Банкоматы в Германии были уязвимы для хакеров

Александр Панасенко 03 Ноября 2015 - 19:35

...

Известный ИБ-специалист Бенджамин Кунц-Меджри (Benjamin Kunz-Mejri), CEO компании Vulnerability Lab, сообщил, что терминалы самообслуживания банка Sparkasse ненадежны, еще недавно они позволяли злоумышленникам получить доступ к закрытым данным.

Эксперт обнаружил уязвимость практически случайно: в апреле 2015 года банкомат Sparkasse выплюнул его собственную карту прямо в процессе работы и внезапно отобразил сообщение «temporarily not available» (временно не работает). Исследователь не растерялся, воспользовавшись клавиатурой и определенной комбинацией клавиш, он сумел перевести банкомат в другой режим работы, пишет xakep.ru.

Во временно нерабочем состоянии оказалась доступна консоль (cmd), которую удалось вызвать прямо поверх сообщения «temporarily not available», после того, как терминал вернул карту. В этот момент эксперт понял, что перед ним опасный баг и быстро зафиксировал на камеру смартфона bootChkN (Wincor Nixdorf), который наблюдал на экране терминала:

Позже, просматривая сделанное фото на компьютере, Кунц-Меджри отметил, что на экране отображались важные конфиденциальные данные: Username, серийные номера, настройки файервола, имя устройства, ID устройства, информацию о сети, два системных пароля и так далее. Используя эту информацию, он мог бы перехватить управлением банкоматом, без особых усилий.

Исследователь немедленно направил отчет о найденной бреши в службу безопасности банка, после чего специалисты Sparkasse отблагодарили его письмом и выпуском личной карты (хотя официально у банка нет программы вознаграждений), и взялись за обновление своих банкоматов. На данный момент уязвимость закрыта полностью: использование клавиатуры в данном режиме отключили, к логу теперь так просто не доберешься, к тому же, из него исключили важную информацию, вроде ID администратора, банка и так далее:

Следующая главная новость »

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!

Екатерина Быстрова 11 Июня 2026 - 14:19

Утечки информации Умышленные утечки информации Кража данных Соответствие законодательству РФ Общее

Роскомнадзор проиграл кассацию по делу об утечке данных РЖД

Роскомнадзор проиграл ещё один раунд в громком деле об утечке данных РЖД. Арбитражный суд Московского округа оставил в силе решение апелляции, которая ранее отменила штраф в отношении компании. Спор начался после того, как в телеграм-каналах появилась база данных сотрудников РЖД объёмом более 17 миллионов записей.

После инцидента Роскомнадзор добился привлечения компании к ответственности по части 1 статьи 13.11 КоАП РФ за нарушение требований к обработке персональных данных.

Однако в феврале 2026 года Девятый арбитражный апелляционный суд отменил этот штраф. Суд пришёл к выводу, что сама по себе утечка ещё не доказывает вину оператора персональных данных.

Апелляция указала, что инцидент стал результатом целенаправленной кибератаки, по факту которой было возбуждено уголовное дело. При этом Роскомнадзор не смог показать, какие именно меры защиты РЖД обязана была внедрить, но не внедрила.

Регулятор попытался оспорить такой подход в кассации, однако Арбитражный суд Московского округа поддержал позицию апелляционной инстанции и отказался пересматривать её выводы.

Фактически суд подтвердил важный для отрасли принцип: наличие утечки не означает автоматического признания компании виновной. Для привлечения к ответственности необходимо доказать, что оператор не выполнил конкретные требования по защите данных или допустил нарушения.

Для бизнеса это решение может стать одним из наиболее заметных судебных прецедентов последних лет в сфере персональных данных. Позиция о недопустимости так называемого объективного вменения при утечках теперь устояла сразу в трёх судебных инстанциях.

Впрочем, точку в истории ставить пока рано. У Роскомнадзора остаётся возможность обратиться в Верховный суд России.

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!