↑ Изображение к делу отношения не имеет, просто колоритное: конференция ВВС Франции 2006 года
Издание Zeit Online по наводке киберактивистов из Netzbegruenung провело расследование. Они нашли тысячи ссылок на Webex-конференции Бундесвера в открытом доступе и множество незапароленных виртуальных комнат.
Netzbegruenung пишет, что ссылки было легко подобрать, меняя порядковые номера, поскольку по умолчанию они формируются не случайным образом, а по возрастанию. Посторонние могли увидеть организатора, время и название встречи. Из названий следовало, что многие созвоны были помечены как секретные.
Утром 25 апреля прошла встреча «Рассмотрение и доработка поэтапного плана проекта Taurus», на конец мая была запланирована секретная конференция «Цифровое поле боя». Самое старое из более чем 6000 совещаний, где нашлись данные о времени проведения, состоялось 2 ноября 2023 года.
Для всех активных пользователей в Webex создавались общедоступные профили. Виден префикс их личной электронной почты, изображение профиля, связанный с профилем адрес постоянной виртуальной комнаты. Популярны пароли а-ля test.
На этот раз репортеры обнаружили виртуальную комнату командующего ВВС Германии Инго Герхартца, который участвовал в перехваченном разговоре про Taurus в марте.
Все это случилось со специальной надежной локальной версией Webex для Бундесвера. В течение 24 часов военные ликвидировали последствия. Сказали, что ссылки действительно можно было найти, но попасть в конференцию злоумышленникам не удалось бы, там на страже стоят администраторы.
До сих пор непонятно, удалось ли кому-то воспользоваться ситуацией. Доступ сохранялся «месяцами», закрыли брешь только вечером в пятницу 3 мая.
…продукт явно устроен таким образом, что пользователи могут либо очень легко и без понимания последствий выбирать неправильные настройки, либо изначально выбирают опасные настройки…
Следите за нашими новостями в Телеграм и Яндекс.Дзен
