Пассажир заявил, что взломал Wi-Fi «Сапсана» за 20 минут

Пользователь под ником Keklick1337 рассказал, что заскучал по пути из Санкт-Петербурга в Москву из-за плохого интернета и уже хотел читать книгу, но присмотрелся к беспроводной Сети в «Сапсане».

«И тут вспомнил, что вызвало интерес у меня, а это авторизация в Wi-Fi по цифрам паспорта и номеру места с вагоном. Значит, „Сапсан“ у себя локально хранит данные о всех пассажирах, кто на каком месте. А что если проверить, насколько трудно к ней получить доступ», — написал Keklick1337.

Пользователь подробно описал все, что он делал с сетью «Сапсана». Оказалось, что в поезде используется один сервер для всего и на нем установлен Docker, который позволяет управлять приложениями с поддержкой контейнеризации. Так хакер попал в файловую систему.

Пользователь действительно нашел информацию обо всех пассажирах текущего и прошлых рейсов. Он с удивлением заметил, что в РЖД не покупали сертификат шифрования для HTTPS, а используют бесплатный Let’s Encrypt. Keklick1337 также «похвалил» админа, отметив, что везде установлены одинаковые пароли, а данные хранятся в текстовых документах.

Продемонстрировав свои успехи с помощью скриншотов, пользователь обратился к РЖД с просьбой улучшить безопасность, на что он отвел компании пару месяцев.

Официального комментария РЖД на момент публикации заметки не появилось.