Программист рассказал о взломе вайфая «Сапсана» за 20 минут. Он получил доступ к данным всех пассажиров

4 676
В РЖД пообещали проверить сообщения о взломе информационно-развлекательной системы поезда «Сапсан», сообщает ТАСС. При этом в компании подчеркнули, что на сервере этой системы персональные данные пассажиров не хранятся.

Пользователь «Хабра» под ником keklick1337 утверждает, что сумел взломать wi-fi в скоростном поезде «Сапсан», пока ехал из Петербурга в Москву. Программист говорит, что решился на это от скуки и отсутствия интернета.

Для авторизации в сети пассажиру «Сапсана» необходимо ввести номер своего вагона и места, а также четыре последние цифры паспорта. Таким образом, заключил keklick1337, система хранит у себя все данные пассажиров.

Чтобы получить к ним доступ ему потребовалось не более 20 минут — и то «только из-за того, что их сервер лагает».

Для взлома он использовал NMAP (утилиту для сканирования сетей) и публичные эксплойты — программы, находящие уязвимости в программном обеспечении. Просканировав сеть, keklick1337 обнаружил множество сервисов с открытыми портами — в итоге выяснилось, что все они работают на одном сервере с сильно загруженной оперативной памятью. В базе данных на диске «Сапсана» содержались в текстовом виде данные пассажиров текущего и прошлых рейсов, рассказал программист.

«Все настроено ужасно, одинаковые пароли везде… РЖД, поправьте все, через пару месяцев снова проверю», — написал keklick1337. Он также добавил, что несколько лет назад уже указывал компании на другую уязвимость, но ему не выплатили никакого вознаграждения, молча исправив ошибку.

https://meduza.io/feature/2019...

«Крокус-покус» Агаларовых: здание в кадастре не числится, а работали дети и самозанятые

Многие наверняка обратили внимание на школьников, выводивших людей из «Крокус Холла» в ходе теракта 22 марта. Они прославились на всю страну и получили уже немало наград. Правда, юридич...

Русская ракета попала "куда нужно". Варшава спешно отправила в отставку инструктора ВСУ после смерти генерала
  • ATRcons
  • Вчера 20:06
  • В топе

Решение об отстранении было принято на основании данных контрразведки Польши. Кадровые перестановки в "Еврокорпусе"  Пресс-служба Министерства обороны Польши сообщает об уволь...

Наши спортфедерации потоком отказываются от Олимпиады

"Слать команду бомжей не будем!" Федерации одна за другой посылают Париж-2024 лесом.История с допуском-недопуском наших спортсменов на парижские ОИ уже изрядно приелась. Столько было сл...

Обсудить
  • "Он также добавил, что несколько лет назад уже указывал компании на другую уязвимость, но ему не выплатили никакого вознаграждения, молча исправив ошибку." Кстате, в вот-вот рухнувшем США и уже загнившей и покрывшейся плесенью Европе, крупные м/у народные компании и фирмы, платят большие деньги (миллионы, если что), что бы их систему защиты специально хакнули, тем самым показав, где эта система уязвима. Так, гугл готов заплатить от 1 до 1.5 миллиона долларов, если будет хакнута последняя ось ведра (11-ая, если не ошибаюсь), и хакер должен показать, как он это сделал (хакнул). И затем, этим хакерам и прочим людям, кто ломанул систему защиты, предлагают высокооплачеваемую работу в этой фирме, корпорации...
  • Вот скажите мне, на кой чёрт WI-FIв сапсане нужно знать с какого места человек выходит в интернет и, тем более, № его паспорта. Стремление цифровизировать всё и вся, хранить вся и всё свидетельствует лишь о том, что система либо всего боится, либо хочет всех на@@@ть, ну или обе причины вместе. Они то и позволяют "хакать" то одно, то другое.
  • :collision: :collision: :exclamation: :exclamation: :exclamation:
    • Shell
    • 23 декабря 2019 г. 04:59
    Бесплатный сыр