В РЖД не выявили серьезных уязвимостей при проверке мультимедийного портала поезда «Сапсан»



    Согласно информации агенства «ТАСС», специалисты ОАО «Российские железные дороги» провели расследование по факту получения одним из пассажиров доступа в сервисную часть системы Wi-Fi «Сапсана» и пришли к выводу, что в их сети нет критических уязвимостей, используя которые можно получить доступ к действительно важным данным или внутренним сервисам, а угрозы похищения персональных данных при взломе мультимедийной системы поезда «Сапсан» не существует.

    «В компании „Российские железные дороги“ провели проверку после взлома мультимедийной системы поезда „Сапсан“ одним из пассажиров, критических уязвимостей не обнаружено», — сообщил Евгений Игоревич Чаркин, директор по информационным технологиям ОАО «РЖД».

    15 ноября 2019 года пользователь keklick1337 в своей публикации «Самый беззащитный — это Сапсан» рассказал, что он смог за двадцать минут получить доступ к внутренним сервисам мультимедийного портала «Сапсана», нашел там локально хранящиеся некоторые данные о пассажирах (текущего и прошлых рейсов), а так же обнаружил в этой системе «VPN в сеть РЖД» и написал: «РЖД, поправьте все, через пару месяцев снова проверю».

    19 ноября 2019 года сообщалось, что в ОАО «РЖД» узнали об этой ситуации и проводят технологическое расследование факта взлома (в компании именно так описана произошедшая ситуация) системы беспроводного доступа в сеть высокоскоростного поезда «Сапсан».

    21 ноября 2019 года в ОАО «РЖД» прокомментировали результаты этого расследования. «Есть результаты проверки. Во-первых, никакие данные персональные в этой системе не хранятся. Почему удалось взломать? Наверное, потому, что злоумышленник. Наверное, из-за этого… Ну, он из „фана“. Юный натуралист. Там уязвимостей, которые бы влияли на утечку каких-то критических данных, нет. Мультимедийный портал „Сапсанов“ функционирует как положено и не нуждается в доработке», — заявил Евгений Чаркин.

    Отвечая на дополнительные вопросы по этой ситуации, представитель ОАО «РЖД» сообщил, что все же планируется провести дополнительную работу по настройке информационно-развлекательной системы (ИРС) мультимедийного портала «Сапсана» после этого случая.

    «Что есть защищенная система? Защищенная система — это та система, взлом которой стоит дороже, чем ценность информации, которая там есть. Вот и все», — подытожил директор по информационным технологиям ОАО «РЖД».

    28 ноября 2019 года: «Просканировал все порты sapsan.center, кроме 22 и 80 все закрыто. Либо РЖД вдумчиво читают Хабр, либо не все сапсаны дырявые», — написал на своей страничке в FB Ашот Оганесян, технический директор компании DeviceLock.
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 35

      +35
      Почему удалось взломать? Наверное, потому, что злоумышленник.

      keklick1337 слышали новость? Сапсан удалось взломать не потому что у него порты наружу голой жопой торчат, а потому что вы (барабанная дробь) ЗЛОУМЫШЛЕННИК.

        0
        Ну это же классика жанра. А там еще и CP найдут и битки отнятые у правоверного делового и уважаемого человека.
        +2
        странно что не написали: просто потому что он может это сделать…
          +2
          Видимо, пока на Пикабу не выложат подробные инструкции, чтобы любой скрипт-киди мог хакнуть их сеть со своего смартфона — они не почешутся.
            +3
            Теперь, после этой публикации на хабре, нужно просто немного подождать. )
            +8
            «Что есть защищенная система? Защищенная система — это та система, взлом которой стоит дороже, чем ценность информации, которая там есть. Вот и все», — подытожил директор ОАО «РЖД» по информационным технологиям.

            Понятно. Оказывается что защищать систему от случайного скана слишком дорого. Персданные недостаточно ценные.

              0

              Как будто они будут за утечку отвечать. Сбербанк вон так и не ответил

              +1
              Евгений Чаркин обделался, но поменять белье не решился.
                +3
                «Это не критическая ситуация, повторяю Вам. Угрозы похищения грязного белья нет!»
                — чуть ли не срываясь на крик прокомментировал Евгений.
                  0
                  Что-то это мне напомнило реакцию банков на последние утечки
                    +16
                    — Ты кто?
                    — Я PR-менеджер.
                    — А можешь перевести на PR-менеджерский фразу «мы обосрались»?
                    — Да легко: «Анализ информации нашими специалистами о якобы найденной и опубликованной в соцсетях уязвимости и утечке данных не подтвердился. На местах проведены дополнительные проверки — угроз для пользователей нет. Мы рассматриваем варанты внедрения дополнительной защиты в рамках следующего этапа развития нашей системы».
                +9

                Инфобезопасность — это комплекс мероприятий. И с этой стороны у РЖД все в порядке. Пока вы не доступились до важной информации — вы тролль, лжец и девственник. Как только доступились — опасный преступник, который будет посажен в зиндан за 24 часа. И в том и в другом случае инфа в безопасности и поводов для беспокойства нет решительно никаких.
                Такие дела)

                  +1
                  Тогда на следующем подходе к станку реальные злоумышленники найдут способ монетизировать взлом, не сумлевайтесь ;)
                    0
                    Или уже нашли, не ясно сколько эта дыра была в безопасности.
                  +1
                  Мультимедийный портал „Сапсанов“ функционирует как положено и не нуждается в доработке», — заявил Евгений Чаркин.

