Пользователь «Хабра» сообщил о том, что во время поездки из Санкт-Петербурга в Москву взломал Wi-Fi в поезде и увидел информацию обо всех пассажирах, пишет портал ferra.ru.
По словам пользователя, ехать в поезде ему было скучно, а смартфон мог подключиться лишь к 2G-сетям. Тогда его внимание привлек Wi-Fi «Сапсана». Интересно, что мужчина как раз ехал с конференции по информационной безопасности.
Чтобы авторизоваться в сети нужно ввести последние четыре цифры паспорта, а также номера места и вагона. В связи с этим мужчина предположил, что сервер поезда может хранить данные обо всех пассажирах. Он проверил эту догадку: просканировал сеть «Сапсана», убедился в наличии множества сервисов с открытыми портами, нашёл сервер с ПО «Docker», изучил его и через некоторое время попал в файловую систему. В ней пассажир обнаружил данные обо всех пассажирах текущего и прошлых рейсов. Мужчину удивил тот факт, что что РЖД не стала покупать сертификат шифрования для HTTPS, а использует бесплатный Let’s Encrypt.
Читайте также: