DeviceLock DLP
1236

Половина баз данных в Рунете допускает неавторизованный доступ

И большая часть этих баз принадлежит e-commerce, финтех и другим стартап-проектам. Есть смысл проверить нет ли там и вас.

В закладки

Мы в компании DeviceLock занимаемся борьбой с утечками данных и в последнее время все чаще сталкиваемся с тем, что данные (включая персональные) попадают в открытый доступ не в результате взлома или выгрузки злоумышленниками, а буквально «валяются» на каждом шагу и чаще всего в виде неправильно сконфигурированных баз или API, доступ к которым открыт для всех подряд.

Мы даже сформировали небольшое подразделение, которое занимается исключительно поиском и анализом открытых баз данных, и вот что нам удалось найти с начала этого года. Мы обследовали более 2 тыс. серверов, использующих MongoDB, Elasticsearch и Yandex ClickHouse, 52% которых предоставляли возможность неавторизованного доступа, а 10% при этом содержали персональные данные или коммерческую информацию компаний. При этом 4% уже были до этого взломаны хакерами и содержали требования о выкупе скопированной информации.

Идентификация баз оказалась большой проблемой, но среди баз данных, владельцев которых нам удалось установить, оказались:

  • База клиентов финансового брокера «Финсервис» (finservice.pro) объемом 157 Гб, содержащая имена, адреса, контактные и паспортные данные, кредитные истории и информацию по выданным займам.
  • База сервиса автообзвона «Звонок» (zvonok.com) объемом 21 Гб, содержащая телефонные номера и записи звонков; данные московских станций скорой медицинской помощи объемом более 17 Гб, содержащие всю информацию по вызовам бригад скорой помощи, включая имена, адреса и телефоны пациентов.
  • База логов российского телемедицинского сервиса DOC+ объемом более 3 Гб, содержащая данные сотрудников и некоторых пользователей (включая диагнозы).
  • База данных информационной системы «Сетевой Город. Образование», содержащая персональные данные учеников и учителей школ Екатеринбурга, Ингушетии, Свердловской области и Якутии.
  • База данных программы Правительства Москвы “Московское долголетие” объемом 75 тыс. записей, содержащих персональные данные долголетие», а также адреса и GPS-координаты мест проведения занятий.
  • База данных по штрафам ГИБДД, используемая проектами оплатагибдд.рф, paygibdd.ru, gos-oplata.ru и штрафов.net, содержащая 500 тыс. записей персональных данных, номеров паспортов и автомашин, а для некоторых платежей первые и последние 4 цифры карт.

И кроме этого еще открытые данные сотен интернет-магазинов и различных информационных сайтов. До сих пор каждый день мы находим от одной до десятка новых открытых баз.

В чем причина такого количества проблем? На мой взгляд, главное - это низкая квалификация админов и отсутствие в компаниях хоть каких-то процедур аудита информационной безопасности. Я не говорю о пен-тестах, но хотя бы проверка баз, расположенных за пределами корпоративного периметра на свободный доступ, должна быть частью любого чек-листа. Однако этого не делается ни самими компаниями, ни их подрядчиками, разрабатывающими различные веб-проекты.

О найденных открытых базах мы сообщаем владельцам и часть из них довольно быстро реагирует, закрывая доступ. Однако немалая часть не отвечает или решает довольно долго, в результате есть немало случаев, когда уже после нашего оповещения хакеры находили эти сервера, копировали информацию и выставляли ее на продажу. Еще некоторая (хорошо, что не слишком большая) часть серверов принадлежит непонятно кому и даже непонятно поддерживается ли в настоящий момент. И с этим что-то нужно делать.

Сначала мы планировали предложить Роскомнадзору, в чью сферу входит надзор за соблюдением 152-ФЗ «О персональных данных», сделать хоть что-то полезное и выработать процедуру блокировки хотя бы брошенных баз, содержащих персональные данные. Например, через хостера можно направлять владельцу базы уведомление, а если через неделю база не будет закрыта, блокировать ее. Но похожая норма вошла в принятый закон о «Суверенном интернете» и может даже начнет когда-то применяться.

