Group IB

Тестировщик систем защиты сумел физически проникнуть в дата-центр через туалет

08.07.2022
Тестировщик систем защиты сумел физически проникнуть в дата-центр через туалет

Эксперту по информационной безопасности Эндрю Тирни удалось попасть в закрытую зону дата-центра физически, а не виртуально. Опыт проникновения он описал в социальных сетях.

По словам эксперта, для тестирования систем защиты он воспользовался чертежами здания, где расположен дата-центр. Они находились в открытом доступе, поэтому могли использоваться любым желающим. Изучая план инженерных коммуникаций, Эндрю Тирни обнаружил, что к туалету примыкает небольшой коридор, скрытый фальш-стеной. Он предназначается для быстрого решения проблем со сливом в туалете. Этот технический коридор оказался открыт для всех желающих, если они знают, где именно нажать на фальш-стену.

Этот коридор оказался общим для того туалета, который был предназначен для посетителей и сотрудников в остальной части здания, и тех нескольких кабинок, которыми пользовались инженеры дата-центра. Они попадают в зону расположения серверов по пропускам. Эндрю Тирни вышел из коридора в той части туалета, которая находилась на закрытой территории, получив таким образом физический доступ к серверам. Какое именно здание обладает такой серьезной уязвимостью тестировщик не уточнил.