В последние недели после ограбления 18 октября, когда из Лувра при дневном свете похитили драгоценности на сумму 102 миллиона долларов, аура криминальной таинственности несколько рассеялась. Преступники уронили корону во время побега и не смогли поджечь механический лифт, чтобы отвлечь внимание. Арсен Люпен был бы в ужасе.
Как же так получилось, что самый известный музей Франции оказался разграблен группой незадачливых воришек в ярких жилетах? Как сообщает французская газета Libération, это ограбление не является такой уж редкостью, как может показаться. Более десяти лет Лувр страдает от явных проблем с безопасностью и уязвимостей в ИТ-системах.
Как отмечает бывший соучредитель Rogue и архи-шутник Polygon Касс Маршалл, нам следует извиниться перед разработчиками видеоигр. Мы годами насмехались над тем, как персонажи в играх оставляют важные коды безопасности на виду. Между тем Лувр использовал пароль "Louvre" для своих серверов видеонаблюдения.
Это не преувеличение. Конфиденциальные документы, изученные Libération, рассказывают о долгой истории уязвимостей в безопасности Лувра, начиная с аудита 2014 года, проведенного по запросу музея Агентством кибербезопасности Франции (ANSSI). Эксперты ANSSI смогли проникнуть в сеть безопасности Лувра, чтобы манипулировать видеонаблюдением и изменять доступ по картам.
"Как эксперты смогли проникнуть в сеть? Прежде всего, благодаря слабости некоторых паролей, которые ANSSI вежливо называет 'тривиальными'," — пишет Брюс Ле Борнь из Libération. "Введите 'LOUVRE', чтобы получить доступ к серверу управления видеонаблюдением музея, или 'THALES', чтобы получить доступ к одной из программ, изданных… Thales."
Музей запросил ещё один аудит в Национальном институте передовых исследований в области безопасности и юстиции Франции в 2015 году. Завершившийся через два года, аудит содержал 40 страниц рекомендаций, описывающих "серьёзные недостатки", "плохо управляемый" поток посетителей, легкодоступные крыши во время строительных работ и устаревшие системы безопасности.
Поздние документы показывают, что в 2025 году Лувр все ещё использовал программное обеспечение безопасности, приобретенное в 2003 году и больше не поддерживаемое разработчиком, работающее на оборудовании с Windows Server 2003.
Когда средства защиты королевских драгоценностей Франции устарели на два десятилетия, возможно, нам стоит быть снисходительнее к абсурдности мини-игр по взлому, запискам с паролями и легко похищаемым ключ-картам. Как видно, ограбления не так уж и сложны.
Неожиданно узнать, что у Лувра такие серьезные проблемы с безопасностью. Интересно, будут ли приняты меры после такого громкого инцидента? Надеюсь, музей пересмотрит свою политику безопасности и примет современные меры для защиты своих экспонатов.
Статья показала, как уязвимости могут остаться незамеченными даже в таких значимых местах, как Лувр. Надеюсь, это послужит уроком для других музеев и учреждений, чтобы они обновили свои системы безопасности и были более бдительными.