Астрахань избавилась от порнографических QR-кодов



    Министерство культуры и туризма региона Астраханской области приняло решение снять с исторических зданий таблички с QR-кодами, которые полгода вели на порносайты или предлагали знакомства в Tinder. При клике владелец устройства автоматически оформлял себе подписку стоимостью 35 рублей в сутки.

    «Таблички с QR-кодами все сняты. Это была техническая атака хакеров, которые изменили выход на ненужный сайт. Сейчас разрабатываются новые QR-коды, которые будут заново установлены на зданиях», — пояснила и.о. министра культуры и туризма Астраханской области Галина Зотеева.

    QR-коды на городских достопримечательностях разместили несколько лет назад. Предполагалась, что при сканировании кода мобильным телефоном отобразится историческая справка о строении. Однако в прошлом году активисты стали обращаться в астраханский минкульт с жалобами на то, что вместо положенной информации им выдаются ссылки на непристойные сайты. В ноябре информация попала в СМИ. Позже сообщалось, что QR-коды были заблокированы.



    Сейчас идёт изготовление новых табличек, сообщила Зотеева.

    Это не первый случай, когда хакеры подменяют правительственную информацию ссылками на порнографический контент. Например, в 2016 году оказался взломан интернет-портал правительства Красноярского края. В разделе «Развитие гражданского общества» на вкладке «Молодёжная политика» посетители могли увидеть контент непристойного содержания.

    По теме:
    «Читаем QR код»
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 41

      +4
      Хотелось бы услышать комментарий начальника тестировочного отдела.
      Неужели никто не тестирует (регрессионно) куда ведет QR-код?

      Нужно два кейса тестировать.
      1. Не подменили, ли QR-код на табличке.
      2. Не поменялось ли содержимое по ссылке.

      Табличка с QR-кодом получается мини-сайт с одной гиперссылкой, причем провайдером является кирпичная стена и не забанишь — Яровая в ярости.

      PS. пишут, что не проплатили хостинг, хотя возможны различные типы атак.
        +2
        Возможно, злоумышленники поменяли коды после установки.
          0
          Скорее всего так и было, иначе в чем смысл атаки…
            +3
            Вангую, что проявив немного креативности, QR-код «поменять» нужным образом можно с помощью черного маркера и полминутки времени (на «подгонку» почти совпадающего кода конечно побольше полминутки уйдет).
              +2
              Кстати, интересная техническая задача: имея QR код сгенерировать новый, который будет включать старый + N дополнительных черных квадратов. При этом надо минимизировать значение N, чтобы это можно было сделать с маркером без трафарета.
              Какое может быть минимальное N? Можно ли получить код с N = 1 за разумное время вычислений?
                +1
                Можно ли получить код с N = 1 за разумное время вычислений?
                Нельзя, т.к. избыточное кодирование гарантирует восстановление информации при некотором количестве одиночных мутаций.
                  0
                  А как вы думаете, какое минимальное N возможно?
                  Реальна ли в целом операция «подрисовать пару точек маркером» или код от этого защищен?
                    +1
                    Подрисовать реально, но пикселей придётся менять с десяток.
                    Скрытый текст

                    Примеря взят из работы Malicious PixelsUsing QR Codes as Attack Vector
            +23
            Скорее, полагаю, не проплатили хостинг и домен выставили на продажу, разместив там рекламу, вот и всё.
            Хотя и приклеить наклейку на старый QR-код с новым кодом, конечно, нетрудно.
          +3
          Эта атака существует столько, сколько существуют QR-коды, достаточно незаметно прилепить сверху наклейку…
            0
            На 2000 руб купюре тоже есть QR-код прям боюсь подумать, что будет в случае компрометации )))
              0
              А вот интересно, можно ли закрасить QR-код так, чтобы содержимое поменялось и он остался валидным? Т.е. закрашиваем точечно, меняем биты…
                +11
                Если можно закрашивать как черным, так и белым — то задача становится тривиальной.
                  0
                  Вопрос, что такое «валидный QR код» на купюре и есть ли там контрольная сумма.
                    0
                    Там самый обычный QR-код, в котором используется даже не контрольная сумма, а автоматическая коррекция ошибок.
              +5
              Если просто меняли код на табличке, то зачем их менять? Можно просто отмыть/отклеить изменения и все, а на новые потом также могут наклеить… Больше похоже на то, что эти не очень ответственные и умные люди не проплатили хостинг и лишились домена, который быстро прикупили предприимчивые товарищи и стали (не за даром думаю) выкладывать ссылочки на забавный контент. Тогда понятно зачем доски менять. Домен уже так просто не вернуть, дешевле и быстрее несколько десятков табличек переделать.
                +6
                Не проплатили хостинг, а домен все еще ссылался на хостера, который само собой начал отдавать рекламу по запросам с такого домена.
                  +2
                  Судя по всему, не оплатили там именно домен.
                  Наверное, дважды, т. к. по архивам Wayback Machine, до 2017 года там был связанный с ЮНЕСКО сайт, предоставляющий информацию по QR-кодам, потом год — WordPress Hello World.
                  В июне 2018 года домен был заново зарегистрирован, и теперь отдает рекламу определенного качества.
                  0
                  Или таблички в онлайне заказывали, а потом времени не было проверить и отдали вешать так.
                  +26
                  Прочитал эту новость в схожей формулировке:
                  техническая атака хакеров, которые изменили выход на ненужный сайт
                  уже на трех новостных ресурсах. Хорошо, что Хабр не просто очередной новостной ресурс, но, прежде всего, ИТ-сообщество и статьи тут соответствующего уровня. Спасибо за технические подробности, alizar, после прочтения этой статьи, всё стало понятно. Так держать!
                    +9
                    Не продлеваешь домен @ Спираешь вину на хакеров
                      +1

                      Крутые хакеры, еще на этапе размещения подменили http://vizitastra.ru/zelenaya-strela/ там фото QR кода


                      Позже сообщалось, что QR-коды были заблокированы

                      Сайт (полный адрес не проверялся) открывается. Конечно если QR код заклеить, закрасить… — тоже блокировка информации.

