По словам независимого эксперта Ругера Хэйгенсена (Roger Hågensen), злоумышленники могут взять контроль над 50 тыс. наземных и интернет-радиостанций, базирующихся на ресурсе SoniXCast. Об этом 4 октября сообщило издание ZDNet со ссылкой на письмо исследователя.

Хэйгенсен заявил, что через API сайта достаточно просто украсть данные паролей административных аккаунтов станций, авторизоваться в системе и, как следствие, перехватить управление каналами, в частности, установить свои параметры вещания и запустить в эфир любую информацию.

Исследователь утверждает, что сообщил SoniXCast о проблеме еще в мае, и компания пообещала устранить брешь. Однако данные некоторых станций все еще остаются уязвимыми, поэтому открытые источники пока не публикуют подробное описание бреши.

“Радиостанцию можно попросту угнать. Если это религиозный канал, через него можно распространять богохульства. Если жертвой станет новостная станция или радио о финансах, злоумышленники могут пустить в эфир “утку” или поддельные биржевые сводки. Ущерб и последствия зависят только от размера и популярности канала”, — поясняет эксперт.

В ответ на письмо Хэйгенсена руководитель ресурса Брайан Уолтон (Brian Walton) обвинил исследователя в “преступных намерениях” и пообещал обратиться в Министерство внутренней безопасности США, если тот будет распространять информацию об уязвимости.

Такой ответ вызвал негодование у Троя Ханта (Troy Hunt) — основателя сервиса Have I Been Pwned?. В своем твите он напомнил, что “баги случаются, а то, как вы с ними разбираетесь, определяет ваш характер”.

“В этой уязвимости нет чего-то особенного, в сущности, она сводится к атаке через прямую ссылку на объект. Идентификатор оказывается в общем доступе, хотя привязан к индивидуальному ресурсу (в данном случае — радиостанции), а последний недостаточно защищен от несанкционированного доступа”, — пояснил Хант в своем комментарии ZDNet.

Категории: Аналитика, Уязвимости