Российские видеосчетчики посетителей ZenCount оказались подвержены критической уязвимости, которая могла бы позволить неавторизованным лицам удаленно получить доступ к данным, следует из банка данных угроз ФСТЭК России. Глава компании, чей специалист выявил это, заявил ТАСС, что публично устранение бреши не подтверждено уже более 160 дней.
Уязвимость в карточке в базе ФСТЭК описана как "ошибки разграничения доступа". "По сути проблемы в карточке указан неправильный контроль доступа. Это ситуация, когда продукт не ограничивает или некорректно ограничивает доступ к ресурсу со стороны неавторизованного субъекта. Для таких ошибок последствия часто выходят далеко за рамки "частной недоработки": они могут означать доступ к данным, изменение данных или вмешательство в работу системы", — сказал ТАСС глава ИБ-компании CyberOK Сергей Гордейчик. Брешь выявил сотрудник этой компании Роберт Торосян.
Уязвимость нашли 14 октября 2025 года и опубликовали в БДУ ФСТЭК в ноябре. По двум доступным версиям стандарта оценки опасности она получила 9,8 и 10 из 10 баллов. На 26 марта, согласно карточке, нет публичного подтверждения ее устранения, а это уже 163 дня с 14 октября, обращает внимание Гордейчик. По его оценке, нельзя ни говорить, что проблемы уже нет, ни утверждать, что "разработчик совсем ничего не предпринимал", поскольку работы могли быть непубличными. "Проблема в другом — снаружи это выглядит как затянувшийся процесс по критической удаленно эксплуатируемой уязвимости", — заметил он и добавил, что прошедшие месяцы — плохой сигнал для критической сетевой уязвимости.
Если уязвимый интерфейс доступен по сети — уязвимость использовать легко "по базовой модели", предупреждает Гордейчик. Но "легко по модели" не обязательно равняется "массово эксплуатируемо в любой установке", потому что в настоящей инфраструктуре играет роль множество факторов.
Клиенты компании ZenCount, согласно ее сайту — МТС, "Мегафон", "Детский мир", известные магазины одежды. В РФ и СНГ развернуто более 5 тыс. ее видеосчетчиков — устройств, в реальном времени подсчитывающих входящих и выходящих посетителей и анализирующих эти показатели, например для улучшения эффективности бизнеса.
"Не стоит сводить разговор к одному конкретному разработчику. Проблема шире. Системы видеонаблюдения и видеоаналитики, доступные извне без должной защиты или с тривиальными уязвимостями, к сожалению, действительно встречаются в Рунете. И речь может идти о совершенно разных классах решений: от домовых систем и домашних камер до более серьезных платформ видеоаналитики", — признает глава CyberOK.