Специалист по IT из Краснодарского края, обвиняемый в несанкционированном проникновении на серверы РЖД, рассказал, что сделал это из любопытства и для саморазвития.
На видео, опубликованном СК в Whats App, молодой человек сообщил, что к нему по делам приехал брат и из его паспорта выпала бумажка с логином и паролем.
"Я переписал. Это был, оказывается, корпоративный сайт РЖД, и с целью любопытства, интереса, как организована эта структура и как пишутся сайты РЖД, хотел посмотреть. Не преследовал какую-то корыстную цель", - говорит обвиняемый на видео.
Он объяснил, что целью его действий было "самообучение и развитие навыков проектирования баз данных". Обвиняемый также заявил, что жалеет о своих действиях и после того, как история получила резонанс, предпринял меры, чтобы минимизировать ущерб.
В августе директор по информационным технологиям Евгений Чаркин заявлял журналистам, что РЖД передали в правоохранительные органы материалы по ситуации с утечкой персональных данных сотрудников и обещают добраться до сути, в СК сообщили тогда, что массовая утечка личных данных сотрудников РЖД произошла из-за несанкционированного проникновения на серверы компании.
В пятницу СК сообщил, что жителю Краснодарского края 1993 года рождения предъявлено обвинение в связи с тем, что в июне он получил доступ к информации, находящейся на внутренних ресурсах организации, скопировал несколько сотен тысяч фотографий и сведения о руководстве и других работниках РЖД, а впоследствии эти данные были опубликованы на ресурсе, хостинг которого расположен в Германии.
Комментарии
Исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок он искупит свою вину.
А его братца что ждёт? А дебила - руководителя IT безопасности РЖД и не менее профессионального директора по информационным технологиям - что?
Простите, по-другому и не скажешь. Это - чудовищный прокол в организации IT безопасности РЖД.
Наказать стрелочника и ничего не изменить по сути - плохая традиция.
Да собственно эти данные никто в РЖД не скрывает. Запрещено только делиться ими с посторонними, теми у кого нет к ним доступа. Брата накажут, а этому "хакеру" предъявлено проникновение в сеть и распространение сведений, которые его не касаются. Вы попробуйте то же самое сделать с данными домоуправления....
Не знаю, как там в РЖД это заведено, но в мире считается, что залезть во внутреннию сеть организации федерального масштаба "по паролю на бумажке" и скопировать личные данные сотрудников - это жесточайший треш и полная профессиональная непригодность IT руководства.
Которое надо все снимать нахрен и уволнять с "волчьим билетом". А им, поди, ещё и премию выпишут за "раскрытие"
В этой истории прекрасно все!
Вы попробуйте, спросите у своих знакомых родственников пароли к gmail (акк смартфона), одноклассникам и прочим ВК - Порнхабам - 95% или его забыли или записали на бумажке.
По корпоративным сетям - смена пароля каждые 3 месяца, пароли повторять нельзя - пишут на секретной бумажке. Бумажку хранят в секретном отделе бумажника и теряют дома, на глазах у ̶е̶б̶л̶а̶.̶.̶.̶а̶ брата. Брат- хакер, горе в семье.
UPD. Zukkertort! Господи, как у Вас всё красиво! Почему Вы не в РЖД!?
Именно для этого придумали двухфакторную аутентификацию. Причем, знаете ли, ещё лет 20 назад. Например - пароль + СМС, или чип + СМС. А для Смарт-карт в ноутбуках корпоративного типа даже специальный слот есть, прикиньте!
Спасибо, не надо. Мне и в норвежском IT неплохо.
Поэтому в Вашей Норвегии нечего и не красть не нужно. Там всё продвинутые.
Авторизация двухфакторка с привязкой к макадресу и к SIMкорпорашке.
Мы проще. Поэтому - РЖД, медведи, Навальный, водка, будёновка и ... винда у нас другая. Без этих, бл..., плиток.
Ну да, 7ка поди, или, что даже круче - ХРя
LTSC
На 1809 переползаете или так и сидите на
1716той?W10Build 17763.864 - 17 763, а у вас ещё 1 803? Вы сильно отстали.
1809, я исправил. :) Она же 17763.
и как в норвежском ит помогает аутентификация через лдап?
Это случилось потому, что добрых дедушек с суровыми лицами из первых отделов заменили вот такими одаренными
норвежскимм селедкамиайтишниками с предыдущим билдом в голове.Ещё ни один краснодарсаий интеллектуал не смог взломать второй сверху выдвижной ящик, в сейфе Владлена Славпермаевича, где лежит початый армянский. А папки с личными делами? Не, они стопкой на подоконнике лежать. Но на них никто не позарится, потому что все лезут в сейы за армянским.
