Скорее надо ждать уголовку по 274.1 в отношении автора

И это правильно. Очередной мамин хакер познает мощь российского правосудия. Если в доме открыта дверь - это не значит что нужно туда входить и хозяйничать там

Если формально посмотреть, то даже легальный пентест по договору можно подвести под статью.

С другой стороны, человек своими действиями создал целый рынок. Теперь будут объявлены тендеры на суммы с таким количеством нулей, которые даже трудно прочитать

Сеть свн же - в таких системах обычно берут самое дешевое обрудование, ибо итшников там нет ни со стороны заказчика, ни со стороны подрядчика. Ибшники тоже очень мало где принимают участие в таких проектах

Вот могу поспорить, что не будет вообще ничего

Я принимаю участие в таких проектах. В филиалах большого холдинга. За отсутствие дефольных паролей не поручусь, но из пользовательских сегментов лвс туда не пустит на уровне телекома, тем более с периметра. Вообще не понимаю, при чем тут дешевизна камер.

почему камер? Я про сетевку - в таких проектах пытаются использовать самое дешевое.  Поэтому микротики ни разу не удивляют.

То, что не отделено от остальной сети - это крайне странно, потому что любой безопасник (по физической безопасности) обычно требует, чтобы его системы были изолированы физически от офисной сети, но тут уже, подозреваю, играет эффект распределенности - не до жиру, когда надо поставить камеру на каждый полустаночек, где ни второй коммутатор, ни отдельный канал никто не даст сделать

ну и, к слову, я реально видел сеть, в которой контроллеры СКУД были в одном широковещательном домене с прочими офисными системами.

А мтики не плохи, на них тоже можно сделать хорошо. Просто контора и богатая и статусная. Удивляет экономия как таковая. Ожидаемо было бы что-то типа техполитикт, где несколько иные вводные.

Я примерно 15 лет назад был на экскурсии в ЦУП СвРЖД - тогда их сеть производила впечатление: сплошное оборудование Cisco, использование всяких новых технологий типа ATM. Они тогда гордились, что у них лучшие сетевые спецы (и хорошие з/п)... Экономией и не пахло.

еще у них самая большая видеостена была, которую я только видел - прям как в ЦУПе, который космический, а не железнодорожный

Полная глупость и указание на лицемерное правосудие. Парень зашел в открытую дверь и указал общественности на потенциальную опасность. Так как РЖД это транспортная и публичная компания , то ее система безопасности напрямую связана со здоровьем и безопасностью граждан. Приличная компания должна 1. Предложить парню высокооплачиваемую работу.2. Выплатить вознаграждение.
3. Публично заверить общество в проверке и работе над ошибками.

Увы юридически в чужую открытую дверь входить нельзя. Как и присваивать себе найденные на дороге деньги например. Это надо знать. Как бы безобидным это не казалось

Сейчас юристы поправят, но ещё должен фигурировать умысел, цель (хищения и т.д.), ущерб.

В параллельных чатиках люди пишут, что эппл за багбаунти не платит :) Это к слову о предложении работы, оплаты и т.п.

Платит, и платит хорошо - были публичные кейсы

На Эппл свет клином не сошёлся. Не заплатят они - заплатят другие. Кому нужна инфа об 0-day уязвимостях в яблочных устройствах

Смысл багбаунти - найти дыру раньше всех, закрыть, объявить об этом. А тут сразу огласке придали.

Я слышал о подобном кейсе на Украине. Парень зашёл через открытую дверь. Получил три года общего режима.

Коллеги, позволю себе пару строк про все тот же РЖД и статью. Уже достаточно долгое время наблюдаю как появляются разные посты в разных чатах где выкладывают доступ к камерам (которые с уязвимостью) и не только. Автор статьи был явно не первым кто рылся в этой сети ) т.к. люди находят дырки пишут в компании а результата нет. РЖД это коснулась потому что автор кинул статью  в паблик, могу сказать что есть такие же веселые картинки со многих мест (метро , аэропорты, даже пару ГЭС). Так что я бы сказал спасибо автору и провел бы хорошее расследование кто был в сети РЖД и что он мог сделать