У телевизионщиков нашли проблемы с кибербезопасностью
В рамках акции мониторинга уязвимостей украинских государственных ресурсов хактивисты обнаружили несколько проблем с кибербезопасностью у украинских телевизионщиков и их регулятора.
Несмотря на то, что проблемы признаны «несерьезными», это, говорят эксперты, «звоночек» для ТВ-отрасли, передает InternetUA.
«Открытый показ»
В ночь с субботы на воскресенье консультант по кибербезопасности Егор Папышев опубликовал на своей странице в Facebook информацию, что телеканал UA:Перший оставил открытым без пароля ftp-сервер для обмена материалом с партнерами.
– UA:Перший – есть у вас проблемка. Не страшно, но и не красиво. Можете сами найти, могу и я подсказать. Ведь снимали целый документальный фильм "Кібервійни", а так подвели, – написал Папышев.
В подтверждение своих слов он выставил скриншоты документов телеканала, среди которых – инструкция по вещанию в формате 16:9, данные о телепрограммах с шифрами и скриншоты папок с видеоматериалом.
В профильном сообществе отметили, что такая «уязвимость» может грозить потерей видеоархива и возможностью замены файлов злоумышленниками (например, на порно ролики). Сам Папышев так не считает, хотя и отмечает, что к безопасности телевизионщики должны подходить более ответственно:
– Я не думаю, что там было что-то критическое. Доступ был только на чтение. По моим оценкам, потерями или подменой содержимого это не грозило, – рассказал в комментарии нашему изданию консультант по кибербезопасности. – Сам факт наличия такого FTP в открытом доступе говорит об ошибке конфигурации, – это внутренний FTP, который не должен был появиться открытым "в мир". Там содержалась некоторая служебная документация, касающаяся эфира, чисто технические данные.
В воскресенье, несмотря на выходной, уязвимость была закрыта.
«Непристойная гужва»
В это же воскресенье, 18 февраля, на сайте Национального совета по вопросам телевидения и радиовещания появилось уведомление «На этом месте могла бы быть какая-нибудь непристойная гужва».
Авторы «предостережения» – Украинский киберальянс, организация «белых хакеров», одним из направлений деятельности которой является мониторинг уязвимостей украинских государственных ресурсов #FuckResponsibleDisclosure (FRD).
Как сообщил нашему изданию спикер Украинского киберальянса, известный под ником Sean Brian Townsend, на сайте Нацсовета по вопросам ТВ и радио обнаружен так называемый «пассивный ХSS» – тип уязвимости интерактивных информационных систем, который возникает, когда на страницы, сгенерированные сервером, по какой-то причине попадают пользовательские скрипты.
Сама по себе уязвимость несерьезная, однако злоумышленники могут воспользоваться ею в пропагандистских целях:
– Простейший фокус - пишем дикое какое-нибудь заявление, скриним архивом и рассылаем журналистам ссылку на архив. Пока разберутся, что это XSS, – вся комиссия в г***не, – объяснил спикер УКА.
В Нацсовете уже отреагировали на обнаруженную проблему и поблагодарили УКА за «находку»:
– Ждали Вас, но надеялись не попасть в этот список FRD. Будем совершенствовать безопасность, – написал спикеру УКА руководитель аппарата Нацсовета Сергей Кучерук.