ПО из 2003-го, треть залов без камер и 10 лет пренебрежения рисками лишь усугубили ситуацию.
В начале октября 2025 года в парижском Лувре произошло дерзкое ограбление сокровищ французской короны, которое вскрыло масштабные просчёты в охране и киберсетевой защите музея. Всё выглядело как идеально спланированная операция: четыре злоумышленника под видом рабочих проникли в галерею Апполона и за считанные минуты вынесли драгоценности на сумму около €88 миллионов.
Ключевой уязвимостью, как выяснилось лишь сейчас, стал абсурдный пароль видеонаблюдения «LOUVRE», задокументированный в отчёте национального агентства штатных информационных систем. Он фактически открывал доступ к серверам, управлявшим системами охраны. А позже аудит показал, что те же системы работали на программном обеспечении Windows Server 2003, которое уже много лет не поддерживается производителем.
Ещё одним из серьёзных факторов стало отсутствие видеонаблюдения на критически важных участках музея. По данным следователей, более трети залов в крыле, откуда был совершён вынос драгоценностей, не были охвачены камерами. Доступ на балкон, использованный злоумышленниками, был практически не контролируемым, а лестнично-ремонтная техника позволила быстро попасть внутрь помещения и вырваться наружу. Угол проникновения и момент выноса были выбраны с учётом слабости реагирования охраны.
Также серьёзная проблема была связана с физической безопасностью: охрану серьёзно ослабили как внутренним сокращением персонала, так и устаревшими датчиками движения и внешними тревожными системами, которые не были выстроены в систему превентивного реагирования. В отчётах полиции подчёркивалось, что оборудование видеонаблюдения и охраны много лет не модернизировалось, хотя рекомендации по его обновлению давались ещё в 2014-2015 годах.
Кроме того, система распределения ресурсов безопасности не была адекватно выстроена. К примеру, заявляется, что разрешение на установка внешних камер истекло ещё до ограбления, и ряд устройств контролировали устаревшие аналоговые камеры с низким разрешением или вовсе не охватывали наружную фасадную зону.
Стоит отметить также небрежное отношение к управлению сетевой безопасностью: эксперты смогли заполучить доступ к контрольным серверам за счёт элементарных или дефолтных паролей, после чего могли изменять права доступа к пропускам и управлять охранными зонами.
Как показала эта история, технологический прогресс и защищённая инфраструктура не были приоритетом у руководства музея, хотя они могли значительно снизить риск. Именно сочетание устаревшего оборудования, абсурдно слабых паролей, плохого видеонаблюдения, сокращения охраны и отсутствия должной сетевой сегментации создало «идеальные условия» для успешной операции. Заказчики ограбления, как считают следователи, действовали с полной уверенностью, что система не сработает, а реакция полиции будет запоздалой.
Итогом стал не просто громкий инцидент — он стал тревожным сигналом для музеев и учреждений культуры по всему миру: внутренние процессы, физические и цифровые меры безопасности должны восприниматься как единая система, а не набор разрозненных компонентов.
Теперь европейские учреждения вынуждены пересматривать устаревшие модели защиты и методологии реагирования. В случае Лувра провал касался всех уровней защиты: пароли, камеры, доступ, реагирование. После инцидента музей пообещал ускорить реализацию программы модернизации, но сколько ещё объектов остаются без внимания — остаётся открытым вопросом.
Комментарии
это общий косяк, где нет нормальной службы безопасности...
помниться в одной "конторе" задали пароль на 10 символов - жалобы пошли - сделали минимум 15 символов и чтоб "сложный" - жалоб больше не было
Вы покажете мне «нормальной службы безопасности», в нормативках которой внятно описана главная фича ада? ☺
Нормативка практически всегда выполняет другую задачу - защита от угрозы санкций при проверке со стороны регулятора.
Приходит РКН в банк с грозным окриком - "Механик, ПДн!". Банк в ответ - "СТО!" и херак в сторону проверяющих 4 коробки бумаг с какими то подписЯми и штампАми.
