РЖД опять в центре громкого скандала. Компьютерщик получил доступ к внутренним сервисам компании, задокументировал всё и опубликовал онлайн. Это происходит на фоне постоянного взлома соцсетей РЖД и утечек данных пассажиров. Объясняю, почему все серьезно.
У нас есть канал в телеграме, где подобные новости появляются намного оперативнее. Подпишитесь на него. А теперь к сути.
Не переходите по ссылке
Начнем с самого простого и близкого любому пассажиру – с социальных сетей. Уже неоднократно случалось, когда странички перевозчика или его «дочек» взламывали. Из последнего – в декабре 2020 года от лица «РЖД Тура» прислали предложение поучаствовать в розыгрыше. Спустя несколько часов админы группы сообщили, что это был взлом и по ссылке лучше не переходить.
Незадолго до этого хакеры взломали базу участников программы «РЖД Бонус». В Сеть «утекла» информация о 1,36 млн пользователей, среди которой были их имена, электронные адреса, а также сведения о датах их регистрации, последней авторизации и IP-адреса устройств, с которых они подключались к системе.
В рассылке «РЖД Бонуса» случившееся назвали «попыткой взлома» и сообщили о «предотвращении доступа к персональным данным участников». Кроме того, всем клиентам программы автоматически был сброшен пароль.
Как объясняют эксперты, персональные данные в привычном понимании (с номерами паспортов и т.д.) к хакерам действительно не попали. К тому же пароли были зашифрованы. Но приятного все равно мало, и «паразитировать» на такой базе можно. Например, среди 1,36 млн наверняка были те, у кого пароли легко подбирались из числа стандартных с помощью примитивного программного обеспечения.
Пожалуй, самый громкий скандал последних лет из числа кибератак у РЖД случился в августе 2019 года. Тогда в Сети «слили» более 700 тысяч сотрудников компании: их ФИО, даты рождения, номера СНИЛС, фотографии, телефоны, адреса прописки и т.д. В МВД выяснили, что за хакерской атакой стоял житель Краснодарского края.
Хакнутый «Сапсан»
Осенью 2019 года компьютерщик из Хабаровска с ником keklick1337 опубликовал на «Хабре» статью, в которой рассказал, как смог взломать внутреннюю сеть «Сапсана». Когда хакер оказался в столичном поезде, у него «зачесались руки», и он за 20 минут осуществил взлом. Ничего особо опасного он там не делал, к системам управления поезда доступ не получил. Но увидел, например, список всех пассажиров текущего и соседних рейсов.
«На диске у них хранилось много хорошей инфы, и в базе данных (mysql) у них лежали все пассажиры текущего и прошлых рейсов. Также оттуда в сеть РЖД есть впн. Если захотите — найдете ее там сами… Скриншотов я много не делал, ибо не думал писать статью. Но я несколько лет назад уже обращался в РЖД с уязвимостью, и они побрили меня с выплатой и просто исправили ее, так что отношение у меня к ним не ахти. Хоть и личных данных я не публикую. Все настроено ужасно, одинаковые пароли везде — признак хорошего админа, и хранение данных в текстовых документах тоже гуд. Особенно задачи в кроне. РЖД, поправьте все, через пару месяцев снова проверю», – написал хакер.
В РЖД тогда отреагировали слегка по-хамски. Тогдашний директор компании по информационным технологиям Евгений Чаркин назвал хакера «юным натуралистом».
«Провели (расследование). Там уязвимостей, которые бы влияли на утечку каких-то критических данных, нет... Никакие данные персональные не хранятся. <…> Почему удалось взломать? Наверное, потому что злоумышленник. Наверное, из-за этого... Ну, он из "фана". Юный натуралист», – сказал тогда Чаркин.
Хакеры идут напролом
И вот в начале января 2021 года появилась информация про новый взлом. На том же habr пользователь с ником LMonoceros рассказал, что в этот раз ему не потребовалось даже садиться в поезд. Он все сделал из дома (или из офиса, я уж не знаю).
В частности, он увидел, что может получить доступ к более чем 10 тысячам камер видеонаблюдения. Среди них были камеры, установленные внутри зданий вокзалов, на платформах, в офисах РЖД и над железнодорожными путями.
Хакер отметил, что мог бы вывести камеры из строя, просто заменив пароль доступа к ним. Также он описал, что получил доступ к роутерам и даже к табло управления расписанием.
«Я не единственный, кто нашел данные уязвимости. Очень много признаков, что в этой сети кто-то “живет”. Все информационные системы уязвимы априори. Когда их вскроют — зависит от интереса злоумышленников к ним, беспечности создателя и времени, которое они на это потратят. Основой основ безопасности является ограничение доступа к системам при несанкционированном проникновении в одно устройство. Я старался достаточно жирно намекнуть на узкие места, не раскрывая деталей, и надеюсь, что специалисты РЖД их все же увидят», – заключил взломщик.
Он, кстати, передал привет тому же Евгению Чаркину, который прошлого хакера называл натуралистом, после чего пошел на повышение и стал первым замглавы РЖД.
В РЖД тут же после публикации заявили, что проверяют информацию о взломе, и что утечки персональных данных не произошло. В этот раз в РЖД оказались умнее. Как написал хакер, с ним связались из компании, и они совместными усилиями закрыли уязвимости.
Тем не менее, системные проблемы РЖД в области IT-безопасности настораживают. Да, пока это все шалости. И никто не получил доступ к более серьезным системам, отвечающим за безопасность движения. Такие «шалости» в конечном итоге могут дорого стоить компании, и очевидно, что проблема именно на стороне перевозчика – что-то не слышно, чтобы столь массово и по разным фронтам взламывали «Газпром», «Аэрофлот» или Почту России.
Надеемся, выводы в РЖД сделают правильные. По крайней мере, то, что в этот раз не стали отнекиваться и обзываться, – хороший знак.