DeviceLock DLP
1157

Половина баз данных в Рунете допускает неавторизованный доступ

И большая часть этих баз принадлежит e-commerce, финтех и другим стартап-проектам. Есть смысл проверить нет ли там и вас.

В закладки

Мы в компании DeviceLock занимаемся борьбой с утечками данных и в последнее время все чаще сталкиваемся с тем, что данные (включая персональные) попадают в открытый доступ не в результате взлома или выгрузки злоумышленниками, а буквально «валяются» на каждом шагу и чаще всего в виде неправильно сконфигурированных баз или API, доступ к которым открыт для всех подряд.

Мы даже сформировали небольшое подразделение, которое занимается исключительно поиском и анализом открытых баз данных, и вот что нам удалось найти с начала этого года. Мы обследовали более 2 тыс. серверов, использующих MongoDB, Elasticsearch и Yandex ClickHouse, 52% которых предоставляли возможность неавторизованного доступа, а 10% при этом содержали персональные данные или коммерческую информацию компаний. При этом 4% уже были до этого взломаны хакерами и содержали требования о выкупе скопированной информации.

Идентификация баз оказалась большой проблемой, но среди баз данных, владельцев которых нам удалось установить, оказались:

  • База клиентов финансового брокера «Финсервис» (finservice.pro) объемом 157 Гб, содержащая имена, адреса, контактные и паспортные данные, кредитные истории и информацию по выданным займам.
  • База сервиса автообзвона «Звонок» (zvonok.com) объемом 21 Гб, содержащая телефонные номера и записи звонков; данные московских станций скорой медицинской помощи объемом более 17 Гб, содержащие всю информацию по вызовам бригад скорой помощи, включая имена, адреса и телефоны пациентов.
  • База логов российского телемедицинского сервиса DOC+ объемом более 3 Гб, содержащая данные сотрудников и некоторых пользователей (включая диагнозы).
  • База данных информационной системы «Сетевой Город. Образование», содержащая персональные данные учеников и учителей школ Екатеринбурга, Ингушетии, Свердловской области и Якутии.
  • База данных программы Правительства Москвы “Московское долголетие” объемом 75 тыс. записей, содержащих персональные данные долголетие», а также адреса и GPS-координаты мест проведения занятий.
  • База данных по штрафам ГИБДД, используемая проектами оплатагибдд.рф, paygibdd.ru, gos-oplata.ru и штрафов.net, содержащая 500 тыс. записей персональных данных, номеров паспортов и автомашин, а для некоторых платежей первые и последние 4 цифры карт.

И кроме этого еще открытые данные сотен интернет-магазинов и различных информационных сайтов. До сих пор каждый день мы находим от одной до десятка новых открытых баз.

В чем причина такого количества проблем? На мой взгляд, главное - это низкая квалификация админов и отсутствие в компаниях хоть каких-то процедур аудита информационной безопасности. Я не говорю о пен-тестах, но хотя бы проверка баз, расположенных за пределами корпоративного периметра на свободный доступ, должна быть частью любого чек-листа. Однако этого не делается ни самими компаниями, ни их подрядчиками, разрабатывающими различные веб-проекты.

О найденных открытых базах мы сообщаем владельцам и часть из них довольно быстро реагирует, закрывая доступ. Однако немалая часть не отвечает или решает довольно долго, в результате есть немало случаев, когда уже после нашего оповещения хакеры находили эти сервера, копировали информацию и выставляли ее на продажу. Еще некоторая (хорошо, что не слишком большая) часть серверов принадлежит непонятно кому и даже непонятно поддерживается ли в настоящий момент. И с этим что-то нужно делать.

Сначала мы планировали предложить Роскомнадзору, в чью сферу входит надзор за соблюдением 152-ФЗ «О персональных данных», сделать хоть что-то полезное и выработать процедуру блокировки хотя бы брошенных баз, содержащих персональные данные. Например, через хостера можно направлять владельцу базы уведомление, а если через неделю база не будет закрыта, блокировать ее. Но похожая норма вошла в принятый закон о «Суверенном интернете» и может даже начнет когда-то применяться.

