18+

Хабрахабр опубликовал отчёт о получении несанкционированного доступа к более чем 20 000 камерам видео-наблюдения Москвы. Может каждый

Привет, Хабрахабр! Эта история началась поздним вечером, когда я задержался на работе, чтобы доделать срочное задание, связанное с нашими партнерами из Амстердама. Закончив тестирование последнего модуля, я удовлетворенно откинулся в кресле и по привычке зашел проверить свою страницу в VK. В одном из моих пабликов я увидел фотографию с камеры наблюдения со служебными данными на ней. Заинтересовавшись этой фотографией, я обратился к автору изображения с просьбой получить доступ к данной камере.

1f3489a8280944b68440f6e3b7da1717 copy
На моё удивление, мне ответили. Мне сказали, что можно получить ссылку временного доступа, которая действует в течение недели и не позволяет управлять камерой и смотреть архив.
(Пройдя по ссылке РЕД.) и будучи вдумчивым по своей природе, я заглянул в source и обнаружил следующее:

Я получил следующий набор потоков:

Можно получить доступ к потоку камеры с произвольно выбранным айдишником. Первые потоки – это архивы камер, последняя – трансляция в реальном времени.
Открыв URL любым плеером (VLC, например), мы можем увидеть следующее: Данная камера не очень показательная в плане качества изображения, но первоначальный поток MMC_ выдавал вполне приличную картинку с хорошим фреймрейтом.
Короче. Вставляете ссылку вида obmen-video.echd.ru/cameraManager/ajaxGetVideoUrls?id=ХХХ&_=1421929669467 в браузер (где ХХХ – произвольный айдишник, я пробовал числа от 50 до 20 000), получаете набор потоков, который можно вставить в медиаплеер на своём смартфоне и при должном упорстве вы можете увидеть себя, курящим у подъезда своего дома…
Как несложно догадаться, всё это принадлежит ЕЦХД (Единому Центру Хранения Данных) – я пытался связаться с ними по поводу уязвимости, но ответа так и не получил. Надеюсь, после этой публикации ошибку всё же исправят.

Хабрахабр полный текст       Ещё по теме информационная безопасность