Pen Test Partners в ходе изучения коммерческого судоходства и нефтяных платформ обнаружили целый ряд грубых ошибок и уязвимостей в компьютерных системах.
Да, дело обстоит серьезно: по словам экспертов, эксплуатация некоторых уязвимостей позволяла получить полный контроль над глубоководной буровой установкой в море, используемой для поиска нефти. Вероятно, никому просто не приходило в голову, что их можно кибератаковать.
По словам экспертов, они могли «остановить двигатель, запустить систему динамического позиционирования, изменить положение руля, испортить навигацию и просто вывести из строя компьютерные системы». А это очень большой финансовый ущерб в потенциале.
В числе уязвимостей были «тайные точки доступа Wi-Fi в зонах без Wi-Fi на кораблях», а также ПК «с двойными подключениями к сети». Не говоря уже про такие мелочи, как слабые вшитые пароли, записки на ПК с паролями в открытом виде, а также встроенные учетные данные для критически важных элементов, в том числе для бортового спутникового блока, что потенциально позволяет любому пассажиру корабля авторизоваться системе и бесплатно воспользоваться платным интернетом или вовсе отключить его.
«Одним из самых больших сюрпризов оказалось количество установок, использующих дефолтные учетные данные, например, admin/admin или blank/blank, даже в общедоступных системах», — Pen Test Partners.
Читайте также на АКБ:
Хакеры превращают в ботнеты системы контроля доступа умных зданий
