‼️ История о том, как жажда наживы заставляет дельцов в Польше окирпичивать целые поезда 😂
Начну издалека. В 2022 году этичные хакеры из команды Dragon Sector по заказу Serwis Pojazdów Szynowych (SPS, проводит техобслуживание поездов) провели тщательное изучение ПО поездов от польской компании Newag. Изначально целью было понять, почему обслуживаемые ими поезда перестали ездить и подавать признаки жизни. Newag обвиняла в этом некачественный ремонт SPS. Однако загадочным образом глохли даже те машины, до которых не успевали добраться ремонтники.
После диагностики выяснилось, что ПО Newag содержит защитные механизмы, которые окирпичивают поезд, если он находится рядом с конкурирующими ремонтными мастерскими (по GPS-координатам) или стоит без дела/ремонта больше 10 дней. Dragon Sector обошла эти блокировки, разблокировав несколько поездов и выявив скрытые механизмы блокировки. В 2023 году хакеры представили доклад с этим случаем на варшавской конференции OhMyH@ck и 37‑м Chaos Communication Congress (37C3) в Гамбурге.
В ответ на такое хамство Newag подала иски к обеим сторонам на сумму около $3 млн за несанкционированный доступ к ПО и его незаконную модификацию, нарушение коммерческой тайны и репутационные потери, вызванные публикацией информации о найденных особенностях. А еще Newag не просто отрицала, что добавляла блокировки, но и утверждала, что его добавили сами ребята из Dragon Sector, действуя в интересах конкурирующей компании.
Во всей этой истории есть один маленький нюанс. По европейскому законодательству вы можете вносить изменения в ПО, если это исправление ошибок. Но в случае с Newag речь идет об отключении легитимной функциональности, которая сама по себе ошибкой не является. И это основная претензия иска. Так кто добавил блокировку, хакеры или компания? 😂
С другой стороны, тут на лицо попытка установить ядерную монополию, с которой всеми силами борются. Но это менее весомый довод, требующий отдельного расследования. Так и живем, господа white hat.
💬 Вся история доступна по ссылке.
