Минкомсвязи начало проверку после сообщений об утечке данных 28 тысяч клиентов Госуслуг Статьи редакции

О возможной утечке из-за неверной конфигурации одного из серверов рассказало издание «Коммерсантъ».

Основатель сервиса DeviceLock Ашот Оганесян рассказал изданию «Коммерсантъ» об утечке персональных данных более 28 тысяч пользователей Госуслуг одного из российских регионов, предположительно Ханты-Мансийского автономного округа.

По его словам, информацию можно было скачать на одном из форумов, специализирующихся на утекших базах данных. Среди выложенных данных — ФИО, дата рождения, СНИЛС, ИНН, номер телефонов, электронная почта, информация о детях и другая персональная информация.

Оганесян проанализировал базу данных и выяснил, что она была получена из-за ошибки в конфигурации Elasticsearch-сервера, в результате которой сервер оказался в свободном доступе. Он был проиндексирован поисковиком Shodan 3-го декабря 2019 года — данные могли находиться в открытом доступе как минимум с этой даты, пишет «Ъ».

Также на сервере находились токены авторизации для доступа в личные кабинеты с мобильных устройств и другая информация.

Представители Минкомсвязи сообщили, что системы работают в штатном режиме, а уязвимость была закрыта. Министерство начало проверку возможного инцидента.

{ "author_name": "Евгений Делюкин", "author_type": "editor", "tags": ["\u0443\u0442\u0435\u0447\u043a\u0438\u0434\u0430\u043d\u043d\u044b\u0445","\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u0433\u043e\u0441\u0443\u0441\u043b\u0443\u0433\u0438"], "comments": 79, "likes": 26, "favorites": 11, "is_advertisement": false, "subsite_label": "services", "id": 99612, "is_wide": true, "is_ugc": false, "date": "Sun, 29 Dec 2019 18:23:58 +0300", "is_special": false }
0
79 комментариев
Популярные
По порядку
Написать комментарий...

И они хотят, чтобы люди сдали биометрию 🤦‍♂️

64

Я всё сдал. 

Но вот зачем - не знаю 

0

Стыдно, батенька, публично в таком признаваться.

29

Отзывай

2

В сбере то как уговаривают сдать био типо сможете подтверждать голосом операции

2

Я считаю эту возможность как потенциальную уязвимость

11

Кучу народу разводят на том, что это - бесплатно. Лохи ведутся.

2

Странно что на тебя не повесили еще кредитов где-то в хантымансийске

1

Комментарий удален по просьбе пользователя

1

*Главное — не пользуйтесь одним и тем же паролем в двух разных местах.

Держите, я поправил.

11

KeePass - и генерить правильные пароли, для каждого сайта свой

0

Таки может групповой иск?

1
Атомный Валера

Комментарий удален по просьбе пользователя

43
Фактический кавалер

Просто нет компаний которые в россии качественно работают с ИТ. С госуслугами уже третий или четвертый раз провал. Может уже отдать октсорсеру какому?

0

А где их взять? Нельзя же просто взять и отдать. Нужен тендер. Госзакупки. Это значит, что обойдётся в 5 раз дороже, а качество будет... Утечка данных покажется наименьшей из проблем

5

Тендер гарантирует, что будет минимальная цена и говенное качество, как дороги.

5

Как всегда это будет очередной распил бабла. Госулуги - это вещь, как ни крути, серьезная. Выделят под это дело очередной едрилион рублей.

Потом замутят тендер, который выиграют правильные конторы, едрилион уйдет им. Те наймут фрилансеров на оставшиеся 10 тыщ латать верстку и все останется также, только без едрилиона рублей.

2

Даже минимальную цену ни разу не гарантирует :)

1
Фактический кавалер

В целом так и не ясно будет ли результат толком когда нибудь или нет ... Так можно кормить тендеропобедителей бесконечно.

0
Фактический кавалер

Развивать нужно, а не тендер делать.

0

Вы это предложили, не я ;)

–1

До последнего не хотел регистрироваться на гос.услугах. Понимаю, что в России, данные вообще не защищены и спокойно можно купить любую базу в том числе гос.услуг. Эх, погнался за скидкой на загран.паспорт

15

Ну на самом деле у эластика с коробки нет авторизации, ее можно только за бабки прикрутить. А используют его очень многие, а платят за платную редакцию очень немногие, так шо по такой логике нигде не нужно регаться. Тут нет косяка государства, это чисто косяк какого-то админа, который зачем-то пробросил сервер с эластиком во внешнюю сеть. Да и если дальше шерудить, то например у стандартной поставки редиса из докера, тоже нет логина/пароля, через костыль надо прикручивать, монгу тоже можно спокойно с пустым паролем использовать.

6
Атомный Валера

Комментарий удален по просьбе пользователя

40

В ES вообще-то есть как минимум авторизация по логину паролю из коробки. Но уже не раз были подобные инциденты с не настроенной авторизацией, и в тоже время удивительно, что в гос. организациях в принципе во внешку открывают нестандартные 9200, 9300.

