Система управления канатной дорогой горнолыжного курорта Patscherkofel находилась в открытом доступе в Сети

image

Теги: Doppelmayr Connect, Интернет вещей, IoT

В системе Doppelmayr Connect отсутсвовали базовые меры безопасности.

В рамках проекта по исследованию интернета на предмет доступных устройств специалисты в области безопасности Себастиан Нееф (Sebastian Neef) и Тим Филипп Шеферс (Tim Philipp Schäfers) обнаружили систему управления канатной дорогой горнолыжного курорта Patscherkofel в Инсбруке (Австрия), доступ к которой мог получить кто угодно.

По сути, система не должна быть видима в интернете, но это оказалось не единственной проблемой. Как рассказали Нееф и Шеферс в интервью изданию Golem.de, система Doppelmayr Connect никак не была защищена: все команды отправлялись в незашифрованном виде, отсутствовал механизм авторизации, а web-приложение оказалось уязвимым к XSS-атакам. По их словам, на момент проведения сканирования канатная дорога функционировала.

В то же время компания Doppelmayr - разработчик Doppelmayr Connect - не рассматривает проблему как критическую. По словам ее представителей, система защищена от несанкционированного доступа и безопасность пассажиров подъемников никогда не находилась под угрозой. Однако Нееф не согласен с данной точкой зрения.

«Мы могли видеть панель с элементами управления направлением движения, контроля безопасного расстояния между гондолами и экстренного торможения», - утверждает он.

После того, как специалисты проинформировали австрийский координационный центр CERT о своих находках, оператор канатной дороги IKB приостановил ее работу до тех пор, пока не будут обеспечены соответствующие меры безопасности.

Doppelmayr Garaventa Group - австрийско-швейцарская компания, специализирующаяся на производстве кресельные подъемников, канатных дорог, гондол, поверхностных буксировочных устройств для горных лыж и аттракционов, а также двигателей для городского транспорта и систем транспортировки материалов.


Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.