А пока советую всем админам проверить все свои базы на анонимный доступ и читать в телеграме наш канал «Утечки информации», чтобы, если мы найдем вашу базу, узнать об этом первыми.

{ "author_name": "DeviceLock DLP", "author_type": "editor", "tags": [], "comments": 14, "likes": 6, "favorites": 4, "is_advertisement": false, "subsite_label": "devicelock", "id": 65519, "is_wide": true, "is_ugc": false, "date": "Wed, 24 Apr 2019 12:24:49 +0300" }
{ "id": 65519, "author_id": 245337, "diff_limit": 1000, "urls": {"diff":"\/comments\/65519\/get","add":"\/comments\/65519\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/65519"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 245337, "last_count_and_date": null }
14 комментариев

Популярные

По порядку

Написать комментарий...
2

А сканирование и поиск баз с открытым доступом не является попыткой несанкционированного доступа, т.е. противозаконным деянием?

Ответить
0

Горе-админ сам санкционировал R\W доступ к базе любому желающему, поленившись пару страниц документации к СУБД почитать, это халатность.

Ответить
4

То есть можно гулять по чужой квартире, сказав: "Ну, у вас не заперто было"?

Ответить
0

мне кажется тут больше "я зашёл в открытый нараспашку подъезд, нашёл открытую нараспашку дверь квартиры, зашёл, сфоткал рецепт хозяйки на фирменный борщ"

Ответить
0

Аналогия не аргумент, ибо вы сейчас "гуляете по квартире vc.ru", доступ к которой вам nginx дает по 80 и 443 портам согласно конфигурации, которую делал "хозяин", нарушаете закон о несанкционированном доступе к информации?

Ответить
–1

Рецепт "успеха" от маркетологов - громкий заголовок, непроверяемые статистические данные, куча балабольщины о том, какая у них классная фирма.

Можно переставать читать после фразы "мы в компании "ПетушарыЛок"..."

Специально сделаю неавторизованный доступ без прав на запись с таблицей "Кокпок ДивисЛок".

Ответить
0

вижу "специалиста". создайте. атрибуцию правильную сделайте. потом поговорим. а пока типичное пустое балабольство от ничего не понимающего в вопросе технопетушка.

Ответить
0

п - бомбануло

специалисты в теме топика, рекомендую вести переписку с ними

Ответить
0

А откуда у вас инфа, что это половина всех баз? Где пруфы и методологии исследования?

Так же присоединяюсь к вопросу выше, мол, а не является ли это противозаконным деянием?
Где гарантии, что вы не слили все найденные данные налево?

Ответить
–2

оттуда? арифметика начальные классы, полезно было посещать школу - из общего кол-ва вычитаем Х закрытых баз и получаем Y открытых. как получить общее кол-во? изучайте вопрос, как базы находят...

Ответить
0

Ты чего такой агрессивный, тебя парень бросил или месячные болезненные?

Откуда взялось общее известное число баз данных? Или весь рунет состоит из 2 тысяч серверов?

Более реалистично, что чувак, писавший статью, немного припезднул/добавил желтизны в заголовок, и речь идет не обо всех БД, а только о тех, что обследованы конторой.

Ответить
0

Не было бы этичнее писать владельцам этих БД, нежели постить в свою телегу, уповая на то, что _возможно_ владелец это увидит? Хмм

Да и лучше рассказали бы, как рядовому пользователю можно было бы проверить свою бд на предмет дыр?

Ответить
0

вообще-то в телегу попадает только то, что уже закрыто после нашего уведомления владельцам. и это написано в статье (для умеющих читать, разумеется) "О найденных открытых базах мы сообщаем владельцам и часть из них довольно быстро реагирует, закрывая доступ. ".

Ответить
0

Простите, что не отношусь к тем, кто умеет читать.

Ответить
0
{ "page_type": "article" }

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Голосовой помощник выкупил
компанию-создателя
Подписаться на push-уведомления
{ "page_type": "default" }