В России обнаружились камеры наблюдения с общедоступными данными.
Более 6,3 тыс. камер видеонаблюдения, размещенных в том числе на объектах критической инфраструктуры и промышленных предприятиях России, имеют открытые IP-адреса, а доступ к ним может получить любой желающий. На базе камер с открытым IP злоумышленники могут организовать нелегальную систему видеонаблюдения или использовать их как вычислительный ресурс, предупреждают эксперты.
Порядка 6,3 тыс. камер видеонаблюдения, расположенных на электростанциях, промышленных предприятиях, заправках и в системах «умных» домов в России, оказались уязвимы, рассказали «Ъ» в компании Avast со ссылкой на данные поисковой системы по интернету вещей Shodan.io. IP-адреса этих камер открыты, и к ним могут получить доступ киберпреступники, говорят эксперты..
«К системе большинства таких камер можно получить доступ без имени пользователя и пароля, либо пароль к ним установлен по умолчанию», — пояснили в Avast.
Россия, по данным Shodan.io, находится на пятом месте по числу камер видеонаблюдения с открытым IP. На первых строчках располагаются Вьетнам, Тайвань, Южная Корея и США. Во всем мире около 124 тыс. камер имеют такую уязвимость.
Россия сейчас занимает третье место в мире по числу установленных камер видеонаблюдения, оценивали ранее аналитики Telecom Daily.
В стране их почти 100 на каждую тысячу человек (всего около 13,5 млн камер), и около трети установлено за государственный счет.
В Москве, например, число городских камер видеонаблюдения превышает 170 тыс. а затраты столицы на модернизацию систем видеонаблюдения и анализа информации с камер постоянно растут. Если в 2019 году департамент информационных технологий Москвы потратил на эти цели 60,8 млрд руб., в 2020-м — около 68 млрд руб., то по итогам 2021 года расходы ожидаются на уровне 70,8 млрд руб., следует из информации на сайте Мосгордумы. В январе стало известно, что мэрия Москвы до 2025 года потратит почти 3 млрд руб. на систему видеонаблюдения в Новой Москве.
При этом данные с городских камер уже неоднократно утекали.
В сентябре прошлого года общественная организация «Роскомсвобода» в суде потребовала от властей Москвы остановить работу уличной системы по распознаванию лиц. Организацию беспокоило, что в даркнете можно легко купить подробные данные о передвижениях людей, которые собираются с помощью городских камер. В январе пользователь сайта Habr обнаружил уязвимость, позволяющую проникнуть в систему видеонаблюдения ОАО РЖД. По его словам, проблема была связана с незамененными паролями, установленными по умолчанию на маршрутизаторах компании MikroTik.
Доступ к ряду камер сегодня защищен самыми простыми паролями, которые легко можно подобрать, подтверждает гендиректор компании «Интернет Розыск» Игорь Бедеров. Такие камеры, по его словам, могут быть размещены в том числе в банках, что потенциально грозит утечками данных кредитных карт и паспортов клиентов кредитных организаций. На базе камер с открытым IP можно организовать нелегальную систему видеонаблюдения или аналитики, допускает господин Бедеров. Если дополнить такую систему модулями распознавания лиц, получится система тотальной слежки, рассуждает он.
Злоумышленники могут, например, зайти в корпоративную сеть компании через уязвимые камеры, создать сеть ботов или использовать их как вычислительный ресурс.Илья Шаленковруководитель группы по оказанию услуг в области кибербезопасности КПМГ в России и СНГ
Если уязвимые камеры видеонаблюдения установлены дома, то, по его словам, их взлом грозит потерей частной жизни.
Данные, собираемые с камер как коммерческих, так и государственных структур, можно отнести к персональным, отмечает исполнительный директор компании Faceter Russia Эдуард Костырев. По такой информации можно, например, определять геолокацию человека, предупреждает эксперт. Такая информация, по его мнению, может продаваться в рекламных целях.
Анастасия Гаврилюк, Арина Барабанова