Aa Aa Aa

У телевизионщиков нашли проблемы с кибербезопасностью

Владимир Кондрашов
У телевизионщиков нашли проблемы с кибербезопасностью

В рамках акции мониторинга уязвимостей украинских государственных ресурсов хактивисты обнаружили несколько проблем с кибербезопасностью у украинских телевизионщиков и их регулятора. 

Несмотря на то, что проблемы признаны «несерьезными», это, говорят эксперты, «звоночек» для ТВ-отрасли, передает InternetUA.

«Открытый показ»

В ночь с субботы на воскресенье консультант по кибербезопасности Егор Папышев опубликовал на своей странице в Facebook информацию, что телеканал UA:Перший оставил открытым без пароля ftp-сервер для обмена материалом с партнерами.

– UA:Перший – есть у вас проблемка. Не страшно, но и не красиво. Можете сами найти, могу и я подсказать. Ведь снимали целый документальный фильм "Кібервійни", а так подвели, – написал Папышев.

В подтверждение своих слов он выставил скриншоты документов телеканала, среди которых – инструкция по вещанию в формате 16:9, данные о телепрограммах с шифрами и скриншоты папок с видеоматериалом.

skr1.jpg (104 KB)

skr2.jpg (41 KB)

skr3.jpg (49 KB)

В профильном сообществе отметили, что такая «уязвимость» может грозить потерей видеоархива и возможностью замены файлов злоумышленниками (например, на порно ролики). Сам Папышев так не считает, хотя и отмечает, что к безопасности телевизионщики должны подходить более ответственно:

– Я не думаю, что там было что-то критическое. Доступ был только на чтение. По моим оценкам, потерями или подменой содержимого это не грозило, – рассказал в комментарии нашему изданию консультант по кибербезопасности. – Сам факт наличия такого FTP в открытом доступе говорит об ошибке конфигурации, – это внутренний FTP, который не должен был появиться открытым "в мир". Там содержалась некоторая служебная документация, касающаяся эфира, чисто технические данные.

В воскресенье, несмотря на выходной, уязвимость была закрыта.

«Непристойная гужва»

В это же воскресенье, 18 февраля, на сайте Национального совета по вопросам телевидения и радиовещания появилось уведомление «На этом месте могла бы быть какая-нибудь непристойная гужва».

guzhva.jpg (41 KB)

Авторы «предостережения» – Украинский киберальянс, организация «белых хакеров», одним из направлений деятельности которой является мониторинг уязвимостей украинских государственных ресурсов #FuckResponsibleDisclosure (FRD).

Как сообщил нашему изданию спикер Украинского киберальянса, известный под ником Sean Brian Townsend, на сайте Нацсовета по вопросам ТВ и радио обнаружен так называемый «пассивный ХSS» – тип уязвимости интерактивных информационных систем, который возникает, когда на страницы, сгенерированные сервером, по какой-то причине попадают пользовательские скрипты.

Сама по себе уязвимость несерьезная, однако злоумышленники могут воспользоваться ею в пропагандистских целях:

– Простейший фокус - пишем дикое какое-нибудь заявление, скриним архивом и рассылаем журналистам ссылку на архив. Пока разберутся, что это XSS, – вся комиссия в г***не, – объяснил спикер УКА.

В Нацсовете уже отреагировали на обнаруженную проблему и поблагодарили УКА за «находку»:

– Ждали Вас, но надеялись не попасть в этот список FRD. Будем совершенствовать безопасность, – написал спикеру УКА руководитель аппарата Нацсовета Сергей Кучерук.