Система управления канатной дорогой горнолыжного курорта Patscherkofel находилась в открытом доступе в Сети
В рамках проекта по исследованию интернета на предмет доступных устройств специалисты в области безопасности Себастиан Ниф (Sebastian Neef) и Тим Филипп Шеферс (Tim Philipp Schäfers) обнаружили систему управления канатной дорогой горнолыжного курорта Patscherkofel в Инсбруке (Австрия), доступ к которой мог получить кто угодно.
По сути, система не должна быть видима в интернете, но это оказалось не единственной проблемой. Как рассказали Ниф и Шеферс в интервью изданию Golem.de, система Doppelmayr Connect никак не была защищена: все команды отправлялись в незашифрованном виде, отсутствовал механизм авторизации, а web-приложение оказалось уязвимым к XSS-атакам. По их словам, на момент проведения сканирования канатная дорога функционировала.
В то же время компания Doppelmayr - разработчик Doppelmayr Connect - не рассматривает проблему как критическую. По словам ее представителей, система защищена от несанкционированного доступа и безопасность пассажиров подъемников никогда не находилась под угрозой. Однако Ниф не согласен с данной точкой зрения.
«Мы могли видеть панель с элементами управления направлением движения, контроля безопасного расстояния между гондолами и экстренного торможения», - утверждает он.
После того, как специалисты проинформировали австрийский координационный центр CERT о своих находках, оператор канатной дороги IKB приостановил ее работу до тех пор, пока не будут обеспечены соответствующие меры безопасности.
Doppelmayr Garaventa Group - австрийско-швейцарская компания, специализирующаяся на производстве кресельные подъемников, канатных дорог, гондол, поверхностных буксировочных устройств для горных лыж и аттракционов, а также двигателей для городского транспорта и систем транспортировки материалов.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш