loader image

Данные пассажиров “Сапсана” оказались в открытом доступе



С 2013 года в поездах “Сапсан” и “Аллегро” вы можете воспользоваться WiFi для доступа в интернет во время поездки. Для того, чтобы попасть в интернет вам необходимо ввести паспортные данные, номер вагона и номер вашего места. Как оказалось, данные пассажиров хранятся почти в открытом доступе и получить доступ к ним может любой человек, который находится в поезде.

Для доступа в интернет вам необходимо перейти на страницу sapsan.center, и именно она и зацепила взор пользователя Habr с ником keklick1337, он решил проверить какие порты слушает устройство с этим доменом. Было обнаружено, что немало сервисов открыты для доступа любому пользователю, так перейдя по адресу sapsan.center:9001, вы наткнетесь на cAdvisor – систему мониторинга Docker контейнеров и сможете оценить работу системных администраторов РЖД (соглашусь с автором оригинального поста, запускать большие .NET приложения под Linux не самая лучшая затея).

Доступ к root пользователю, конечно же, открыт. И все, что вам необходимо для входа по ssh это пароль. И вот тут уже ваши возможности безграничны можете получить доступ к любому запущенному сервису. Хотите получить всю базу данных пассажиров, MySQL позволит вам проверить паспортные данные вашего соседа без каких-либо вопросов. Хотите сниффить трафик, вас ничто не остановит.

Пресс-служба РЖД не комментирует ситуацию.

Если вы обнаружили ошибку, выделите этот фрагмент текста и нажмите Ctrl+Enter.



Мы в Telegramt.me/applespbevent
Канал Я.Дзенzen.yandex.ru/applespbevent
Видео на YouTube: Apple Event
Секретный чат: Telegram

Источник:

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: