Читаем Старший брат следит за тобой. Как защитить себя в цифровом мире полностью

КЕЙС В 2017 г. специалисты компании IOActive обнаружили серьезные уязвимости в гироскутерах Segway. Во-первых, злоумышленник может подключиться к любому гироскутеру данного производителя, введя дефолтный ПИН-код (который действует, даже если была настроена авторизация по коду, введенному пользователем). Во-вторых, загрузив прошивку с вредоносным кодом (в устройстве нет проверки оригинальности и целостности обновлений), злоумышленник сможет управлять гироскутером и, к примеру, угнать его, заставить резко остановиться или отключить механизмы защиты от перегрева. В-третьих, получив доступ к мобильному приложению Segway, злоумышленник может также удаленно управлять гироскутером и выяснить местоположение ближайших устройств. Хотя данные уязвимости были устранены производителем, они могут угрожать владельцам устройств, которые устарели или имеют неактуальные версии прошивки. То же касается транспортных средств других производителей, халатно относящихся к вопросам безопасности[1239].

КЕЙС В 2019 г. были обнаружены уязвимости в Wi-Fi-сети в поезде «Сапсан»: исследователю без особого труда удалось получить доступ к сведениям о пассажирах текущего и прошлого рейсов, включая Ф.И.О., номера мест и паспортные данные. С помощью этих данных злоумышленник может авторизоваться в данной сети от имени любого пассажира для совершения противоправных действий[1240].

Позднее, в 2021 г. были выявлены многочисленные недостатки в сетевой инфраструктуре ОАО «РЖД». ИБ-специалисту удалось попасть в сеть этой компании благодаря отсутствию систем обнаружения вторжений и брандмауэров, многочисленным сетевым устройствам, не имеющим должной защиты и использующим дефолтные логины/пароли, а также другим недостаткам в сфере ИБ, в том числе и низкой квалификации персонала. На момент написания данной книги уязвимости, позволявшие получить доступ к сети «РЖД», были закрыты, а информации о решении проблем внутри сетевой инфраструктуры нет[1241].