В системе управления российскими шлагбаумами нашли уязвимость
В системе управления шлагбаумами от частной компании «АМ Видео» нашли опасную уязвимость, которая могла привести к утечке данных пользователей и переходу контроля над устройствами к хакерам. Шлагбаумы этой фирмы преимущественно устанавливают во дворах. Основная их часть — около 85% — сконцентрирована в Москве, ещё 10% находится в Московской области, остальные — в других регионах. Компания оперативно устранила ошибку.
«Уязвимость заключается в недостатке системы авторизации в веб-приложении, которая позволяет при минимальных правах доступа с демонстрационного аккаунта получать информацию о любых объектах системы, что открывает возможность управлять ими», — рассказал РБК сооснователь компании в сфере кибербезопасности Postuf Бекхан Гендаргеноевский.
По мнению Гендаргеноевского, уязвимость могла возникнуть из-за стремления фирмы разрабатывать всё своими силами, вместо того чтобы передать процесс на аутсорсинг.
«Возможно, компания не потянула: код написали, а множество этапов его жизненного цикла, в том числе тестирование и безопасность, — не смогли», — рассуждает он.
После того как издание обратилось к «АМ Видео», компания оперативно устранила уязвимость (в Postuf это подтвердили).
«Мы оперативно организовали работу, своевременно устранили найденную уязвимость. Благодарим компанию, которая её обнаружила. Не ошибается тот, кто не работает. Без ошибок и проблем никакая компания существовать не может», — сказал учредитель «АМ Видео» Антон Уткин.
Глава группы аналитики информационной безопасности Positive Technologies Екатерина Килюшева отметила, что обнаружение уязвимости — факт непримечательный, так как почти каждое второе веб-приложение содержит уязвимости высокого уровня риска. Однако в этом случае подобная ошибка могла привести даже к транспортному коллапсу в столице, добавила Килюшева. Она также подтвердила, что уязвимость могла привести к краже персональных данных .
Гендиректор Infosecurity a Softline Company Николай Агринский заявил, что такого рода уязвимости уже встречались на сайтах российских логистических компаний, медицинских организаций, интернет-магазинов.
«За счёт подобных уязвимостей очень часто формируются "слитые" базы данных. Иными словами, если злоумышленник узнал внутренние идентификаторы объектов в системе (то есть шлагбаумов и т. д.) и знал, как приложение делает запросы, на примере тестового кабинета, то он мог совершать неавторизованные действия по открытию шлагбаумов и чтению персональных данных. Риски здесь, как и при любом "взломе", — утечка данных, неразбериха с правами доступа», — рассказал заместитель руководителя департамента аудита Group-IB Павел Супрунюк.
Ещё один эксперт предупредил, что, если бы хакеры воспользовались этим слабым местом приложения, они бы могли «подсадить» вредоносный код в код приложения, и когда пользователь зашёл бы в него, на гаджет мог подгрузиться какой-нибудь подвид вредоносной программы, а злоумышленник получил бы возможность взять полный контроль над устройством.
Ранее стало известно, что в Ярославской области будут судить межрегиональную группировку из шестерых хакеров, которые взламывали мобильные банки россиян и воровали деньги. Полиция раскрыла преступную схему ещё в 2016 году. Потерпевшими по делу проходят жители 27 регионов России, а объём уголовного дела превысил 200 томов. Точное число пострадавших, а также сумма украденных денег не раскрывается.
Фото: Pixabay, Pixabay License