АМ Видео (AM Video)
Россия
Центральный ФО РФ
Москва
Дмитровское шоссе, 100
Топ-менеджеры:
Уткин Антон Михайлович
Содержание |
История
2021: Дыра в ИТ-системе «АМ Видео» позволила удаленно управлять третью шлагбаумов в Москве
В конце декабря 2021 года стало известно об опасной уязвимости, обнаруженной в программном обеспечении «АМ Видео» для управления шлагбаумами. О проблеме РБК рассказал сооснователь компании в сфере кибербезопасности Postuf Бекхан Гендаргеноевский.
Речь идет о трети всех установленных шлагбаумов в Москве, их более 1 500 штук. Основная часть - около 85% - шлагбаумов, управляемых системой, сконцентрированы в Москве. Еще 10% расположены в Московской области, остальные - в других регионах, объясняет Гендаргеноевский.
По его словам, уязвимость позволяла пользователям, заходящим на сайт «АМ Видео» через тестовый аккаунт, получить доступ к любым объектам системы компании. Для этого можно было подставлять ID камер или шлагбаумов, просто подбирая числовой идентификатор. Кроме того, система открывала доступ ко всем данным пользователей: именам, адресам, телефонам, маркам автомобилей. Уязвимость давала возможность блокировать придомовые шлагбаумы, рассылать пользователям системы уведомления или использовать их личные данные.
Кроме удаленного открытия шлагбаумов, имея доступ к подобным приложениям, злоумышленник может «подсадить» вредоносный код в код приложения, и когда пользователь зайдет в него, к нему подгрузится какой-нибудь эксплойт (подвид вредоносной программы, использующий уязвимости системы), а злоумышленник получит полный контроль над устройством пользователя, сообщил изданию руководитель отдела продвижения продуктов компании «Код безопасности» Павел Коростелев.
По мнению Гендаргеноевского, уязвимость могла возникнуть из-за стремления фирмы разрабатывать всё своими силами, вместо того чтобы передать процесс на аутсорсинг.
 | Возможно, компания не потянула: код написали, а множество этапов его жизненного цикла, в том числе тестирование и безопасность, — не смогли, — рассуждает он.[1] |  |