Проблема, описанная в статье на Хабре "Самый беззащитный — это Сапсан" получила большой резонанс в сети и многие СМИ заинтересовались этим событием, что не удивительно, так как ситуации такого уровня должны требовать от разработчиков и архитекторов анализа ошибок в системе и быстрого внесения изменений для закрытия уязвимых мест. По информации издания «Коммерсантъ», в ОАО «РЖД» также узнали о проблеме и проведут внутреннее расследование информации о взломе (в компании именно так описана произошедшая ситуация) системы Wi-Fi высокоскоростного поезда «Сапсан».
«На сервере информационно-развлекательной системы (ИРС) поездов «Сапсан» не хранятся персональные данные пассажиров. Мультимедийный портал предоставляет информационный и развлекательный контент: новости ОАО «РЖД», фильмы, книги, музыку и другую информацию. Для авторизации в системе пользователь должен ввести только последние четыре символа документа, на который куплен билет, а также вагон и номер места. Эти данные не относятся к персональным, в соответствии с действующим законодательством РФ, и хранятся на сервере ИРС не более одного дня. Сервер ИРС не связан с внутренней сетью ОАО «РЖД» или другими внутренними сервисами управления в поезде, он разработан исключительно для развлекательной и информационной тематики и не хранит никаких конфиденциальных данных клиентов,» — официально заявили в пресс-службе ОАО «Российские железные дороги».
Хотя пользователь keklick1337 в своей публикации рассказал, что обнаружил в анализируемой системе «VPN в сеть РЖД» и написал «РЖД, поправьте все, через пару месяцев снова проверю».
На данный момент ОАО «РЖД» проводит технологическое расследование факта взлома системы беспроводного доступа в сеть высокоскоростного поезда «Сапсан». К чему приведут результаты расследования и будет ли пользователь keklick1337 участвовать в этом мероприятии дополнительно, если в ОАО «РЖД» все же попытаются с ним связаться для уточнения деталей и помощи, не уточняется.
В ОАО «РЖД» нет программы поощрения за найденные уязвимости в их системах, так что можно только отсылать компании в электронном виде информацию о проблемах, но получить за это вознаграждение нельзя. А вероятность, что эту проблему быстро проанализируют и оперативно исправят, очень небольшая.
Как оказалось, это далеко не первая проблема, обнаруженная в системе безопасности ОАО «РЖД». Ранее в конце августа 2019 года на Хабре также была резонансная публикация о том, что в свободном доступе оказались данные (имена, номера рабочих телефонов, должности, фотографии и номер СНИЛС) 703 тыс. сотрудников ОАО «РЖД» (всего в компании 732 тыс. сотрудников): "Утечка персональных данных предположительно сотрудников ОАО «РЖД»". Результатом этой серьезной утечки данных стало обращение компании в правоохранительные органы, а информация о ходе расследования этого инцидента публично не озвучивалась.
