Камера от гише за разплащания излъчва клиентски данни по интернет

[Tsvetkov]

Лоша практика е да инсталираш в офиса си камера за видеонаблюдение, което не е обезопасена и е достъпна през интернет.

Още по-лоша практика е тази камера да е насочена право към монитора, на който се обработват клиентски данни.

Съчетайте горните две и получавате смущаващото състояние на културата за защита на личните данни на някои собственици на бизнес в България.

 

Този скрийншот е направен от Shodan: търсачка за свързани към интернет устройства, с която хакерите откриват уязвими камери, настроени да работят без парола или с лесна за отгатване парола.

От скрийншота се вижда, че камерата е инсталирана на гише, на което се правят разплащания: за това подсказват и банкнотите, които са разхвърляни около монитора. Вероятно това е гише на оператор за платежни услуги, куриерска компания или офис за хазартни игри.

IP адресът, през който е достъпна камерата, е локализиран в Кърджали, което може да означава, че именно в този град се намира офисът.

Защо това е проблем

Само по себе си оборудването с камера в гише за разплащания е мярка за сигурност. По този начин се следи за инциденти като изчезването на пари или агресивното поведение на клиенти и служители.

Но в конкретната ситуация има поне два проблемни аспекта.

Първият е, че камерата не е обезопасена и всеки, който работи със скенер за свързани устройства, може да открие IP адреса, да се логне и да следи на живо какво се случва в офиса.

Така злонамерено лице може да наблюдава служителя, докато борави с пари, да следи кога е на мястото си и кога го няма и като цяло да получава вътрешна информация за работните процеси, до която не би трябвало да има достъп.

Вторият аспект е, че камерата заснема монитора, на който вероятно се въвеждат и обработват клиентски данни. Това е чувствителна информация, която не би трябвало да излиза от офиса. Но тъй като камерата не е защитена, тя на практика излъчва клиентските данни в интернет, което е ужасяващо неспазване на добрите практики и законовите изисквания.