Около года назад компания Check Point обнаружила в украинской стриминговой платформе Ministra критические уязвимости, которые могут привести к серьезным нарушениям со стороны операторов связи.
В группу риска входит вся база данных клиентов с их личной информацией и финансовыми данными. Также эти уязвимости потенциально могут позволить злоумышленникам транслировать любой контент на экраны клиентов из взломанной базы.
Точное число потенциально зараженных аккаунтов точно узнать невозможно, но Check Point Research обнаружила, что более 1000 поставщиков этой услуги подвержены влиянию этой уязвимости, в том числе из России. Так как теперь эта уязвимость исправлена, мы можем рассказать о ней.
Infomir — украинский производитель оборудования и клиентских устройств для услуг IPTV, OTT и VoD. Такие приставки представляют собой стримеры, которые с одной стороны подключаются к поставщику телевизионных услуг, а с другой — к телевизору конечного пользователя. Каждое из этих устройств связывается и получает данные от специализированной ТВ-платформы Ministra, которая раньше называлась Stalker.
Для приема телевизионного вещания абонентская приставка подключается к платформе Ministra. С ее же помощью операторы связи могут управлять приставками своих клиентов. Ministra, как и большинство веб-платформ, имеет интерфейс администратора, который требует аутентификации. Исследователи из Check Point Research обнаружили уязвимость в механизме аутентификации и смогли обойти его, что позволило им удаленно выполнять код на сервере.
Если злоумышленник получает несанкционированный доступ к такой платформе, он может получить доступ к финансовым данным клиентской базы провайдера или изменить контент, отправленный конечным пользователям.
Невозможно точно сказать, сколько людей могло быть затронуто этими уязвимостями, поскольку в ней участвуют три отдельных субъекта (Infomir как производитель продукта IPTV, платформа Ministra и конечные пользователи). Check Point Research обнаружила, что около 1000 поставщиков услуг приобрели Ministra и предоставляют его своим клиентам. Исследователи не знали точно, сколько клиентов у каждого из этих посредников, но очевидно, что их суммарное количество очень велико.