Да все там есть. История про "хакира" для обывателя, слабо понимающего в современных ис. Кстати, помнится, лет 10 назад Гугл выдал по определенному запросу индексированный файл с паролями с какого-то внутреннего портала польской полиции(?). Пароли лежали в открытом виде. Около 10% паролей были вида 12345. Сисюрити чо.
Объясните, как с вашей точки зрения, внутренние данные о сотрудниках РЖД попали в открытий контур?
Просто интересна ваша версия.
Не знаю подробностей и что за личные данные, т. к. данные могут быть личными, но не конфиденциальными (к примеру). Если они все же были конфиденциальными, то скорее всего халатность. Но, уверен, не в таком виде, как это описано в газетном варианте истории. Я встречал варианты, когда из закрытого снаружи периметра делали реверсный туннель (вроде как для себя, на всякий случай), или втыкали в сервер закрытого периметра модем для получения доступа к открытым сетям, мало ли еще каких трудновыявляемых глупостей может наделать имеющий доступ сотрудник без понимания опасности компрометации системы.
Что значит "халатность"?
Про ржд точно не скажу, но лет 10 назад имел опыт внедрения в другой окологосударственной крупной конторе систем сетевой безопасности. Там была аутентификация 802.1х по смарт картам. Т. е. в нужный вилан ты попадаешь только если твой терминал подключен к нужной розетке и ты успешно аутентифицируешься смарт-картой + пином. Думаю в ржд что-то подобное. Просто и надежно. А эти истории про то, как "ввёл порол на сайти и обана" для возбуждения обывателя, имхо.
По обычному паролю на РЖД можно увидеть только фото и подписи к ним крупного руководства. А кадровские данные это из области фантастики. Разве, что брат хакера крупный руководитель, но и то его допуск ограничен.
Вы напрасно так возмущаетесь, вероятно это были фото с ФИО и занимаемой должностью руководителей на разрешенных внутренних сайтах. На специальные залезть не удастся.
А за что же тогда "хакера" судят?
За то, что он залез туда куда не имел права. И поделился вытащенным с другими. Но беспокойтесь, его не расстреляют. На РЖД отслеживаются все сторонние подключения.
Вы зачем это пишите? РЖД будет внедрять, тарифы на билеты поднимут
Интересно, что с братцем будет.
Жесть :-)
Яндекс подсуетился
Спасибо, давно так не смеялся 😀
и из его паспорта выпала бумажка с логином и паролем
попался отвечай... а брата за халатность...
з.ы. а на хабре он сломал... где правда?
И это все для саморазвития?
Ну, да. Совершенствовал навык копирования. Потом навык продавана. Не солгал.
Ну дык. А баблосы в кошелечке способствуют скорейшему развитию ...
Чувак к вершине шел? Так взяли и обломали
начинаниестартап.Ну, теперь он знает, какое за это наказание.
Брат однозначно спасибо скажет, теперь его даже сторожем не возьмут в серьезную контору.
Теперь ему будет любопытно ознакомиться с бытом специальных учреждений.
Перспективный чат детектед! Сим повелеваю - внести запись в реестр самых обсуждаемых за последние 4 часа.
Если про брата правда, то это просто лютый пипец. Подставить собственного брательника, это ни в какие ворота. Братан вправе ему зубы и ребра пересчитать за такие дела. Ну и звиздеж о саморазвитии тоже не выдерживает критики. Ну слазил бы, поглазел. Так ведь слил данные и толкнул. наглядное свидетельство, что можно быть айтишником и конченым дауном одновременно.
Так там пункты статей вроде разные. С умыслом на попортить, украсть или просто проникнуть. Вот и рассказывает.
Так это еще, что. Вот скажите какой нормальный человек будет стремиться быть "дроппером". А ведь полно таких. Романтика, фильм хакеры и мистер робот.
Вбиваем в поисковую строку гугла что то вроде "not for public release" filetype:pdf. Смотрим, думаем.
Да ладно, распиздяи обычные..
Я вот работал в компании, там кроме фоток с корпоратива и не было ничего интересного..
А когда впервые поставили внутренний сайт, я его поковырял на предмет устойчивости.. через 10 мин я стал админом.. дыр полно было.. Показал начальству и получил ответ, не ковыряй больше, все равно ничего там нет...
так что сказали не лазь, вот и мораль вся
Для ржд это нормально.