Хакеры способны сами устанавливать цены на бензин на заправках

Двум экспертам в области IT-безопасности удалось подчинить себе бензоколонку. Благодаря этому они получили доступ к «чувствительным» данным, а также возможность манипулировать ценами на бензин.

При заправке своего авто самостоятельно устанавливать цены на бензин? То, о чем даже не может мечтать подавляющее большинство автовладельцев, удалось двум IT-экспертам. Это стало возможным из-за дыры в управляющем программном обеспечении для автозаправок.

Когда Идо Наор в июне прошлого года хотел заправить свою машину, система на израильской заправке зависла, а на колонке высветился IP-адрес. Когда же этот специалист Лаборатории Касперского проанализировал случившееся, выяснилось, насколько значительная уязвимость кроется за этим программным сбоем.

Доступ к веб-интерфейсу

С помощью своего коллеги Амихая Нидермана Идо удалось получить дистанционный доступ к веб-интерфейсу программного обеспечения бензоколонки израильской фирмы Opak Systems. Далее в ходе целенаправленного поиска они вышли и на другие автозаправки, подключенные напрямую к интернету.

При этом одна из испанских автозаправок использовала тот же пароль, что был приведен в качестве примера в руководстве по эксплуатации. Это помогло экспертам скачать все программное обеспечение и провести полный его анализ.

Изменяем цены, получаем данные

Далее в безопасности системы были обнаружены и другие дыры, благодаря которым открылась возможность входа без ввода пароля. Чтобы проверить, насколько реальны возможности доступа и манипуляций с данными, они получили разрешение на тестирование от одного из сетевых израильских операторов автозаправок. В результате им не только удалось «влезть» в систему со своего смартфона, но и изменить цены на топливо, получить данные кредитных карт клиентов, а затем и стереть все следы своего вмешательства.

В сентябре 2017 года эксперты связались с производителем и проинформировали его об обнаруженной уязвимости ПО. Когда стало известно, что оба IT-специалиста проводили свои исследования открыто, Orpak предложил им личную встречу, которая, правда, так никогда и не состоялась. Как пишет издание Motherboard.vice, до сих пор неясно, закрыли ли производители дыры в ПО. А все потому, что на конкретный вопрос Orpak внятного ответа так и не дал. И это притом что их программное обеспечение установлено на десятках тысяч автозаправок в 60 странах мира.