У Redis есть --requirepass, который отлично отрабатывает и в docker'e безо всяких костылей... надеюсь вы всеже не сис. админ гос. услуг...

3

Из коробки она триальная, то ли 30, то ли 45 дней по моему она была, дальше плати. Общепринятая авторизация, это через env когда задаешь, а не мутишь с параметрами запуска, либо ебешься с параметрами конфига очередного сервиса.

–1

Ничего триального там нет, более полу года в Swarm стоит ES без проблем.

И если для вас .env - это максимально допустимый комфортный предел при работе с Docker - то у меня для вас плохие новости.
Потратить минуту на Dockerfile со своими параметрами запуска (если часто развертываете - можно и образ в свой реестр запушить), либо docker-compose (если используете его), либо аргумент в docker run... и всего-лишь что-то из этого на выбор... ну такая себе ебля...

2

Хех, я специально щас заглулил, там авторизация бесплатна стала совсем недавно, тебе просто повезло. Если загуглишь на эту тему, то найдешь тону постов на тему того как врубить  аутентификацию, или как его закрыть в сети. Плюс госуслуги старый сервис, а в еластике начиная с какой-то версии, было сильно переделано api и соответсвенно на новом сидеть не могут, иначе пришлось было сильно много рефачить.

Что касается настройки через env, то по аналогии с аджайл манифестом, есть принципы разработки по, в которых этот момент обозначен, и там же обозначены причины по которым так нужно делать, а не собирать и пушить 100500 сервис, из-за того разработчик не в состоянии довести свой продукт до ума.

0

Во-первых: если даже отбросить бесплатную авторизацию из коробки - есть вполне рабочий универсальный метод реверс-прокси, которым любой компетентный системный администратор должен владеть (я даже не говорю про devops) - это в случае, если по ряду причин не удается построить изолированную сетевую инфраструктуру.

Во-вторых: пугают в принципе посты с вопросом о том, как закрыть сервис для внешки - таких вопросов быть не должно у сотрудников компаний, которые занимаются хранением и обработкой чувствительных данных пользователей, который тем более попадают под закон о хранении персональных данных - тут уже вопрос компетенций.
В-третьих: Очень хотелось бы увидеть документы с озвученными вами принципами и причинами разработки под Docker с обязательным указанием всех возможных параметров в .env

0

Тут речь идет о web-app или SaaS к тому же тут явно сделан акцент на облако (Heroku?), что не одно и тоже с Docker.

Я и не отрицал, что если разворачивать на облаке, например том же Heroku какой-нибудь Laravel - то в env необходимые настройки можно (нужно) прописывать.
Но это далеко не тоже самое, что аргументы запуска приложения в контейнере, и  что если приложение всего лишь часть огромного стека в docker-compose с общим файлом окружения, и, например, при запуске придется каждый раз перебирать все возможные аргументы, проверять на существование, и клеить в параметры запуска... ну бред же, еще и docker-entrypoint загадится.
Не вижу проблемы запускать самому с нужным параметром исполняемый файл - это на раз-два. Другое дело, как например смена часового пояса в официальном образе MySQL в Docker... вот тут действительно придется потратить время, и матюгнутся в адрес тех, кто его собирал.

0

О любом, проблемы везде схожи. В общем не парься, с опытом сам какому же придёшь. 

0

Всё там есть и бесплатно

0

Ну это ж все известные косяки, не больно диковинка.

Согласен что это недоработка эластика, но обвинять эластик - это то же самое что засмотреться в телефон, не нажав тормоз вьехать в передистоящее авто, а потом аинить в этом производителя авто. 

А что касается гос-во - конечно виновато оно - ибо за ошибки сотрудника отвечает работодатель. 

0

Наших паспортных данных у кого только нет. Госуслуги не самое страшное.

3

госуслуги их и так имеют, а с утечкой они могут оказаться совсем не у тех лиц

0

Дорогой Василий!

Ваш загран. паспорт готов!
Заберите его в пятом окошке дарк веба! Ваше место в очереди - 16.

2

Несмотря на регулярные утечки данных, массовых повешенных кредитов не появляется, потому что сами персональные данные ничего не стоят

Чтобы они реально нанесли вред, это должна быть тщательно спланированная операция, и утечка ей не нужна

0

Да это понятно, что кредит будет взять не возможно. Семен, тут скорее вопрос в другом. Знаете, сколько донимают от клиники по супер лечению до forex. Вопрос больше в том, как воспользуются данными. 

1

Такая же фигня, Дядя.

0

Комментарий удален по просьбе пользователя

–1

Комментарий удален по просьбе пользователя ред.

0

Комментарий удален по просьбе пользователя ред.

–1

Программисты тут не при делах. В нормальной конторе должен быть отдел или, как минимум, специалист по информационной безопасности и это как раз их работа. Другими словами, программист - это не швейцарский нож.

0

Никогда такого не было, и вот опять! 

9

Нужно ещё больше золота под закон Яровой. Не хватило на закрытие дыр.

6

Так дыро прямо деньгами затыкают. Тут их много надо.

