Вы, наверное, слышали историю о том, как программист взломал Wi-Fi «Сапсана» и обнаружил там базы данных пассажиров и много другой любопытной информации? Так вот, в РЖД провели внутреннюю проверку и ответили... Так ответили, что лучше бы не отвечали.
Но обо всем по порядку. Итак, 15 ноября на «Хабре» появилась статья, в которой пользователь описал, как от нечего делать взломал Wi-Fi в «Сапсане». По его словам, это заняло у него всего 20 минут. Причем так долго – только из-за того, что тормозил сервер.
После взлома, утверждает хакер, он обнаружил данные всех пассажиров своего и нескольких предыдущих рейсов, а также нашел вход в впн РЖД. По его словам, трафик пассажиров, которые подключены к Wi-Fi в «Сапсане», ничем не защищен.
«Скриншотов я много не делал, ибо не думал писать статью. Но я несколько лет назад уже обращался в РЖД с уязвимостью, и они побрили меня с выплатой и просто исправили ее, так что отношение у меня к ним не ахти. Хоть и личных данных я не публикую. Все настроено ужасно, одинаковые пароли везде — признак хорошего админа, и хранение данных в текстовых документах тоже гуд. Особенно задачи в кроне. РЖД, поправьте все, через пару месяцев снова проверю», – написал хакер.
Когда я прочитал эту статью и новость о том, что в РЖД начали проверку, я надеялся, что парня наградят золотой картой «РЖД-бонус» или предложат работу в компании. Это нормальная мировая практика – поощрять от имени компании тех, кто указывает на уязвимости продуктов этих компаний. Так было и с Microsoft, и c Apple, и много с кем еще.
Но где Microsoft, а где РЖД... Ответ перевозчика меня неприятно шокировал. Вот, что сказал журналистам директор компании по информационным технологиям Евгений Чаркин (цитата по РИА Новости):
Провели (расследование - ред.). Там уязвимостей, которые бы влияли на утечку каких-то критических данных, нет... Никакие данные персональные не хранятся. То, что написано в пресс-релизе, ровно так оно и есть.
Почему удалось взломать? Наверное, потому что злоумышленник. Наверное, из-за этого... Ну, он из "фана". Юный натуралист.
Явно в этом эпитете проскальзывает попытка оскорбить программиста. А могли бы на работу взять.
