Комментарии
Хотелось бы услышать комментарий начальника тестировочного отдела.
Неужели никто не тестирует (регрессионно) куда ведет QR-код?

Нужно два кейса тестировать.
1. Не подменили, ли QR-код на табличке.
2. Не поменялось ли содержимое по ссылке.

Табличка с QR-кодом получается мини-сайт с одной гиперссылкой, причем провайдером является кирпичная стена и не забанишь — Яровая в ярости.

PS. пишут, что не проплатили хостинг, хотя возможны различные типы атак.
Возможно, злоумышленники поменяли коды после установки.
Вангую, что проявив немного креативности, QR-код «поменять» нужным образом можно с помощью черного маркера и полминутки времени (на «подгонку» почти совпадающего кода конечно побольше полминутки уйдет).
Кстати, интересная техническая задача: имея QR код сгенерировать новый, который будет включать старый + N дополнительных черных квадратов. При этом надо минимизировать значение N, чтобы это можно было сделать с маркером без трафарета.
Какое может быть минимальное N? Можно ли получить код с N = 1 за разумное время вычислений?
Можно ли получить код с N = 1 за разумное время вычислений?
Нельзя, т.к. избыточное кодирование гарантирует восстановление информации при некотором количестве одиночных мутаций.
А как вы думаете, какое минимальное N возможно?
Реальна ли в целом операция «подрисовать пару точек маркером» или код от этого защищен?
Скорее, полагаю, не проплатили хостинг и домен выставили на продажу, разместив там рекламу, вот и всё.
Хотя и приклеить наклейку на старый QR-код с новым кодом, конечно, нетрудно.
Эта атака существует столько, сколько существуют QR-коды, достаточно незаметно прилепить сверху наклейку…
А вот интересно, можно ли закрасить QR-код так, чтобы содержимое поменялось и он остался валидным? Т.е. закрашиваем точечно, меняем биты…
Если можно закрашивать как черным, так и белым — то задача становится тривиальной.
Вопрос, что такое «валидный QR код» на купюре и есть ли там контрольная сумма.
Там самый обычный QR-код, в котором используется даже не контрольная сумма, а автоматическая коррекция ошибок.
Если просто меняли код на табличке, то зачем их менять? Можно просто отмыть/отклеить изменения и все, а на новые потом также могут наклеить… Больше похоже на то, что эти не очень ответственные и умные люди не проплатили хостинг и лишились домена, который быстро прикупили предприимчивые товарищи и стали (не за даром думаю) выкладывать ссылочки на забавный контент. Тогда понятно зачем доски менять. Домен уже так просто не вернуть, дешевле и быстрее несколько десятков табличек переделать.
Не проплатили хостинг, а домен все еще ссылался на хостера, который само собой начал отдавать рекламу по запросам с такого домена.
Судя по всему, не оплатили там именно домен.
Наверное, дважды, т. к. по архивам Wayback Machine, до 2017 года там был связанный с ЮНЕСКО сайт, предоставляющий информацию по QR-кодам, потом год — WordPress Hello World.
В июне 2018 года домен был заново зарегистрирован, и теперь отдает рекламу определенного качества.
Или таблички в онлайне заказывали, а потом времени не было проверить и отдали вешать так.
Прочитал эту новость в схожей формулировке:
техническая атака хакеров, которые изменили выход на ненужный сайт
уже на трех новостных ресурсах. Хорошо, что Хабр не просто очередной новостной ресурс, но, прежде всего, ИТ-сообщество и статьи тут соответствующего уровня. Спасибо за технические подробности, alizar, после прочтения этой статьи, всё стало понятно. Так держать!

Крутые хакеры, еще на этапе размещения подменили http://vizitastra.ru/zelenaya-strela/ там фото QR кода


Позже сообщалось, что QR-коды были заблокированы

Сайт (полный адрес не проверялся) открывается. Конечно если QR код заклеить, закрасить… — тоже блокировка информации.

Так, судя по vizitastra.ru/zelenaya-strela, всё именно так и задумывалось:
Помимо текстовой информации и графического изображения объекта пользователь получит он-лайн доступ к заказу и аренде транспорта, бронированию гостиниц, список ресторанов, места проведения досуга.

