Как рассказал пользователь на «Хабре», на сервере скоростного поезда хранится информация обо всех текущих и прошлых рейсах. Эта информация содержит персональные данные, так как доступ к интернету в поезде дается по номеру паспорта.
Опуская технические подробности, можно суммировать пост взломщика так: в Сапсане вся информация свалена в одну кучу, практически не защищена и из нее можно вытащить паспортные данные всех пассажиров, которые когда-либо ехали на этом поезде.
Пользователь «Хабра» не сообщает, можно ли как-то повлиять на другие системы поезда через взломанный Wi-Fi и расстроить его функционал. Обычно в транспорте, как воздушном, так и морском и наземном, интернет не сегментирован, то есть, для пассажиров и для персонала действует одна и та же сеть, и для служебных и для личных нужд.
В прошлом году, опираясь на эту уязвимость, эксперт IO Active успешно взломал Wi-Fi сети и оборудование спутниковой связи находящегося в воздухе самолета, сам при этом находясь на земле. Поступали сообщения и о взломе навигационных систем кораблей с берега, по тому же принципу.
РЖД пока не прокомментировала информацию, но строго говоря, за подобную выходку, компания может подать на взломщика Сапсана в суд.
