ИТ / Новости
информбезопасность ПО сервисы
18.11.2019

Программист опубликовал информацию об уязвимостях в системе Wi-Fi «Сапсана»

Специалист по информационной безопасности взломал локальную сеть скоростного электропоезда и обнаружил незашифрованные персональные данные.

По пути из Санкт-Петербурга в Москву пользователь сообщества «Хабр» keklick1337 столкнулся с плохим качеством мобильного покрытия, поэтому решил поработать в Wi-Fi сети. 

Он обнаружил, что авторизация в WiFi происходит по цифрам паспорта и номерам мест пассажиров и предположил наличие легкого доступа к таким данным.

Опасения хакера подтвердились. Но более всего эксперта удивило, что:

  • РЖД хранит сведения в текстовых документах,
  • часто применяет одинаковые пароли
  • не использует для защиты личной информации протоколы поддержки шифрования HTTPS.

Эксперт заключил, что не собирается делать полный отчет по проблеме. Поскольку несколько лет назад уже обращал внимание перевозчика на другую уязвимость.Тогда в РЖД не выплатили никакого вознаграждения, а просто исправили ошибку.

В РЖД прокомментировали инцидент.

«РЖД проведут технологическое расследование заявления о взломе системы высокоскоростного поезда «Сапсан». При этом необходимо отметить, что на сервере информационно-развлекательной системы (ИРС) поездов «Сапсан» не хранятся персональные данные пассажиров. Мультимедийный портал предоставляет информационный и развлекательный контент: новости ОАО «РЖД», фильмы, книги, музыку и другую информацию. Для авторизации в системе пользователь должен ввести только последние четыре символа документа, на который куплен билет, а также вагон и номер места. Эти данные не относятся к персональным, в соответствии с действующим законодательством РФ, и хранятся на сервере ИРС не более одного дня», — процитировало пресс-службу компании агентство «Москва».

В пресс-службе подчеркнули, что сервер ИРС не связан с внутренней сетью ОАО «РЖД» или другими внутренними сервисами управления в поезде.

Фото: lori.ru 

Еще по теме

За счет чего российская цифровая техника будет востребована за рубежом

Как изменились подходы и скорость цифровизации за последние 20 лет

Почему будущих специалистов по информбезопасности разбирают еще со школы

Новые схемы интернет-мошенников и как им противостоять

Почему буксует импортозамещение электронных компонентов

Почему рынок коммерческих дата-центров нуждается в регулировании

Что ждет начинающего тестировщика в 2024 году

Как найти перспективные зарубежные рынки для российских решений

Какие угрозы несет интернет тел человечеству

Успеют ли банки заменить импортный софт и оборудование до 2025 года

Зачем компании вкладывают деньги в ИТ-состязания?

Импортозамещение и внутренняя разработка ПО в страховании

Почему рынок информационных технологий РФ возвращается к классической дистрибуции

Что сделано и не сделано в цифровизации России за 2023 год

Как заботу о вычислениях переложить на вендоров и почему не все к этому готовы