Buraco como uma peneira: um entusiasta demonstrou a escala assustadora de vulnerabilidades na infraestrutura de TI das ferrovias russas

A segurança da infraestrutura de TI da empresa Russian Railways (RZD) deixa muito a desejar e não resiste a críticas. Chegou a essa conclusão um entusiasta da área de segurança da informação (SI), tendo publicado os resultados de sua pesquisa no site Habr.com.

Fonte da imagem: Russian Railways

Para avaliar a segurança dos recursos da maior operadora do país, o autor da publicação utilizou um servidor proxy público e um scanner de segurança de rede Nmap. A análise da infraestrutura de TI das Ferrovias Russas confirmou os temores do especialista e possibilitou o acesso irrestrito às redes e dispositivos internos da transportadora.

«

Fonte da imagem: Habr.com

Por sua vez, a assessoria de imprensa das Ferrovias Russas desmentiu os temores do usuário Habr e garantiu a segurança da infraestrutura de TI da empresa. “A Russian Railways está conduzindo uma investigação sobre a publicação em uma fonte aberta de dados relacionados à segurança da informação de uma das divisões da holding. Informamos que os dados pessoais dos clientes da holding não vazaram, não há ameaça à segurança no trânsito ”, comentou a empresa sobre o incidente à agência de notícias TASS.

Fonte da imagem: Habr.com

«A Russian Railways está continuamente melhorando sua própria infraestrutura de TI – uma das maiores da Rússia – testando e auditando novas soluções. A empresa é aberta e aceita propostas de melhoria de sua própria infraestrutura de TI, ao mesmo tempo em que se opõe ao acesso ilegal a sistemas de informação e à publicação de dados relacionados à segurança da informação em fontes abertas. Lembramos que o acesso ilegal às informações do computador é crime ”, concluiu a assessoria de imprensa da operadora.

Lembre-se de que, a partir de 1º de janeiro de 2018, entraram em vigor as emendas ao Código Penal da Federação Russa, que prevêem responsabilidade criminal por ataques cibernéticos à infraestrutura nacional de informações. A lista de objetos de infraestrutura crítica de informação (CII) do estado inclui sistemas de informação e telecomunicações, bem como sistemas de controle automatizado de processos tecnológicos (APCS), que são utilizados em órgãos governamentais, saúde, transporte e comunicações, crédito e finanças, complexo de combustíveis e energia e várias indústrias: nuclear, defesa, foguetes e espaço, química e outras. A infraestrutura de TI da Russian Railways também pertence à categoria de CII e, portanto, o autor do estudo mencionado, que esteve na “pele de um hacker”, tem todas as chances de ter problemas em sua própria cabeça e cair sob a mira de agências de aplicação da lei.