренебрежительной» реакцией компании на пост другого пользователя «Хабра» в ноябре 2020 года. Тот получил доступ к внутренней сети РЖД через Wi-Fi «Сапсана». Тогда представитель РЖД отверг наличие уязвимостей, «которые бы влияли на утечку каких-то критических данных», и назвал пользователя «Хабра» «юным натуралистом» и «злоумышленником».
В интернете очень много бесплатных прокси-серверов. Но кто в здравом уме будет открывать всем желающим выход в интернет через свой роутер? Вариантов по большому счету два: это либо взломанные устройства, либо владелец забыл отключить эту функцию.
Таким образом меня посетила идея проверить гипотезу: «Есть ли жизнь за прокси»?
Автор публикации открыл утилиту Nmap и запустил открытое сканирование IP-сетей: с помощью этого он обнаружил сервисы с открытыми портами. «Гипотеза подтверждена: за прокси могут быть целые незащищённые сети», — отметил программист.
Ряд сервисов РЖД работал с паролями по умолчанию, отметил пользователь «Хабра». Он заявил, что получил доступ к:
- сетевому оборудованию;
- не менее чем 10 тысячам камер наружного наблюдения на вокзалах и в офисах РЖД;
- системам управления табло на перронах;
- IP-телефонам и FreePBX-серверам, которые нужны для офисной телефонии;
- IPMI (Intelligent Platform Management Interface) серверов — можно удалённо управлять их работой;
- ряду внутренних сервисов, в том числе дирекции пассажирских обустройств (комплекс, включающий платформы, навесы, павильоны, кассы, вокзалы, ограждения, статическую и динамическую визуальную информацию);
- мониторингу систем обеспечения зданий;
- системам управления кондиционированием и вентиляцией.
LMonoceros в публикации на «Хабре» описал видение ситуации, например, отметив отсутствие межсетевых экранов (комплекс, необходимый для повышения безопасности данных), «кучу устройств без защиты» и отсутствие контроля исходящего трафика.
Автор публикации обратился к замгендиректора РЖД Евгению Чаркину, который до декабря 2020 года занимал должность директора по информационным технологиям и отвечал на публикацию другого пользователя «Хабра» об уязвимостях в компании.
У меня лично есть всего три варианта:
1. У вас исходно плохая команда. Проверку проводил тот же отдел, который и проектировал/обслуживает систему. Отрицая проблему, они или сохраняют свою работу, или преследуют иные цели.
2. Вы доверились не тому специалисту. Аудит проводил некомпетентный сотрудник.
3. Вы и так знаете о проблеме, но по каким-то неведомым причинам не можете ее публично признать и решить.
РЖД в ответе на запрос СМИ рассказала о начале внутреннего расследования по факту публикации на «Хабре». Компания кратко заявила, что данные пользователей не утекали и угрозы безопасности нет, но пока подробно не прокомментировала находку программиста.
РЖД проводит расследование по публикации в открытом источнике данных, связанных с информационной безопасностью одного из подразделений холдинга. Сообщаем, что утечки персональных данных клиентов холдинга не произошло, угрозы безопасности движения нет.
Сам LMonoceros в комментарии «Открытым медиа» отказался раскрывать подробности взлома сетей. При этом он отметил, что процедуру может повторить «любой квалифицированный» человек.
