Специализирующаяся на информационной безопасности компания Postuf обнаружила уязвимость в системе управления придомовыми шлагбаумами от компании «АМ Видео». Ошибка, которая уже исправлена разработчиком, могла стать причиной утечки персональных данных пользователей и перехвата управления хакерами. Как уточнил сооснователь Postuf Бекхан Гендаргеноевский, уязвимость позволяла пользователям, зарегистрированным с полномочиями демонстрационного аккаунта, получать доступ к любым объектам системы и управлять ими — достаточно простым перебором подставлять ID камер или шлагбаумов. Аналогичным образом система открывала доступ к данным всех пользователей: именам, адресам, телефонам, маркам автомобилей. Потенциальные злоумышленники имели возможность блокировать придомовые шлагбаумы и рассылать пользователям системы push-уведомления, а также использовать их персональные данные в мошеннических схемах. Разработавшая систему компания «АМ Видео» уже отчиталась об исправлении найденной уязвимости. Под угрозой оказались около трети (более 1500 штук) шлагбаумов, установленных в Москве — на столицу приходится около 85 % продукции компании, ещё 10 % используются в Подмосковье, и лишь оставшиеся 5 % приходятся на регионы. Гендиректор Infosecurity a Softline Company Николай Агринский уточнил, что речь, вероятно, идёт об уязвимости IDOR (Insecure Direct Object Reference — небезопасных прямых ссылок на объект). Аналогичные проблемы ранее обнаруживались на ресурсах российских логистических и медицинских компаний, а также некоторых интернет-магазинов — их причиной были недоработки в бизнес-логике в части авторизации. Источник 05.01.
