завантаження...

Адреса:

місто Львів, 79020, вул. Варшавська, 193

19 серпня творець «The Spaghetti Detective» повідомив про помилку в мережевому сервісі. Про серйозну помилку, адже вона могла призвести до перехоплення контролю над чужим 3D-принтером…

Баг був виявлений (майже одночасно) співробітником сервісу і стороннім користувачем, який не втримався і надрукував попереджувальний надпис на пристрої. Звичайно, не на своєму.

Про сервіс «The Spaghetti Detective»

Його призначення – це віддалений контролю над 3D-принтером. За допомогою машинного навчання він розпізнає відеодані з камери спостереження і може попередити власника, якщо друк піде не за планом.

Про інцидент

Усе розпочалося з оновлення конфігурації хмарного сервісу, при якому його засновник помилився в балансувальнику навантаження (Nginx). Так, замість реального IP користувача той підставляв адресу самого балансувальника. У деяких випадках це дозволяло «підключити» чужий принтер до свого облікового запису.

Хоча проблему вирішили, сам спосіб автоматичного виявлення принтера реалізований далеко неідеально.

Як це працює? Під час першого налаштування користувач повинен зв’язати свій обліковий запис з 3D-принтером. І тепер увага!!! Якщо користувач підтверджує цей процес із тієї ж IP-адреси, з якої доступний принтер, вважається, що він належить одній людині. У такому випадку вже стає можлива атака з підміною даних.

Але через помилки в конфігурації Nginx однакову IP отримали всі користувачі, які одночасно з оновленням ініціювали автоматичне виявлення. Як результат, вони могли без особливих проблем підключитися до чужого пристрою.

Помилку було виправлено за 6 годин. Протягом цього часу, за даними логів сервісу, могли постраждати 73 користувачі!

Згодом їм скинули авторизацію доступу до принтера.

А сам творець сервісу назвав свою помилку «однією з найгірших» у своїй кар’єрі.