«Легализованные хакеры» в техподдержке: как в скандале с Fujitsu Horizon нашли возможный бэкдор
В деле о печально известной системе Fujitsu Horizon, использовавшейся британской почтовой службой, появился новый неожиданный поворот. Согласно свежей информации, проблемы Horizon не ограничивались лишь ошибками в учётном программном обеспечении, которые привели к несправедливым обвинениям в хищениях сотен сотрудников почтовых отделений. Оказывается, средства могли быть похищены самими техническими специалистами, обслуживавшими Horizon, причём таким способом, который мог остаться совершенно незамеченным, сообщает Computer Weekly.
Ричард Ролл (Richard Roll), ранее работавший в группе поддержки Horizon третьего уровня в период с 2001 по 2004 год, предоставил суду показания, оказавшие помощь пострадавшим почтовым служащим. Как заявил бывший сотрудник Fujitsu, команда так называемых «легализованных» хакеров могла обходить правила аудита удалённого доступа, используя скрытые возможности для проникновения на счета почтовых отделений. Хотя Ролл был опрошен ещё в 2015 году, подробности стали достоянием общественности накануне запланированной встречи руководителя европейского подразделения Fujitsu с британским Комитетом по бизнесу и торговле (Business and Trade Committee).
В 2015 году, спустя несколько месяцев после отстранения Fujitsu от расследования инцидентов с Horizon, Ролл заявил, что сотрудники японской корпорации имели возможность обходить процедуры аудита при удалённом доступе к финансовым счетам. По его словам, система изобиловала уязвимостями, а персонал технической поддержки представлял собой «легализованных хакеров», способных «взломать что угодно». Ролл подчеркнул, что, насколько ему известно, специалисты поддержки реально не занимались хищениями, однако техническая возможность для этого, благодаря наличию бэкдоров, у них определённо была. Во всяком случае, за время его работы подобных случаев среди коллег замечено не было.
Источник изображения: Clint Patterson/unsplash.com
В 2018–2019 годах Ролл также выступал с показаниями в поддержку пострадавших, судившихся с Почтой Великобритании. Около 800 работников почтовой службы в период с 2000 по 2015 год были ложно обвинены в финансовых нарушениях на основании данных системы Horizon. Это привело к тому, что многие лишились средств к существованию, а их привычная жизнь была разрушена после предъявления обвинений. В разгар скандала Почта Великобритании использовала свои полномочия для передачи дел управляющих отделениями в суд или для принуждения их к сделкам о признании вины.
Позже почтовая служба всё же допустила вероятность несанкционированного удалённого вмешательства. В 2023 году о возможности неконтролируемого доступа, в том числе к счетам почтовых отделений, заявил и бывший IT-директор Fujitsu — по сути, персонал фирмы мог скрывать правки в информационных системах от руководства, и организациям оставалось лишь полагаться на их добросовестность, не имея инструментов для проверки фактических действий.
Сведения о скандале вокруг британской почты стали появляться свыше 15 лет назад, и с тех пор расследование продолжается с попеременными результатами, в ходе которого почтовая служба и Fujitsu стремятся возложить ответственность друг на друга (суд же считает виновными обе стороны). В конце 2024 года Fujitsu утверждала, что не раз предупреждала британскую почту о неполадках в системе Horizon. Однако в октябре 2025 года стало известно, что компания направила £280 млн в своё британское подразделение в ожидании компенсационных выплат пострадавшим. Сама Fujitsu стала терять контракты с государственными службами Великобритании и рассматривает сокращение персонала для экономии средств.
Источник: