Неизвестные получили доступ к более 20 тысячам камер видео-наблюдения Москвы

image

Теги: камера, уязвимость, хакер

Правильно подобрав потоки, можно просмотреть архив камер или трансляции в реальном времени.

Неизвестный хакер получил временный доступ к более 20 тысячам камер видео-наблюдения Москвы, которыми управляет Единый Центр Хранения Данных (ЕЦХД). По утверждениям пользователя портала Хабрахабр под ником ipetrov2064, пройдя по ниже представленной ссылке, которая действительна только на протяжении семи дней, можно просматривать архив, но не управлять самой камерой.

obmen-video.echd.ru/embed/noauth/здесь_много_соли

Изучив исходник, ipetrov2064 обнаружил следующий код:

window.APP_VERSION = '0.1';

window.BUILD_ID = 'public';

window.embeddedCamera = {"id":******,"name":"MMC_***; такой-то парк","shortName":"MMC_***","address":"такой-то адрес ","description":null,"type":{"id":4,"color":"0D0D0D"},"cameraType":4,"apiType":"ECHD_CISCO_VSM","fixed":false,"status":0,"lat":"***","lng":"***"};

window.Request = {"id":"4a6a19d5-ab03-4cb1-8fc4-281345c873f5","innerId":"******","userId":***,"ttl":1422353451835}; // Mapped HTTP request (POST/GET params)

Немного модифицировав ссылку, пользователь смог получить доступ сначала к архивам камер, а также к трансляции в реальном времени. Представителей ЕЦХД предупредили о наличии данной лазейки, однако они пока никоим образом не отреагировали.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.