Специалисты в области информационной безопасности (ИБ) из компании Safety Detective обнаружили в Сети тысячи уязвимых холодильных систем, владельцы которых не позаботились о смене пароля по умолчанию. Воспользовавшись доступом к промышленным холодильникам, которые работают в супермаркетах, больницах и ресторанах по всему миру, хакеры могут дистанционно изменить настройки и отдать команду на разморозку, что чревато порчей продуктов и убытками, отмечает Techrunch.
Как пояснил Ноам Ротем (Noam Rotem), один из ИБ-экспертов, выявивших уязвимость, речь идет о термостатах британской фирмы Resource Data Management (RDM). Они доступны через интернет, и чтобы получить дистанционный контроль над ними, достаточно ввести логин и пароль по умолчанию, указанные в документации производителя на его сайте.
С помощью поискового сервиса Shodan, позволяющего отслеживать в интернете уязвимые IoT-устройства, специалисты нашли в общей сложности 7419 подключенных термостатов RDM, которыми оснащены многие холодильные камеры. Среди пользователей незащищённых систем охлаждения оказались хладокомбинат в Германии, больница и супермаркеты Великобритании, фармацевтическая компания в Малайзии, продуктовый склад в Исландии и продовольственная фирма из Италии.
Интересно, что больше всего уязвимых устройств в России. На скриншоте, опубликованном специалистами Safety Detective, видно, что в нашей стране более 1300 незащищенных холодильных систем с термостатами RDM против 663 в Малайзии и 408 в Бразилии.
Доступ к ним возможен через небезопасный HTTP-протокол и порты 9000, 8080, 8100 или 80. В качестве логина и пароля используется наиболее распространенная комбинация. Таким образом, все, что нужно, - это правильный URL, найти который, как показали тесты ИБ-экспертов, не составляет особого труда.
То, что доступ к холодильным системам может быть использован в злонамеренных целях, подтверждает недавний случай в Нидерландах. В ноябре 2018-го местное издание De Telegraf сообщило, что экс-сотрудник подрядчика по холодильному оборудованию Nijmeijer Koeltechniek, недовольный увольнением, с помощью имевшихся у него паролей изменил настройки в системах охлаждения в супермаркете Plus и на холодильном складе медикаментов. К счастью, неправильный режим работы своевременно заметили, поэтому крупного ущерба удалось избежать. За совершенный проступок голландский суд приговорил мужчину к четырем месяцам тюрьмы.
Комментируя публикацию Safety Detective, в пресс-службе Resource Data Management возложили всю ответственность за обеспечение безопасности на пользователей. В компании подчеркнули, что в документации к оборудованию четко прописана необходимость замены дефолтных учетных данных после установки. Хотя производитель не контролирует параметры настройки своих систем, он пообещал связаться со всеми известными ему клиентами и напомнить им о необходимости изменения имен пользователей и паролей.