А пока советую всем админам проверить все свои базы на анонимный доступ и читать в телеграме наш канал «Утечки информации», чтобы, если мы найдем вашу базу, узнать об этом первыми.

Полный контроль данных без утечек.
{ "author_name": "DeviceLock DLP", "author_type": "editor", "tags": [], "comments": 14, "likes": 6, "favorites": 4, "is_advertisement": false, "subsite_label": "devicelock", "id": 65519, "is_wide": true, "is_ugc": false, "date": "Wed, 24 Apr 2019 12:24:49 +0300", "is_special": false }
Объявление на vc.ru
0
14 комментариев
Популярные
По порядку
Написать комментарий...
2

А сканирование и поиск баз с открытым доступом не является попыткой несанкционированного доступа, т.е. противозаконным деянием?

Ответить
0

Горе-админ сам санкционировал R\W доступ к базе любому желающему, поленившись пару страниц документации к СУБД почитать, это халатность.

Ответить
4

То есть можно гулять по чужой квартире, сказав: "Ну, у вас не заперто было"?

Ответить
0

мне кажется тут больше "я зашёл в открытый нараспашку подъезд, нашёл открытую нараспашку дверь квартиры, зашёл, сфоткал рецепт хозяйки на фирменный борщ"

Ответить
0

Аналогия не аргумент, ибо вы сейчас "гуляете по квартире vc.ru", доступ к которой вам nginx дает по 80 и 443 портам согласно конфигурации, которую делал "хозяин", нарушаете закон о несанкционированном доступе к информации?

Ответить
–1

Рецепт "успеха" от маркетологов - громкий заголовок, непроверяемые статистические данные, куча балабольщины о том, какая у них классная фирма.

Можно переставать читать после фразы "мы в компании "ПетушарыЛок"..."

Специально сделаю неавторизованный доступ без прав на запись с таблицей "Кокпок ДивисЛок".

Ответить
0

вижу "специалиста". создайте. атрибуцию правильную сделайте. потом поговорим. а пока типичное пустое балабольство от ничего не понимающего в вопросе технопетушка.

Ответить
0

п - бомбануло

специалисты в теме топика, рекомендую вести переписку с ними

Ответить
0

А откуда у вас инфа, что это половина всех баз? Где пруфы и методологии исследования?

Так же присоединяюсь к вопросу выше, мол, а не является ли это противозаконным деянием?
Где гарантии, что вы не слили все найденные данные налево?

Ответить
–2

оттуда? арифметика начальные классы, полезно было посещать школу - из общего кол-ва вычитаем Х закрытых баз и получаем Y открытых. как получить общее кол-во? изучайте вопрос, как базы находят...

Ответить
0

Ты чего такой агрессивный, тебя парень бросил или месячные болезненные?

Откуда взялось общее известное число баз данных? Или весь рунет состоит из 2 тысяч серверов?

Более реалистично, что чувак, писавший статью, немного припезднул/добавил желтизны в заголовок, и речь идет не обо всех БД, а только о тех, что обследованы конторой.

Ответить
0

Не было бы этичнее писать владельцам этих БД, нежели постить в свою телегу, уповая на то, что _возможно_ владелец это увидит? Хмм

Да и лучше рассказали бы, как рядовому пользователю можно было бы проверить свою бд на предмет дыр?

Ответить
0

вообще-то в телегу попадает только то, что уже закрыто после нашего уведомления владельцам. и это написано в статье (для умеющих читать, разумеется) "О найденных открытых базах мы сообщаем владельцам и часть из них довольно быстро реагирует, закрывая доступ. ".

Ответить
0

Простите, что не отношусь к тем, кто умеет читать.

Ответить

Комментарии

null