Девачки-проверялки кое-как поймали коробки и давай делать вид, что понимают что там. А там куча СКЗёв нарисовано. И всем похер, что они стоят как мебель. Работают же, даже события регистрируют. Внутри себя
Можно подумать, действующие камеры помогли бы остановить воров. Всегда ржу с этих продавцов видеонаблюдения как панацеи.
Другой вопрос, что при нормальной охране всё делается более-менее качественно. То есть распи..во в области инфобеза и технических средств охраны - это частные следствия от общего распи..ва.
Охрану обеспечивают сейфы, двери, замки. А охранная техника должна начать верещать, когда кто-то пытается эти средства охраны преодолеть.
Ну и до винды докопаться - это особая хохма. Аудиторы х..вы.
У нас на работе в районе смены веков пропал ноут!
Решили поставить камеры наблюдения в коридор, чтобы было видно кто и куда перетаскивает.
Наиболее радостный был начальник охраны. "Теперь я буду видеть кто и где Бухает!" ( не для принять участие, а для сдать.. )
ну видеозапись оставили бы. но остановить - нет конечно, тем более что даже если без маски то при херовом разрешении фиг докажешь кто там шарится в сейфе
какой же дурак в 21 веке пойдёт на дело без маски??
Ну увидишь ты в итоге, как твоих джоконд тащат какие-то тела.. Легче будет??
У нас помогли, поставили вебку на кухню. Выяснилось, что еду сотрудников ночью из холодильника тырила охрана))
"Шо охраняешь - то имеешь!"©
Видеонаблюдение ценно с т.з. подстав. Как правило, кто-то "свой" или бывший свой замешан, а в изощрённых случаях они ещё подставляют невинного.
Ну и обманки надо ставить в сочетании с действительно скрытыми камерами - чтобы рожа негодяя крупным планом.
Охрану обеспечивают люди.
В армии говорили, что самый надёжный замок это не бронедверь с хитрым "невскрываемым" замком, а оттиск личной печати на пластилине, через который протянута верёвочка. И надёжнее сигнализации когда дверь припёрта столом, на котором комендант здания "общает" уборщицу.
А Лувр... Ну что "Лувр". Феерично, да.
пароли вобще причта во языцах.... они нужны и они бесполезны и не безопасны и не помогают когда их сложность становится адекватной.....
правильнее всего простой alpha-numeric, но длинный пароль 10+ символов + OTP который даст необходимую Энтропию
Из 15 символов последние 14 были 11111111111111
Пример (прошлогодний) пароля к нефинансовому (т.е., не самому ответственному) ресурсу по работе, который меняем несколько раз в год - fE7BnqW7mX4qwva6
Ничего, нормально... Работаем. Может нам французам курсы открыть?
Самое главное достоинство механизма знаете?
и ни одной бумажки с паролем нигде ни у кого не висит? и в текстовом файле "Пароли" не записан?
KeePass на флэшке. Там мастер пароль проще и не кракозябровский. Зато нигде (надеюсь) не пишется.Остальные пароли все в нем, никто их не запоминает и в браузерах не сохраняет. Просто, как только хотя бы один рабочий пароль меняется, сохраняется база под текущей дате. Пишешь себе на флэшку эту базу и пользуешься.
И да - я понимаю, что при желании и тут можно потыкать носом в уязвимости. Но это лучше, чем простые пароли и сохранения в браузерах. И еще раз да, как говорил один знакомый в 90-е - чем сложнее пароль, тем труднее его вспомнить, когда в опу вставили паяльник. Потому разумеется идеальных решений не бывает, согласен.
а, ну с паролехранилкой любой сможет, сам так живу. это нещитово
В итоге пароль писали на бумажке и приклеивали к монитору. )
Идиотское решение. Чем жестче и необоснованней требования к паролю, тем ... хуже обстоят дела с безопасностью. Пользователи начинают ставить галочки везде, где можно на запоминание пароля (если не заблокировано), пишут его на бумажках. а бумажки кладут под клавиатуру, а то и вовсе вешают на монитор. Которые можно копипастить хранят в файлах.
Есть же расчеты в Модели угроз и там по парольной защите чаще всего достаточно 8-9 символов. А если сделать 20 символов, неповторяющиеся, с требованиями к порядку и составу символов, да еще и меняющиеся через день, то пользователю и деваться некуда.
