АМ Видео (AM Video)

Компания

АМ Видео (AM Video)
Основным направлением компании AM Video является установка и обслуживание систем видеонаблюдения, охранно-пожарной сигнализации, систем контроля доступа, таких как: домофоны, турникеты, шлагбаумы, калитки, электронные замки, переговорные устройства, систем отопления и кондиционирования.

Содержание

История

2021: Дыра в ИТ-системе «АМ Видео» позволила удаленно управлять третью шлагбаумов в Москве

В конце декабря 2021 года стало известно об опасной уязвимости, обнаруженной в программном обеспечении «АМ Видео» для управления шлагбаумами. О проблеме РБК рассказал сооснователь компании в сфере кибербезопасности Postuf Бекхан Гендаргеноевский.

Речь идет о трети всех установленных шлагбаумов в Москве, их более 1 500 штук. Основная часть - около 85% - шлагбаумов, управляемых системой, сконцентрированы в Москве. Еще 10% расположены в Московской области, остальные - в других регионах, объясняет Гендаргеноевский.

Уязвимость в ИТ-системе «АМ Видео» позволила удаленно управлять третью шлагбаумов в Москве

По его словам, уязвимость позволяла пользователям, заходящим на сайт «АМ Видео» через тестовый аккаунт, получить доступ к любым объектам системы компании. Для этого можно было подставлять ID камер или шлагбаумов, просто подбирая числовой идентификатор. Кроме того, система открывала доступ ко всем данным пользователей: именам, адресам, телефонам, маркам автомобилей. Уязвимость давала возможность блокировать придомовые шлагбаумы, рассылать пользователям системы уведомления или использовать их личные данные.

Кроме удаленного открытия шлагбаумов, имея доступ к подобным приложениям, злоумышленник может «подсадить» вредоносный код в код приложения, и когда пользователь зайдет в него, к нему подгрузится какой-нибудь эксплойт (подвид вредоносной программы, использующий уязвимости системы), а злоумышленник получит полный контроль над устройством пользователя, сообщил изданию руководитель отдела продвижения продуктов компании «Код безопасности» Павел Коростелев.Как с помощью EvaProject и EvaWiki построить прозрачную бесшовную среду для успешной работы крупного холдинга 2.1 т

По мнению Гендаргеноевского, уязвимость могла возникнуть из-за стремления фирмы разрабатывать всё своими силами, вместо того чтобы передать процесс на аутсорсинг.

«
Возможно, компания не потянула: код написали, а множество этапов его жизненного цикла, в том числе тестирование и безопасность, — не смогли, — рассуждает он.[1]
»

Примечания


ПЕРСОНЫ (1) СМ. ТАКЖЕ (2)