Пользователь ресурса Habrahabr в свободное время решил подробнее изучить ссылку временного доступа к одной из общественных камер наблюдения города Москвы. После достаточно простого анализа он разобрался как именно получить возможность просматривать видеотрансляцию любой камеры московского ЕЦХД (Единого Центра Хранения Данных).
В одном из моих пабликов я увидел фотографию с камеры наблюдения со служебными данными на ней. Заинтересовавшись этой фотографией, я обратился к автору изображения с просьбой получить доступ к данной камере. На моё удивление, мне ответили. Мне сказали, что можно получить ссылку временного доступа, которая действует в течение недели и не позволяет управлять камерой и смотреть архив. Можно получить доступ к потоку камеры с произвольно выбранным айдишником. Первые потоки – это архивы камер, последняя – трансляция в реальном времени. Вставляете ссылку вида obmen-video.echd.ru/cameraManager/ajaxGetVideoUrls?id=ХХХ&_=1421929669467 в браузер (где ХХХ – произвольный айдишник, я пробовал числа от 50 до 20 000), получаете набор потоков, который можно вставить в медиаплеер на своём смартфоне и при должном упорстве вы можете увидеть себя, курящим у подъезда своего дома…
Автор хака попытался связаться с ЕЦХД (Единым Центром Хранения Данных) по поводу уязвимости, однако на момент публикации ответа не получил.
Реакция московского Департамента информационных технологий последовала чуть позже, представитель пресс-службы ведомства Елена Новикова сообщила, что не считает описанный пользователем доступ к системе несанкционированным. По её словам, сейчас тестируется сервис массового облегчённого доступа в городскую систему видеонаблюдения для жителей, а первый публичный его запуск произошёл ещё 30 декабря. Тогда столичные власти все праздники транслировали с городских камер основные площадки гуляний, а позже показывали крещенские купания.
То, что пользователь принял за уязвимость был сервис, который мы тестировали с группой добровольцев. Он никаким образом не влияет на безопасность, так как не дает доступа в защищенный контур системы, не дает возможности управлять камерой или стирать архив. Примерно с полудня доступ закрыт, так как запускать сервис еще преждевременно.