Новости
Пользователь Habrahabr получил несанкционированный доступ к 20000 камерам видео-наблюдения Москвы

Пользователь Habrahabr получил несанкционированный доступ к 20000 камерам видео-наблюдения Москвы


video-moscow

Пользователь ресурса Habrahabr в свободное время решил подробнее изучить ссылку временного доступа к одной из общественных камер наблюдения города Москвы. После достаточно простого анализа он разобрался как именно получить возможность просматривать видеотрансляцию любой камеры московского ЕЦХД (Единого Центра Хранения Данных).

В одном из моих пабликов я увидел фотографию с камеры наблюдения со служебными данными на ней. Заинтересовавшись этой фотографией, я обратился к автору изображения с просьбой получить доступ к данной камере. На моё удивление, мне ответили. Мне сказали, что можно получить ссылку временного доступа, которая действует в течение недели и не позволяет управлять камерой и смотреть архив. Можно получить доступ к потоку камеры с произвольно выбранным айдишником. Первые потоки – это архивы камер, последняя – трансляция в реальном времени. Вставляете ссылку вида obmen-video.echd.ru/cameraManager/ajaxGetVideoUrls?id=ХХХ&_=1421929669467 в браузер (где ХХХ – произвольный айдишник, я пробовал числа от 50 до 20 000), получаете набор потоков, который можно вставить в медиаплеер на своём смартфоне и при должном упорстве вы можете увидеть себя, курящим у подъезда своего дома

Автор хака попытался связаться с ЕЦХД (Единым Центром Хранения Данных) по поводу уязвимости, однако на момент публикации ответа не получил.

Реакция московского Департамента информационных технологий последовала чуть позже, представитель пресс-службы ведомства Елена Новикова сообщила, что не считает описанный пользователем доступ к системе несанкционированным. По её словам, сейчас тестируется сервис массового облегчённого доступа в городскую систему видеонаблюдения для жителей, а первый публичный его запуск произошёл ещё 30 декабря. Тогда столичные власти все праздники транслировали с городских камер основные площадки гуляний, а позже показывали крещенские купания.

То, что пользователь принял за уязвимость был сервис, который мы тестировали с группой добровольцев. Он никаким образом не влияет на безопасность, так как не дает доступа в защищенный контур системы, не дает возможности управлять камерой или стирать архив. Примерно с полудня доступ закрыт, так как запускать сервис еще преждевременно.

Источник: Habrahabr, TJournal


Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: