Список включает в себя перечень элементов SCADA-систем, используемых в различных отраслях промышленности. В нем обозначены заданные по умолчанию, с завода-изготовителя, логины и пароли, позволяющие получить доступ к элементам АСУ ТП с правами администратора. Как правило, данные логины и пароли указываются в руководствах по эксплуатации на устройства, и предполагается, что они будут изменены пользователями при вводе систем в эксплуатацию. Но не всегда это так.

Представитель группы SCADA Strangelove Сергей Гордейчик отмечает, что данный список был опубликован лишь с одной целью: обратить внимание специалистов на повышенный риск взлома систем управления на различных промышленных предприятиях, если заводская конфигурация устройств остаётся неизменной при вводе их в эксплуатацию.

«Большинство производителей не рассматривает пароли по умолчанию как уязвимость. И если это может быть в порядке вещей для элементов IT-инфраструктуры, то для систем управления промышленными объектами это большая проблема», – сообщил  Сергей Гордейчик в разговоре с изданием Softpedia.

Если пароли по умолчанию – в порядке вещей для элементов IT-инфраструктуры, то для АСУ ТП промышленными объектами это – большая проблема.

«При этом мы следуем, заложенным в основу деятельности нашей группы, принципам неразглашения информации о настоящих уязвимостях. В списке отсутствуют жёстко запрограммированные производителем пароли», – так Сергей Гордейчик прокомментировал раскрытие информации, указывая на то, что жёстко приписанные пароли являются полулегальными бэкдорами.

Список получил название SCADAPASS. В нём присутствует оборудование таких фирм как MOXA, Siemens, Schneider Electric, Hirschmann, B&B Electronics, BinTec Elmeg, Digi, Echelon, Emerson, IBM, Rockwell, Samsung, Wago, Westermo и Yokogawa. Ознакомиться с ним можно на ресурсе GitHub. Большинство из более чем 110 элементов списка – программируемые логические контроллеры. Однако в нем также присутствуют сервера, беспроводные маршрутизаторы и промышленное коммуникационное оборудование.