                  «Не слушайте, что они говорят, смотрите, что они делают»
                    0
                    Отвечая на дополнительные вопросы по этой ситуации, представитель ОАО «РЖД» сообщил, что все же планируется провести дополнительную работу по настройке информационно-развлекательной системы (ИРС) мультимедийного портала «Сапсана» после этого случая.

                    То есть пусть и без необходимости, но они соизволят до-настроить систему.

                      0
                      +, тоже этот момент понравился. Уязвимости нет, но мы её исправим )
                    +1
                    Большего от РЖД и не ожидалось…
                      +1
                      Вот это поворот! Кто бы мог догадаться?! ;)
                        0
                        а почему их собственно должно это все заботить. Они монополисты государственного уровня. Это в Японии шесть компаний-перевозчиков поездами, из которых можно выбрать, если качество тебя не устраивает. И поэтому там поезда приезжают с точностью до секунды.
                        Репутационные потери от утечки персональных данных им по боку, главное луноликого не расстраивать, чтобы преференции не отобрали. У нас совершенно особенная вертикальная экономика, и законы западного рынка на нас не работают.
                          +1

                          Справедливости ради, точность порядка 95-99% достигается даже у монополистов.

                          +2
                          уязвимостей, которые бы влияли на утечку каких-то критических данных, нет. Мультимедийный портал „Сапсанов“ функционирует как положено и не нуждается в доработке», — заявил Евгений Чаркин.

                          "— Как вам удалось сбежать?
                          — На третий день Зоркий Глаз заметил, что у сарая, в котором нас заперли, нет одной стены..."


                          Третий день Зоркого Глаза ещё не наступил.

                            +4
                            «Что есть защищенная система? Защищенная система — это та система, взлом которой стоит дороже, чем ценность информации, которая там есть. Вот и все», — подытожил директор по информационным технологиям ОАО «РЖД»


                            Другими словами, заботиться о персональных данных пользователей «экономически нецелесообразно».
                              +1

                              От утечки персданых пассажиров страдать будут пассажиры, а не РЖД, поэтому для РЖД любые телодвижения «экономически нецелесообразны».

                                0
                                Интересная интерпретация требований 152-ФЗ. И раз Роскомнадзор молчит, видимо его мнению не противоречит. Вот только боюсь, что если так скажем компания уровнем пониже, то ее РКН не поймет
                                  0
                                  законы работают не для того, чтобы работать и делать жизнь людей лучше и безопасней, а чтобы была возможность на них заработать законотворцам и «компетентным» органам. это касается и 152-го ФЗ. в действительности, мало кто контролит его реальное соблюдение, поскольку они сами при помощи третьих лиц продают данные. А когда на рынке появляются другие «продавцы», то в силу как раз и вступает закон о персональных данных. Т.о. законы — способ закрывать и убирать конкурентов. Это вообще основополагающий принцип «двойных стандартов» — «нельзя никому кроме тех, кому можно».
                                    0
                                    Я мало пересекаюсь с думцами. Но думаю, что все сложнее. Та же Мизулина — она же яростно убеждена, что надо так. Есть законы, которые растут из международных обязательств…
                                    Тут скорее две проблемы. 1. Мало экспертов, а те, что есть ангажированы. Сколько у нас известных блоггеров? Человек 5. А в каждый комитет думы суммарно нужно? + в министерства. В союзе была сквозная иерархия планирования (кривая, но была) и были эксперты на всех уровнях. А у нас эта система разрушена полностью. 2. Денег нет. И законы принимаются так, чтобы они легли на частников. А те ясен пень начинают уворачиваться. Ну а раз не государство платит, то размахнись рука в разделе требований закона
                                +6
                                «У нас в Айти-департаменте я — директор, три моих кума зама и симпатичная девочка PR/SMM-менеджериня. А этих сисадминов мы разогнали к херам — всё равно непонятно чем они занимаются. У меня тут племяш (смышлёный малый, кстати) сейчас после института выйдет — он посмотрит, разберётся там что к чему.
                                  0
                                  Зачем защищать то, что и так можно купить на каждом углу. Так что я считаю что проблема только в нерабочем wifi(но если рубануть интерн
                                    0
                                    — У нас дыра в безопасности!!!
                                    — ну хоть что то у нас в безопасности.
                                      +7

                                      Предлагаю идею быстрого реагирования РЖД. Заменить все видеофайлы на записи Навального. И несколько раз повторить. Вместо кино — Навальный. Вместо объявлений — Навальный. Вобщем как новости, только наоборот.

                                      • НЛО прилетело и опубликовало эту надпись здесь
                                        0

                                        Напомнило анекдот:


                                        Едут два мужика в купе. Вдруг сверху падает какаха. Нижний кричит верхнему: "Мужчина, проснитесь — вы обосрались!". Мужик сверху: "А я и не сплю!"
                                          0
                                          «Что есть защищенная система? Защищенная система — это та система, взлом которой стоит дороже, чем ценность информации, которая там есть. Вот и все»
                                          Будто попал на лекцию в институт политически-информационных технологий.

                                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                          Самое читаемое