В РЖД сообщили, что персональным данным пассажиров «Сапсанов» ничего не угрожает. Хакеры, с которыми пообщался “Ъ FM”, так не считают. Спор разгорелся после анонимной публикации на форуме, в которой неназванный программист утверждает, что смог взломать Wi-Fi сеть «Сапсана» за 20 минут и получить доступ к данным всех пассажиров — даже тех, кто ездил на этом поезде прежде. “Ъ FM” обсудил риски и с автором текста, и с РЖД. Подробности — у Ивана Якунина.
Фото: Антон Белицкий, Коммерсантъ / купить фото
Фото: Антон Белицкий, Коммерсантъ / купить фото
Изначально в эту историю верилось с трудом. Программист под ником keklick1337 пишет, что ехал из Петербурга в Москву, хотел поработать в поезде, но из-за плохой связи даже не смог открыть почту. Подключиться к Wi-Fi можно было только по паспорту. И хакер задумался: нет ли тут уязвимостей? 20 минут работы — и вуаля. В тексте он подробно описывает свои действия и публикует скриншоты. “Ъ FM” попросил изучить их хакера Дмитрия, попросившего не раскрывать фамилию. Он подтвердил, что это взлом, и объяснил, почему он стал возможен: «Это не уязвимость протокола передачи данных, а элементарные недочеты со стороны админов, которые его настраивали.
Они используют очень простые пароли для своих сервисов.
У них слабо развита инфраструктура, то есть все службы живут на одном сервере. Как таковая безопасность самой сети, если ее правильно настроить, в принципе брешей никаких не имеет. Просто настроена криво».
В итоге автору текста стали доступны только четыре последних цифры паспорта каждого из пассажиров и место, за которым они закреплены. Эти данные нужны, чтобы подключиться к Wi-Fi, поэтому система их и хранила. Но также он смог изучить трафик тех, кто пользовался сетью.
В РЖД пообещали “Ъ FM” разобраться: «РЖД проведет технологическое расследование заявления о взломе системы высокоскоростного поезда "Сапсан". При этом необходимо отметить, что на сервере информационно-развлекательной системы не хранятся персональные данные пассажиров. Для авторизации в системе пользователь должен ввести только последние четыре символа документа, на который куплен билет, а также вагон и номер места. Эти данные не относятся к персональным в соответствии с действующим законодательством РФ и хранятся на сервере не более одного дня».
Но главный эпизод в статье хакера, пожалуй, не о персональных данных. Он утверждает, что через сервис, который он взломал, можно получить доступ к внутренним серверам РЖД. В самой компании говорят, что они никак не связаны. Судя по скриншотам, как говорит наш собеседник — хакер Дмитрий,— это не совсем так. Найдя лазейку, злоумышленник мог бы устроить хаос: «Все зависит от того, как устроена безопасность непосредственно внутри сети РЖД. Если так же плохо, как на "Сапсане", то, начиная от информации о сотрудниках компании, заканчивая информацией о проданных билетах, персональные данные покупателей этих самых билетов, гипотетически могла существовать вероятность, что можно было саботировать работу всей железнодорожной инфраструктуры.
Все железнодорожные стрелки и прочее управляются тоже компьютерами».
В итоге данные, которые якобы получил хакер, нигде не опубликованы. Кто этот человек, сказать сложно. Кеклик — это птица, которая водится в том числе в Крыму. Судя по статье, он так называемый «белый хакер». Ранее уже сотрудничал с РЖД, указал им на уязвимость, они ее исправили, но платить за ценные указания якобы отказались.
“Ъ FM” нашел этого человека в мессенджере. Он пояснил, что не ждет вознаграждения и в этот раз, а на другие вопросы отвечать не захотел.
Взломать что-то от скуки — стандартная практика, рассуждает директор департамента информационной безопасности Национальной инжиниринговой корпорации Лука Сафонов: «Для профессионалов такие вещи далеко не сложные. Естественно, они исследуют и Wi-Fi, и беспроводные сети, которые принадлежат отелям, местам проведения конференций, почему многие и говорят, что на конференциях выключают вообще все телефоны, средства связи и так далее, так как это может быть такое развлечение у людей — проверить, кто и что вокруг».
keklick1337 попросил РЖД исправить уязвимость и пообещал проверить это «через пару месяцев». Сколько продлится расследование компании, что оно покажет и будет ли что-то исправлено — пока неясно. До сих пор не подтвержден даже факт взлома.
Этим летом в интернете были опубликованы персональные данные более 70 тысяч сотрудников РЖД: в частности, их адреса и номера страховых счетов. Среди потерпевших оказался и глава госкомпании Олег Белозеров. РЖД проводит проверку.