Просто со временем остался только последний пункт.
Однако в прошлом году...

А они там в министерстве культуры и туризма неторопливые, судя по всему.
Какой телеграм! Он блочит IP-адрес 127.0.0.1 и заглушки провайдеров! :-D

Больше интересно, где РосНИИРОС или кто там сейчас занимается стандартизацией доменов под госнужды? Сварганили бы уже единое пространство для регистрации под окологосударственные ресурсы без необходимости следить-продлевать и возможности перерегистрировать на левое лицо, а то сейчас каждое второе ведомство регает себе вторым уровнем в .ru.

хакеров
какой странный эвфемизм для эрудированных хулиганов-мошенников с фантазией
Проблема QR-кодов в их совершенной нечитаемости человеком. Как по мне, так их считывать просто опасно, ибо с их помощью открывается такое огромное поле для манипуляций и фишинга, что прямо оторопь берет! И всего-то надо как-то раз ночью переклеить наклейку. :)
Что бы они там не делали, QR-код можно легко переклеить. Поэтому тут несколько иное решение нужно. Я тут вижу несколько вариантов:
  1. Можно поискать или самим разработать разновидность QR-кода, которую можно снабдить автоматически проверяемым сертификатом, что бы при сканировании человеку показывали автора QR-кода.
  2. Можно вообще без QR-кодов сделать, а выпустить приложеньку, которая будет показывать справку в соответствии, например, с GPS/ГЛОНАСС координатами.
  3. Можно раздавать WiFi с рекламными вставками около таких зданий, только вместо рекламы показывать историческую справку. Захотел человек почитать о здании? Подключается к WiFi и читает.
  4. NFC предлагать не буду, ибо далеко не у всех ещё телефонов есть NFC, в то время, как WiFi и камеры есть почти у всех.
Хакеры, хакеры… Это называется ИТ в бюджете, бессмысленный и беспощадный. )
Как показывает личный опыт, обычно в бюджете не заморачиваются на права на домен (по незнанию, в основном), а т.к. Исполнителей получают по самому низу рынка (гос.закупки или до 100 т.р., сами понимаете), то ребята не заморачиваются с регистрацией домена на Заказчика (в большинстве случаев — в корыстных целях), и потом пытаются с Заказчика денежку получить «на техническое обслуживание».
А тут видимо Заказчик просто забыл, что у него там какой-то домен, а Исполнитель не сильно настаивал «на техническом обслуживании».
Тогда исполнителю проще изначально настроить переход по ссылке через редирект на своем сайте. Заказчик проверяет — работает. После получения оплаты меняет редирект на выгодный и получает еще небольшую прибыль.
У нас в универе был еще неудачный опыт с QR кодами, коды вели на поисковик + название универа. Задумка была, чтобы получать свежие новости про университет, достижения, мероприятия. Сначала работало всё, но потом в ТОП выдачи поисковиками вышел черный пиар, типа «коррупция, взяточничество, беспредел», таблички быстро сняли.
После получения оплаты меняет редирект на выгодный и получает еще небольшую прибыль.
Это уже мошенничество и подсудное дело.
меняет редирект...

Это уже мошенничество и подсудное дело.

Ну тут же не сказано, кто меняет.
Просто «техническая атака хакеров, которые изменили выход на ненужный сайт.»
Дело заведут. Следователи при желании разберутся довольно быстро, используя не технические средства (от терморектального до отслеживания бенефициаров, кому пришли денежки со всей этой схемы — вряд ли там с анонимными валютами заморачивались).
Зачем вообще QR на этих табличках? Они всю эстетику портят, занимая добрую половину площади этой таблички! Эти QR пихают куда ни лень где надо и где не надо. Не понимаю этой моды.
Интересно, как можно оформить подписку просто перейдя по ссылке? Неужели смартфон по так легко отправляет свой номер или еще какие либо личные данные? Кому счета присылать откуда злоумышленник узнает?
В этом мошенникам помогает оператор сотовой связи, передающий номер абонента при использовании мобильного интернета.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.