Проблема решается просто и радикально.
1. Берётся аффтырь требований;
2. Обнуляются сочинённые им под себя (для серверов) исключения.
…
Profit!
ЗЫ: Прекраснее другое: когда те же дятлы неспособны построить алгоритм сопровождения инфраструктуры без фактически компрометации паролей пользователей. Зато с технологическими ограничениями на частоту их изменения.
Лувр не может себе позволить аппартные ключи? 40$ в розницу yubikey
Интересно сколько билет в Лувр стоит?
Это на самом деле так, более длинный пароль запомнить гораздо проще.
Как так?
Более длинный пароль подразумевает не просто какое-то слово, цифры, а фразу, которая откликается у конкретного человека. Например, Ghjktnfhbbdct[cnhfycjtlbyzqntcm!
Ну не 12345.....
У меня пароль в АШ всего 1 символ)))
А всё потому, что ЗАДОЛБАЛО восстанавливать пароль. Происходит не 1 раз в месяц!
Алло, админы, в чём дело?
Ну я вот по 2 раза в день восстанавливаю - на рабочем компе и на домашнем. Пароль ввожу один и тот же, но при смене компа он перестает узнаваться.
Ставите РКН. Выбираете страну подключения из заклятых. США, Британия, ЕС...
Один раз вводите пароль и запоминаете в браузере (оно канешна опасно, но вроде деньги через этот сайт не украсть).
"В нашей инструкции перед запуском фактически говорилось о том, что мы должны проинформировать бригаду, дважды проверить закрытие люка подземного бункера и убедиться, что никакие другие цифры кроме нулей не были случайно набраны на операционной панели"
Секретный пароль от ядерного чемоданчика в США был 00000000 (восемь нулей). Это было сделано для того чтобы американский военный в суматохе его не забыл.
А сейф на Манхэттенском проекте вообще пароль с завода не изменил.
- Жан! У нас дыра в безопасности!
- Ну хоть что то у нас в безопасности.
Правильный трёхбуквенный пароль хрен оне подберут…
На кирилице?
Ну…
«Ѣ» — это в принципе да, кириллица…
Про Linux сервер они даже не слышали.
Не только они и не только сервер… ☹
Афера Томаса Крауна. Начало.
Так, в Лувре никто ничего и не ломал. Приехали, залезли через окно, забрали что требовалось, обратно вылезли. Так обчное в винных магазинах кражи совершают.
Которые поддерживаются, взламываются еще проще. Кто вспомнит как были дыры в 2003 году? А про свежие все знают.
А где сейчас хранится, наше "Скифское золото"? Мне интересно, чисто из туристического любопытства...
Голландцы передали его 404, то есть, везде может быть, теоретически.
Перспективный чат детектед! Сим повелеваю - внести запись в реестр самых обсуждаемых за последние 4 часа.
У нас конфедициальная служебная информация хранится в сети в архиве под паролем из 3 букв....
Ну поставили бы пароль "password" - бандиты бы не угадали ни за что.
Если «passwørd», то может и не угодали бы…
Особенно, если бы ра набили русскими буквами
Что вы придираетесь, у них экспонаты - антиквариат, чем старее, тем лучше. Вот и камеры такие же...
Настоящие антикварные камеры должны снимать на киноплёнку!
Расходовать антикварную плёнку? Наверное они на это не пойдут, против природы будет))
Пароль, который угадывается сразу конечно негоден. Но призывы в 2025 году про установку сложного и длинного пароля однозначно указывают на полную не компетентность тех, кто это требует и поддерживает.
Уже лет как 20-30, а может и больше, стало догмой, что для защиты от подбора пароля нужно вводить нелинейные задержки на последующий ввод. Условно ошибся 10 раз, и уже интервал между новыми попытками от 1 минуты и более, а если ошибся 100 раз, то не чаще, чем раз в сутки. Да еще и есть признаки распознавания близости у угадыванию.
Соответственно сложный пароль стал требоваться намного реже, в основном только к запарольенным файлам, где можно применять методы перебора.
Там самое главное грабители легко стекло сломали . последняя степень защиты. а вы всё пароль и пароли)))
Страницы