Половина баз данных в Рунете допускает неавторизованный доступ
И большая часть этих баз принадлежит e-commerce, финтех и другим стартап-проектам. Есть смысл проверить нет ли там и вас.
Мы в компании DeviceLock занимаемся борьбой с утечками данных и в последнее время все чаще сталкиваемся с тем, что данные (включая персональные) попадают в открытый доступ не в результате взлома или выгрузки злоумышленниками, а буквально «валяются» на каждом шагу и чаще всего в виде неправильно сконфигурированных баз или API, доступ к которым открыт для всех подряд.
Мы даже сформировали небольшое подразделение, которое занимается исключительно поиском и анализом открытых баз данных, и вот что нам удалось найти с начала этого года. Мы обследовали более 2 тыс. серверов, использующих MongoDB, Elasticsearch и Yandex ClickHouse, 52% которых предоставляли возможность неавторизованного доступа, а 10% при этом содержали персональные данные или коммерческую информацию компаний. При этом 4% уже были до этого взломаны хакерами и содержали требования о выкупе скопированной информации.
Идентификация баз оказалась большой проблемой, но среди баз данных, владельцев которых нам удалось установить, оказались:
- База клиентов финансового брокера «Финсервис» (finservice.pro) объемом 157 Гб, содержащая имена, адреса, контактные и паспортные данные, кредитные истории и информацию по выданным займам.
- База сервиса автообзвона «Звонок» (zvonok.com) объемом 21 Гб, содержащая телефонные номера и записи звонков; данные московских станций скорой медицинской помощи объемом более 17 Гб, содержащие всю информацию по вызовам бригад скорой помощи, включая имена, адреса и телефоны пациентов.
- База логов российского телемедицинского сервиса DOC+ объемом более 3 Гб, содержащая данные сотрудников и некоторых пользователей (включая диагнозы).
- База данных информационной системы «Сетевой Город. Образование», содержащая персональные данные учеников и учителей школ Екатеринбурга, Ингушетии, Свердловской области и Якутии.
- База данных программы Правительства Москвы “Московское долголетие” объемом 75 тыс. записей, содержащих персональные данные долголетие», а также адреса и GPS-координаты мест проведения занятий.
- База данных по штрафам ГИБДД, используемая проектами оплатагибдд.рф, paygibdd.ru, gos-oplata.ru и штрафов.net, содержащая 500 тыс. записей персональных данных, номеров паспортов и автомашин, а для некоторых платежей первые и последние 4 цифры карт.
И кроме этого еще открытые данные сотен интернет-магазинов и различных информационных сайтов. До сих пор каждый день мы находим от одной до десятка новых открытых баз.
В чем причина такого количества проблем? На мой взгляд, главное - это низкая квалификация админов и отсутствие в компаниях хоть каких-то процедур аудита информационной безопасности. Я не говорю о пен-тестах, но хотя бы проверка баз, расположенных за пределами корпоративного периметра на свободный доступ, должна быть частью любого чек-листа. Однако этого не делается ни самими компаниями, ни их подрядчиками, разрабатывающими различные веб-проекты.
О найденных открытых базах мы сообщаем владельцам и часть из них довольно быстро реагирует, закрывая доступ. Однако немалая часть не отвечает или решает довольно долго, в результате есть немало случаев, когда уже после нашего оповещения хакеры находили эти сервера, копировали информацию и выставляли ее на продажу. Еще некоторая (хорошо, что не слишком большая) часть серверов принадлежит непонятно кому и даже непонятно поддерживается ли в настоящий момент. И с этим что-то нужно делать.
Сначала мы планировали предложить Роскомнадзору, в чью сферу входит надзор за соблюдением 152-ФЗ «О персональных данных», сделать хоть что-то полезное и выработать процедуру блокировки хотя бы брошенных баз, содержащих персональные данные. Например, через хостера можно направлять владельцу базы уведомление, а если через неделю база не будет закрыта, блокировать ее. Но похожая норма вошла в принятый закон о «Суверенном интернете» и может даже начнет когда-то применяться.
А пока советую всем админам проверить все свои базы на анонимный доступ и читать в телеграме наш канал «Утечки информации», чтобы, если мы найдем вашу базу, узнать об этом первыми.
А сканирование и поиск баз с открытым доступом не является попыткой несанкционированного доступа, т.е. противозаконным деянием?
Горе-админ сам санкционировал R\W доступ к базе любому желающему, поленившись пару страниц документации к СУБД почитать, это халатность.
Рецепт "успеха" от маркетологов - громкий заголовок, непроверяемые статистические данные, куча балабольщины о том, какая у них классная фирма.
Можно переставать читать после фразы "мы в компании "ПетушарыЛок"..."
Специально сделаю неавторизованный доступ без прав на запись с таблицей "Кокпок ДивисЛок".
вижу "специалиста". создайте. атрибуцию правильную сделайте. потом поговорим. а пока типичное пустое балабольство от ничего не понимающего в вопросе технопетушка.
А откуда у вас инфа, что это половина всех баз? Где пруфы и методологии исследования?
Так же присоединяюсь к вопросу выше, мол, а не является ли это противозаконным деянием?
Где гарантии, что вы не слили все найденные данные налево?
оттуда? арифметика начальные классы, полезно было посещать школу - из общего кол-ва вычитаем Х закрытых баз и получаем Y открытых. как получить общее кол-во? изучайте вопрос, как базы находят...
Комментарий недоступен