- Любой желающий мог получить доступ к закрытым переговорным комнатам бундесвера одним щелчком мыши
- Привела ли уязвимость в Webex к утечке данных о Taurus?
Немецкое оборонное ведомство вновь допустило утечку данных, пишет Focus. В этот раз масштабы «слива» потрясают — любой пользователь интернета мог одним щелчком мыши получить доступ к тысячам видеозаписей с секретных онлайн-конференций.
Тысячи ссылок на видеозаписи закрытых совещаний бундесвера с внутренней информацией были доступны в Интернете в течении нескольких месяцев. И любой желающий мог их посмотреть. Эта брешь в системе безопасности была устранена только в пятницу вечером. Было найдено как минимум два слабых места в системе. До сих пор неясно, произошла ли утечка информации к посторонним лицам.
Дыра в системе безопасности, обнаруженный IT-экспертами из ассоциации «Netzgrünung», огромна. несколько тысяч ссылок на видеозаписи конференций, некоторые из которых содержали служебную информацию, были доступны в сети в течение нескольких месяцев. Многие из этих встреч даже были отнесены к категории конфиденциальных. Об этом сообщает газета "Zeit ".
В частности, речь идет о собственном локальном сервисе Webex для вооруженных сил Германии, который федеральное ведомство по информационной безопасности (BSI) одобрило для использования государственными органами в 2019 году. Сервис считается особенно защищенным — именно поэтому он и служит для ведения секретных переговоров. Бундесвер ежемесячно проводит около 45 000 совещаний.
Бундесвер использует так называемую локальную версию Webex. Это означает, что информация хранится на собственных серверах. Это особенно важно для властей.
С помощью метода подбора злоумышленники смогли угадать ссылки на записи совещаний бундесвера.
Произошедшее свидетельствует, как минимум о двух слабых местах, сообщает Zeit. Ссылки на конференции бундесвера можно было угадать, просто производя подбор. В сфере IT-безопасности обычно рекомендуется рандомизировать числа в веб-адресах, чтобы такого не произошло. Однако в случае с немецкими вооруженными силами, по-видимому, можно было узнать название, время и организатора совещаний бундесвера.
Так, утром 25 апреля состоялось совещание под названием «Обзор поэтапного плана по ракетам Taurus и завершение работы над ним». IT-эксперты также обнаружили запланированную на конец мая встречу по обсуждению секретного документа («Только для служебного пользования») «Цифровое поле боя». Самая первая встреча из более чем 6 000, найденных «Die Zeit», была проведена 2 ноября 2023 года, но, как утверждается, в сети было много других.
Любой желающий мог получить доступ к закрытым переговорным комнатам бундесвера одним щелчком мыши
Кроме того, утверждается, что персональные комнаты для совещаний было очень легко найти. Некоторые из них даже не были защищены паролем или были защищены только данными доступа, такими как «Test». Переговорные комнаты — это видеоконференции с постоянной ссылкой, доступ к которым зачастую можно получить в любое время. Во время исследования «Zeit» смог получить доступ к ним одним щелчком мыши.
