Программист опубликовал информацию об уязвимостях в системе Wi-Fi «Сапсана»
Специалист по информационной безопасности взломал локальную сеть скоростного электропоезда и обнаружил незашифрованные персональные данные.
По пути из Санкт-Петербурга в Москву пользователь сообщества «Хабр» keklick1337 столкнулся с плохим качеством мобильного покрытия, поэтому решил поработать в Wi-Fi сети.
Он обнаружил, что авторизация в WiFi происходит по цифрам паспорта и номерам мест пассажиров и предположил наличие легкого доступа к таким данным.
Опасения хакера подтвердились. Но более всего эксперта удивило, что:
- РЖД хранит сведения в текстовых документах,
- часто применяет одинаковые пароли
- не использует для защиты личной информации протоколы поддержки шифрования HTTPS.
Эксперт заключил, что не собирается делать полный отчет по проблеме. Поскольку несколько лет назад уже обращал внимание перевозчика на другую уязвимость.Тогда в РЖД не выплатили никакого вознаграждения, а просто исправили ошибку.
В РЖД прокомментировали инцидент.
«РЖД проведут технологическое расследование заявления о взломе системы высокоскоростного поезда «Сапсан». При этом необходимо отметить, что на сервере информационно-развлекательной системы (ИРС) поездов «Сапсан» не хранятся персональные данные пассажиров. Мультимедийный портал предоставляет информационный и развлекательный контент: новости ОАО «РЖД», фильмы, книги, музыку и другую информацию. Для авторизации в системе пользователь должен ввести только последние четыре символа документа, на который куплен билет, а также вагон и номер места. Эти данные не относятся к персональным, в соответствии с действующим законодательством РФ, и хранятся на сервере ИРС не более одного дня», — процитировало пресс-службу компании агентство «Москва».
В пресс-службе подчеркнули, что сервер ИРС не связан с внутренней сетью ОАО «РЖД» или другими внутренними сервисами управления в поезде.