Пользователь IT-портала "Хабр" под ником LMonoceros сообщил, что смог получить доступ к камерам наблюдения на вокзалах и в офисах, а также многим внутренним сервисам компании РЖД. Инфраструктура компании привлекла его внимание в связи с пренебрежительной реакцией РЖД на пост другого пользователя, который в прошлом году вошел во внутреннюю сеть РЖД через Wi-Fi в скоростном поезде "Сапсан".
LMonoceros напомнил, что тогда в РЖД отвергли наличие уязвимостей, "которые бы влияли на утечку каких-то критических данных", и назвали пользователя "Хабра" "юным натуралистом" и "злоумышленником". В связи с этим LMonoceros провел собственное исследование. Ему удалось найти незащищенные прокси-серверы, за которыми скрывались незащищенные сети. В итоге LMonoceros получил доступ к сетевому оборудованию РЖД, по меньшей мере 10 тыс. камер наблюдения на вокзалах и в офисах компании, системам управления табло на перронах, IP-телефонам и FreePBX-серверам, которые используются для офисной телефонии, а также системам управления кондиционированием и вентиляцией зданий РЖД и другим внутренним сервисам компании, пишет TJ.
По мнению хакера, доступ к инфраструктуре РЖД смог получить не только он. По его словам, с таким уровнем доступа злоумышленники могут среди прочего с легкостью вывести из строя камеры наблюдения. Это нанесет материальный ущерб компании и повысит риски террористической угрозы, считает LMonoceros.
Самый беззащитный - уже не "Сапсан". Всё оказалось куда хуже…
— Habr (@habr_com) January 13, 2021
Автор статьи попал в сеть РЖД даже не садясь в "Сапсан". Выясняем, как именно это у него получилось, чего не сделал директор по информационным технологиям ОАО "РЖД" и возможные последствия: https://t.co/3TWu83F9Ci pic.twitter.com/228xo6vIO0
В связи с этим он публично обратился к замгендиректора РЖД Евгению Чаркину, который до декабря прошлого года занимал пост директора по информационным технологиям (именно он снисходительно комментировал публикацию о взломе Wi-Fi в "Сапсане"). Хакер считает, что расследование, проведенное по итогам прошлого инцидента и не выявившее уязвимостей, было организовано непрофессионально или же компания предпочла скрыть информацию о проблеме и не смогла ее решить.
В комментарии "Открытым медиа" хакер отметил, что попасть в сеть РЖД по его примеру может "любой квалифицированный" человек".
Позднее в РЖД сообщили, что проверяют изложенные в свежей публикации факты, но подчеркнули, что персональные данные клиентов не были скомпрометированы.
"РЖД проводит расследование по публикации в открытом источнике данных, связанных с информационной безопасностью одного из подразделений холдинга. Сообщаем, что утечки персональных данных клиентов холдинга не произошло, угрозы безопасности движения нет", - сообщили ТАСС в пресс-службе компании.
В РЖД добавили, что компания постоянно совершенствует собственную IT-инфраструктуру. "Компания открыта и приветствует предложения по усовершенствованию собственной IT-инфраструктуры, при этом выступает против неправомерного доступа к информационным системам и публикации данных, связанных с информационной безопасностью, в открытых источниках. Напоминаем, что неправомерный доступ к компьютерной информации является уголовным правонарушением", - заявили в РЖД.
Вечером 13 января LMonoceros обновил свой пост на "Хабре". Он сообщил, что с ним связались IT-специалисты РЖД, и совместными усилиями они устранили найденные уязвимости.
Напомним, в ноябре прошлого года в свободном доступе в интернете оказалась база с персональными данными пользователей программы лояльности "РЖД бонус". Она содержала сведения о более чем 1,36 млн клиентов программы лояльности, включая логины и хэшированные пароли, данные о датах регистрации и последней авторизации, а также адреса электронной почты. Кроме того, в базе были имена некоторых клиентов, IP-адреса, с которых они входили на сайт и другие сведения об их устройствах, собранные с 7 августа по 8 октября 2020 года. В связи с инцидентом компания разослала клиентам "РЖД Бонус" электронные письма, в которых говорится о необходимости сменить используемый пароль в связи с попыткой взлома.
В декабре 2019 года сотрудники Следственного комитета смогли найти хакера, похитившего данные свыше 700 тыс. сотрудников компании "Российские железные дороги". Им оказался 26-летний житель Краснодарского края. По данным следствия, молодой человек, используя незаконно добытые учетные записи двух сотрудников РЖД и "96 уникальных ip-адресов", получил доступ к информации о работниках компании, а затем скопировал несколько сотен тысяч фотографий и другие сведения о сотрудниках, включая руководство РЖД. Позднее хакер опубликовал файлы на сайте, хостинг которого расположен в Германии.