Но почему его должны именно простить-то? На каком основании?

Человек нарушил, в моем понимании, джентльменское соглашение о том, что информация о уязвимости должна попадать сначала собственнику бизнеса. Возможный сопутствующий ущерб системам РЖД никто не считал, например. Мамкины хакеры на вардрайве будут пробовать пробить вайфай, нагрузки в сети, возможные DDOSы.

и да, если бы это не было РЖД, т.е. объектом критичной инфраструктуры, то можно было бы спустить на тормозах. А тут далеко не факт

На основании гуманизма. Злого умысла у исследователя не было. Как я сказал можно превратить эту историю в добрый пиар, от которого другие такие же исследователи скажут "вот молодцы, надо им помогать", а не приведет к эффекту Стрейзанд: "ах вы так, ну нате получите еще, только теперь анонимно"

Не было "возможного" ущерба. Уже по факту

Ну значит эти "многие" рискуют присесть, так вижу. Все взрослые совешеннолетние дееспособные люди. По грехам. Гуманизму в ИБ не место, как мне кажется.

"Вот за это вас безопасников и не любят" 🙂

Ну это как, в случае предъявления обвинений, следование и обвинение отработает. В голове как минимум сразу пара возможных формулировок.

а мы и не против

понятие этичного хакерства не на пустом месте появилось

Зря не против, безопасность должна помогать бизнесу снижать риски а не кровожадно карать (что может риски увеличить). Вижу разрешение этой ситуации без ломания судьбы парню принесет больше пользы бизнесу и меньше рисков

ИБ предупреждают и минимизируют угрозы, сталкиваясь с человеческой глупостью, некомпетентностью и злым умыслом. Когда сталкиваешься с тем, что на АРМ оператора подстанции установлена дота с интернетом через сотовый телефон, не остаться мизантропом практически невозможно.

С парнем, думаю, будет все хорошо. Ну кроме того, что он будет в черном списке до самой пенсии у РЖД и, как следствие, смежников

Ему ещё срок не дали, а вы наклеиваете ярлыки. Причём тут кровожадность? Есть закон, который надо неукоснительно соблюдать

Нет ярлыков, есть мое мнение как следует работать службе безопасности. Ничего не имею против закона, искренне желаю удачи компании РЖД в разрешении этой проблемы и ее последствий.

В 10-12 году насколько помню можно было прям в открытую много что найти, примеры интересные показывали

Интервью зам.генерального директора ОАО «РЖД», в том числе по следам известной пубикации на Хабре:

В январе этого года пользователь под псевдонимом @LMonoceros на одном из популярных сайтов опубликовал пост о взломе сети передачи данных компании и получении доступа к ресурсам двух дирекций, в том числе к камерам видеонаблюдения на вокзальных комплексах. @LMonoceros на одном из популярных сайтов опубликовал пост о взломе сети передачи данных компании и получении доступа к ресурсам двух дирекций, в том числе к камерам видеонаблюдения на вокзальных комплексах.

В ходе расследования факт неправомерного доступа был подтверждён. Автор нашумевшей статьи воспользовался уязвимостью в настройке маршрутизатора, обеспечивающего сопряжение сети Интернет и не введённого в эксплуатацию сегмента обособленной информационной системы. факт неправомерного доступа был подтверждён. Автор нашумевшей статьи воспользовался уязвимостью в настройке маршрутизатора, обеспечивающего сопряжение сети Интернет и не введённого в эксплуатацию сегмента обособленной информационной системы.

Описав подробный сценарий действий и предположительные угрозы, он привлёк к сети РЖД внимание широкой аудитории хакеров как в России, так и из других стран. Таким образом, он спровоцировал массовые атаки на информационную систему огромной компании, от деятельности которой зависит безопасность миллионов пассажиров. С сожалением должен отметить, что массовое распространение непроверенной информации через СМИ только ухудшило ситуацию. он спровоцировал массовые атаки на информационную систему огромной компании, от деятельности которой зависит безопасность миллионов пассажиров. С сожалением должен отметить, что массовое распространение непроверенной информации через СМИ только ухудшило ситуацию.

Факт наличия выхода этой сети в Интернет – тема внутреннего расследования, которое сейчас ведётся в компании. Не исключена намеренно оставленная уязвимость. С этим будет разбираться служба безопасности РЖД. А органы правопорядка, в свою очередь, дадут правовую оценку действиям автора этой публикации.

Как уже говорилось в официальных заявлениях компании, произошедший инцидент не был связан с организацией перевозочного процесса, угрозы безопасности движения поездов не было, а личные данные клиентов холдинга не пострадали.органы правопорядка, в свою очередь, дадут правовую оценку действиям автора этой публикации.

Как уже говорилось в официальных заявлениях компании, произошедший инцидент не был связан с организацией перевозочного процесса, угрозы безопасности движения поездов не было, а личные данные клиентов холдинга не пострадали.

https://gudok.ru/newspaper/?ID=1552569

Ожидаемый комментарий. В духе «вот он привлек внимание…» А если бы не привлёк, то никто бы и не заметил да. Или нет? 🤔

Этот ответ и обсуждаем, да

Ну когда бахнет тогда заметят