Спецпроекты

Безопасность Стратегия безопасности

Неизвестные эксперты нашли множество дыр на серверах «Почты России»

В ЖЖ опубликована информация об уязвимостях в ИТ-системах «Почты России», якобы позволяющая злоумышленникам проводить банковские операции и диверсии государственного уровня.

Неизвестная до сих пор «команда Sokol-Security» заявила об обнаружении «многочисленных дыр в системе безопасности серверов Почты России».

Это заявление группа сделала в своем блоге в «Живом журнале», где опубликовала скриншот директории с корневым сертификатом Windows-сервера. Согласно записи, скриншот является доказательством легкости доступа потенциального злоумышленника к служебным директориям серверов «Почты России».

В той же записи Sokol-Security опубликовала скриншоты директорий FTP-сервера с явно различимыми папками региональных Управлений федеральной почтовой службы (УФПС) и файлами внутренних документов, а также примеры использования SQL-инъекций для управления сервером.

Как сообщают Sokol-Security, на веб-сайте «Почты России» russianpost.ru ими было найдено 29 уязвимостей.

Публикаторы этих данных считают, что, располагая корневым сертификатом сервера «Почты России», злоумышленники смогут подписывать транзакции (на выдачу наличных в отделениях), проводить банковские операции и даже совершать «диверсии государственного уровня» и организовать «утечку нескольких десятков миллионов паспортных данных граждан РФ».

Экспертная команда Sokol-Security, по-видимому, имеет недавнюю историю: доменное имя ее сайта зарегистрировано 13 августа 2014 г. В числе своих партнеров она называет сервис «Мобильный пеленгатор», занятый определением местонахождения мобильного телефона на карте.

Помимо бренда Sokol-Security на сайте фигурирует название «Современные технологии безопасности». Исходя из опубликованной информации, команда предоставляет услуги по аудиту веб-сайтов на предмет присутствия вредоносного кода и ссылок.

Сотрудники двух ИБ-компаний — Zecurion и Digital Security — дали схожие ответы на вопрос о достоверности сообщения об уязвимости, которое распространила Sokol-Security. Такие уязвимости характерны для крупных госучреждений, считают в Zecurion. Сайты государственных компаний часто содержат массу различных простейших уязвимостей и живут только, благодаря тому, что не интересуют даже начинающих взломщиков, добавляют в Digital Security.

Представительница Digital Security Юлия Кольдичева заявила CNews, что поскольку информация об уязвимости была опубликована до ее закрытия, вероятнее всего, «речь идет о вопиющем случае банального шантажа ФГУП «Почта России», и что «проверкой этой «маркетинговой инициативы» группы начинающих ИБ-бизнесменов, скорее всего, займутся компетентные органы».

Представители Sokol-Security в комментариях в своем ЖЖ объяснили публикацию информации об уязвимостях невозможностью «достучаться до лиц, которые принимают решения». Они пообещали «регулярно писать о компаниях, которые не заботятся о защите данных своих клиентов», чтобы привлечь внимание к проблеме.

К моменту публикации материала анонимный представитель Sokol-Security в ответ на письмо CNews сообщил, что «все ответственные за данную область сотрудники оповещены».

Пресс-служба «Почты России», комментируя публикацию Sokol-Security, заявила CNews, что «никакой утечки персональных данных из компьютерных систем ФГУП «Почты России» нет».

Распространенную Sokol-Security информацию об уязвимости в ИТ-системах предприятия она назвала «технически недостоверной». По заявлению представителей компании, «персональные данные и/или конфиденциальная информация отделены от общедоступных информационных систем и аттестованы Федеральной службой по техническому и экспортному контролю (ФСТЭК России)».

Сообщение в ЖЖ Sokol-Security «о якобы обнаруженных проблемах безопасности на серверах Почты России» компания расценила как попытку давления с целью навязать ей свои услуги. К расследованию факта публикации «Почта России» намерена привлечь правоохранительные органы, сообщила ее пресс-служба.

Владислав Мещеряков

Короткая ссылка