Дыру нашли в одной из распространенных в использовании системах, благодаря которой осуществляется управление функционированием шлагбаумов. Это чревато утечкой пользовательских сведений и получение киберпреступниками контроля над техникой. Ошибка ликвидирована оператором.

Б. Гендаргеноевский, один из основателей Postuf, организации, работающей в области информационной безопасности, рассказал, что в системе, отвечающей за управление работы шлагбаумов, «АМ Видео» выявили небезопасную ошибку.

Большинство шлагбаумов, до 85 процентов, которые находятся под управлением данной системы, сосредоточены в столице, десять процентов – в Московской обл., и оставшиеся 5 процентов – в иных российских регионах. Гендаргеноевский указал, что имеется в виду третья часть от действующих в столице шлагбаумов – свыше 1 500.

Он рассказал, что ошибка заключается в несовершенстве системы авторизации в приложении. Она дает возможность получать сведения обо всех системных объектах, предоставляющих возможность управления, при незначительном доступе с тестового аккаунта. Таким образом, злоумышленники получили нужные сведения способом брутфорса, используя имеющуюся дыру.

Гендаргеноевский считает, что появится она могла в результате того, что разработкой фирма старалась заниматься самостоятельно, а не доверилась аутсорсингу. Вероятно, в процессе создатели не прошли все необходимые этапы, например, справились с написанием кода, а все остальное, в частности процесс тестирования и обеспечение безопасности, до конца не довели.

Специалист указал, что его компания занимается аналитической работой для информационного сбора, осуществляемого из источников открытого типа, и иногда соприкасается с системами, у которых безопасность на низком уровне. Данные специалисты позиционируются, как «белые хакеры». Соответственно, цель их действий – предупреждение людей о том, что существует определенная опасность.

Специалисты «АМ Видео» быстро справились с уязвимостью после того, как РБК попросило прокомментировать ситуацию. То, что дыра была устранена, подтвердили и в Postuf. А. Уткин, учредитель компании, поблагодарил обнаруживших ошибку специалистов и отметил, что она уже устранена. Также, он сказал, что ни одна организация не может работать без ошибок.

Причины возникновения ошибки и ее последствия

Е. Килюшева, начальник аналитической группы кибербезопасности Positive Technologies, считает, что факт обнаружения ошибки не примечателен. Согласно проведенного оценивания, серьезные уязвимости есть приблизительно в каждом 2-м приложении. Если у злоумышленника окажется к системе доступ, то он может не только заполучить личные пользовательские данные, но и возможность управлять устройствами: изменить работу шлагбаумов и прочее.

П. Супрунюк, замначальника аудита компании Group-IB, считает, что, скорее всего, дело в уязвимости плохой проверки со стороны обслуживающего данное приложение сервера. Он говорит, что ошибка достаточно распространенная и имеет связь с ошибками, имеющимися в дизайне. Также, с его слов следует, что благодаря ей нередко создаются информационные базы, содержащие слитые сведения. Если у злоумышленника оказались внутренние системные идентификаторы и он в курсе процедуры отправки запросов в демо-кабинете, то ему не составит труда незаконно ознакомиться с конфиденциальными сведениями и противозаконно открыть шлагбаум. В итоге, как и в ситуации с каждым взломом, произойдет информационная утечка и возникнут проблемы с доступом, точнее с его правами.

Н. Агринский, гендиректор компании Infosecurity a Softline Company, указывает, что, вероятно, имеется в виду дыра IDOR, появляющаяся в случае ошибок разобщения прав разных людей. Авторизовавшийся под демо-аккаунтом киберпреступник, заходит в ЛК иных людей. Уязвимости этого плана очень часто встречаются. Их находили на сайтах медучреждений, онлайн-магазинов, фирм, которые работают в сфере логистики. Агринский считает, что в плане авторизации нужно провести доработку.  

При наличии доступа к таким приложениям преступник может не только управлять на удалении аппаратурой, но и в код самого приложения внедрить вредонос. Как только человек зайдет в приложение, он подгрузит эксплойт, предоставляющий киберпреступнику абсолютный контроль над техникой. Об этом рассказал П. Коростелев из «Кода безопасности». И данная уязвимость дает возможность в будущем проникать в инфраструктуру приложения шлагбаумов.

Е. Рудая из лаборатории «Инфосистемы Джет» предупреждает, что злоумышленники могут сделать попытки в получении от описанных действий прибыли. Ключевая опасность заключается в возможности сбора личных данных жильцов киберпреступником. Уязвимость дает возможность получить имя человека, его телефонный номер, адрес проживания, марку автомобиля. Всю эту информацию могут применить на практике мошенники, например, чтобы шантажировать свою жертву. Также, эксперт отмечает, что управление оборудованием мошенник может продать посторонним или же такой возможностью могут воспользоваться хакеры.