В рамках проекта по исследованию интернета на предмет доступных устройств специалисты в области безопасности Себастиан Ниф (Sebastian Neef) и Тим Филипп Шеферс (Tim Philipp Schäfers) обнаружили систему управления канатной дорогой горнолыжного курорта Patscherkofel в Инсбруке (Австрия), доступ к которой мог получить кто угодно.
По сути, система не должна быть видима в интернете, но это оказалось не единственной проблемой. Как рассказали Ниф и Шеферс в интервью изданию Golem.de, система Doppelmayr Connect никак не была защищена: все команды отправлялись в незашифрованном виде, отсутствовал механизм авторизации, а web-приложение оказалось уязвимым к XSS-атакам. По их словам, на момент проведения сканирования канатная дорога функционировала.
В то же время компания Doppelmayr - разработчик Doppelmayr Connect - не рассматривает проблему как критическую. По словам ее представителей, система защищена от несанкционированного доступа и безопасность пассажиров подъемников никогда не находилась под угрозой. Однако Ниф не согласен с данной точкой зрения.
«Мы могли видеть панель с элементами управления направлением движения, контроля безопасного расстояния между гондолами и экстренного торможения», - утверждает он.
После того, как специалисты проинформировали австрийский координационный центр CERT о своих находках, оператор канатной дороги IKB приостановил ее работу до тех пор, пока не будут обеспечены соответствующие меры безопасности.
Doppelmayr Garaventa Group - австрийско-швейцарская компания, специализирующаяся на производстве кресельные подъемников, канатных дорог, гондол, поверхностных буксировочных устройств для горных лыж и аттракционов, а также двигателей для городского транспорта и систем транспортировки материалов.
Источник: securitylab.ru
