> кстати, для всех, кто отписался и отпишется в каментах на тему "никакого взлома не было"
> про оперативную безопасность помнилиЕще разок, повторюсь, может дойдет до кого.
В данном случае взлома небыло!
1. Никакой авторизации админом РЖД настроено небыло и следовательно никакого неавторизированного доступа небыло!
2. Исследователь не находится в договорных обязательствах с РЖД и с информацией, предоставляемой РЖД в публичном доступе, без авторизации, может поступать как пожелает.
ИБ безопасность это не про оперативность, а про системность.
Оперативность нужна пожарникам, для тушения пожаров.
ИТ безопасность это системная работа и системная организация. Оперативные действия, - "побыстрячку дать доступ через эту проксю", - как раз и являются самым большим злом в ИТ безопасности!
Я не скажу, что его поступок, выложить в открытый доступ дырень в РЖД есть очень хорошо, но и утверждать однозначно, в реалиях РФ, что это сильно плохо не стану.
Мы в России, скинул он письмо с описанием ОДНОЙ дыры админу, тот залепил ее как попало, а сотня других останется незамеченным. В этом случае он бы сделал большое зло системной безопасности...
Публикация такой информации чревата временным захватом управления над железнодорожными стрелками... Но большой скандал, возможно, повлечет системные изменения в ИБ РЖД и в будущем безопасность повысится. Так, что есть и позитив от его публикации, в стратегическом плане!
PS: нормальные конторы за документируемый взлом своей инфраструктуры плотят немалые деньги. Госкорпорациям РФ стоит назначить вознаграждение в пару лямов за _конфиденциальное_ сообщение о наличии дыры...