                        +2
                        Так, судя по vizitastra.ru/zelenaya-strela, всё именно так и задумывалось:
                        Помимо текстовой информации и графического изображения объекта пользователь получит он-лайн доступ к заказу и аренде транспорта, бронированию гостиниц, список ресторанов, места проведения досуга.

                        Просто со временем остался только последний пункт.
                        +6
                        Однако в прошлом году...

                        А они там в министерстве культуры и туризма неторопливые, судя по всему.
                          0
                          А есть тег facepalm или фэйспалм?
                          Они здесь точно кстати
                            +1
                            А где Роскомнадзор, а?
                              +5
                              Занят он, телеграм блочит.
                                +2
                                Какой телеграм! Он блочит IP-адрес 127.0.0.1 и заглушки провайдеров! :-D
                                +2

                                Больше интересно, где РосНИИРОС или кто там сейчас занимается стандартизацией доменов под госнужды? Сварганили бы уже единое пространство для регистрации под окологосударственные ресурсы без необходимости следить-продлевать и возможности перерегистрировать на левое лицо, а то сейчас каждое второе ведомство регает себе вторым уровнем в .ru.

                                0
                                хакеров
                                какой странный эвфемизм для эрудированных хулиганов-мошенников с фантазией
                                  +2
                                  Проблема QR-кодов в их совершенной нечитаемости человеком. Как по мне, так их считывать просто опасно, ибо с их помощью открывается такое огромное поле для манипуляций и фишинга, что прямо оторопь берет! И всего-то надо как-то раз ночью переклеить наклейку. :)
                                    0
                                    Что бы они там не делали, QR-код можно легко переклеить. Поэтому тут несколько иное решение нужно. Я тут вижу несколько вариантов:
                                    1. Можно поискать или самим разработать разновидность QR-кода, которую можно снабдить автоматически проверяемым сертификатом, что бы при сканировании человеку показывали автора QR-кода.
                                    2. Можно вообще без QR-кодов сделать, а выпустить приложеньку, которая будет показывать справку в соответствии, например, с GPS/ГЛОНАСС координатами.
                                    3. Можно раздавать WiFi с рекламными вставками около таких зданий, только вместо рекламы показывать историческую справку. Захотел человек почитать о здании? Подключается к WiFi и читает.
                                    4. NFC предлагать не буду, ибо далеко не у всех ещё телефонов есть NFC, в то время, как WiFi и камеры есть почти у всех.
                                      0
                                      Хакеры, хакеры… Это называется ИТ в бюджете, бессмысленный и беспощадный. )
                                      Как показывает личный опыт, обычно в бюджете не заморачиваются на права на домен (по незнанию, в основном), а т.к. Исполнителей получают по самому низу рынка (гос.закупки или до 100 т.р., сами понимаете), то ребята не заморачиваются с регистрацией домена на Заказчика (в большинстве случаев — в корыстных целях), и потом пытаются с Заказчика денежку получить «на техническое обслуживание».
                                      А тут видимо Заказчик просто забыл, что у него там какой-то домен, а Исполнитель не сильно настаивал «на техническом обслуживании».
                                        0
                                        Тогда исполнителю проще изначально настроить переход по ссылке через редирект на своем сайте. Заказчик проверяет — работает. После получения оплаты меняет редирект на выгодный и получает еще небольшую прибыль.
                                        У нас в универе был еще неудачный опыт с QR кодами, коды вели на поисковик + название универа. Задумка была, чтобы получать свежие новости про университет, достижения, мероприятия. Сначала работало всё, но потом в ТОП выдачи поисковиками вышел черный пиар, типа «коррупция, взяточничество, беспредел», таблички быстро сняли.
                                          0
                                          После получения оплаты меняет редирект на выгодный и получает еще небольшую прибыль.
                                          Это уже мошенничество и подсудное дело.
                                            0
                                            меняет редирект...

                                            Это уже мошенничество и подсудное дело.

                                            Ну тут же не сказано, кто меняет.
                                            Просто «техническая атака хакеров, которые изменили выход на ненужный сайт.»
                                              0
                                              Дело заведут. Следователи при желании разберутся довольно быстро, используя не технические средства (от терморектального до отслеживания бенефициаров, кому пришли денежки со всей этой схемы — вряд ли там с анонимными валютами заморачивались).
                                        0
                                        Зачем вообще QR на этих табличках? Они всю эстетику портят, занимая добрую половину площади этой таблички! Эти QR пихают куда ни лень где надо и где не надо. Не понимаю этой моды.
                                          0
                                          Интересно, как можно оформить подписку просто перейдя по ссылке? Неужели смартфон по так легко отправляет свой номер или еще какие либо личные данные? Кому счета присылать откуда злоумышленник узнает?
                                            +3
                                            В этом мошенникам помогает оператор сотовой связи, передающий номер абонента при использовании мобильного интернета.

                                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                          Самое читаемое