О том, как за 20 минут не только зайти на общий сервер «Сапсанов» и найти там данные пассажиров, хакер с ником keklick1337 рассказал на тематическом сайте «Хабр». Мужчина сообщил, что возвращался из Петербурга в Москву с конференции, на которой он не нашел для себя интересной по сложности задачи. Такая нашлась по пути домой.
- Сидел, читал книгу, и понял, что я так ничего интересного не отломал, сяду-ка я за свои задачи, которые остались невыполненными, - пишет keklick1337. Однако заняться работой у хакера не получилось – скорости мобильных 2G-сетей не хватало. И тогда он решил опробовать беспроводной интернет в самом поезде. Выяснил, что для подключения нужны данные о месте в вагоне и последние четыре цифры номера паспорта. Понял, что где-то на сервере могут храниться данные обо всех пассажирах.
Всего за 20 минут он не только взломал wi-fi, но и получил доступ к общему серверу «Сапсанов» и хранящейся на ней информации. В том числе, нашел личные данные пассажиров своего и предыдущих рейсов.
- С оперативной памятью у них на сервере всё плохо, может быть, поэтому и лагает? – размышлял в своем «отчете» о взломе хакер. Чтобы пользователи не обвинили в обмане, он сделал несколько скриншотов.
Попутно программист выяснил, что везде, куда он заходил, был один и тот же пароль, а данные защищены бесплатным сертификатом шифрования. Он посоветовал РЖД устранить недочеты. И сообщил, что через пару месяцев проверит, насколько изменилась ситуация. Однако можно предположить, что другие пользователи портала могут проверить это и раньше.