4

Комментарий удален по просьбе пользователя

2

Один раз мне нужно было заключить то ли договор, то от показать паспорт. Паспорта с собой не было. За минут 4-7 в интернете нашёл скан своего паспорта на каком то форуме. Миссию выполнил. Страшно? Конечно страшно. Россия. Бегите отсюда.

0

Все через жопу)

5
Фактический кавалер

Ну кого ставят на руководящие должности, кто аналитики? Вот и результаты.

0

закон Яровой специально приняли, чтоб персональные данные россиян утекали от гос.органов, а не от частных компаний

5

Оганесян как обычно, вместо того, чтобы маякнуть кому следует, бежит в Коммерсант порекламить "специализированные форумы" и лично себя. 

Надо уже какую-то нормальную ответственность вводить и за слив инфы и за наводки и ввести какие-то оструевшие стандарты для сотрудников обслуживающих ПД

3

как обычно? т.е. Вы это пишите, т.к. знаете, так? или может просто так спизднули, не имея никакой информации и не зная ничего, что на самом деле произошло, когда это было обнаружено и кто был оповещен? Хм, какой вариант выбрать... ;)

–1

А это действительно Вы, не виртуал, как хамло трамвайное общаетесь? Ой, фейсбук привязан и статьи даже. Ашот, Вы вроде публичный человек, не мне Вас учить, но как то безопасность Вашего имиджа страдает сейчас. Там в статье ясно сказано "По факту возможного инцидента, изложенного в СМИ, начата проверка." Т.е. сначала СМИ, а уже дальше кто надо узнал. Помню по сливу Сбера тоже были вопросы, что Вы не туда понесли эту информацию, помню ещё Вы пререкались с Ашмановым и как-то у Вас позиции были слабоваты, как со стороны.

или может просто так спизднули

Как видите не просто так. Дорогой Ашот, знаю не точно, вообще не безопасник, но прямо сейчас Вы в глазах некоторых сторонних наблюдателей(меня), выглядите как инфоцыган по безопасности уровня Комсомолки.

1

Молодца

0

я тоже оценила сегодня эту новость))) 

"Работа работой, а стикеры там классные, ребят" (С) Жаров xD

0

Это точно самый важный, федеральный, государственный электронный посредник между государством и его нанимателями, а не забегаловка «Шота у Ашота», у которой увели данные клиентов по программе лояльности «Чебуречек»?

3

Ашот на этом рынке 20 лет, и очень известен в узких кругах.

2

Бытовуха. Просрали открытым эласитик из коробки. 

2

Ну надо же, вот это новость.

Вперед в цифровое будущее.

1
Фактический кавалер

А почему федеральный портал использует Elastic да еще и опенсурсный? Опять не могут сами сделать? Где замещение импорта?

0

Потому что у нас федерация и в каждом регионе реализацией федеральных требований занимаются хз кто, с кем местные власти заключили договор. Конечно бывает по разному, иногда крупный интегратор продает решение всем регионам, а иногда интеграторы конкурируют между собой за региональные деньги.

0
Фактический кавалер

Ну тот что допустил Еластик в паблик это был крупный интегратор?

0

"это был крупный интегратор?" - не знаю, с Госуслугами не сталкивался, но могу предположить речь идет об утечке данных не из Госуслуг вообще, а из конкретного ведомства по Ханты-Мансийскому округу. Госуслуги - это набор сервисов реализуемых в каждом министерстве и регионе отдельно. Т е какой то интегратор разработал-настроил для какого то из министерств ХМАО ПО для интеграции с Госуслугами, оттуда и утекло.

0

Представители Минкомсвязи сообщили, что системы работают в штатном режиме, а уязвимость была закрыта. Министерство начало проверку возможного инцидента.

Кому и где сообщили?
Можно ссылочку на пруф???

0

Это поэтому виси не работал все выходные ?)

0

Вот прежде чем придумывать законы про автономный интернет, лучше бы продумали бы вопрос про слив этих самых данный в сеть, все что из гос. сервисов, все либо легко доступны, либо уже слиты все и вся.

0

Вангую-как обычно, никто не виноват, это происки НАТО, Трампа и примкнувшего к ним Обамы

0

прекрасноооо.... 

0

Тестирование суверенного интернета прошло блестяще. 

0

Грустно, но спасибо, что осветили!

0
Читать все 79 комментариев
«Сбер» научил свой ИИ-сервис определять возможные признаки рака на ранних стадиях по снимкам лёгких Статьи редакции

Это может помочь врачам при диагностике заболевания.

Почему «без ТЗ результат ХЗ». Разбираем на примере CRM-систем

К нам пришел клиент, который уже пробовал внедрять CRM-систему, и принес наработки предыдущих интеграторов. У него была вроде бы работающая система, но никто ей не пользовался. В статье разберемся, почему так получается, и как делать так, чтобы такого не было.

Пример нотации согласовательного уровня Библиотека примеров BPMN
В даркнете выставили на продажу базу данных водителей Москвы и Московской области из 50 млн строк — «Ъ» Статьи редакции

В базе есть данные с 2006 по 2019 год, бонус при покупке — файл с информацией от 2020 года.

«Модульбанк» запустил льготные кредиты для продавцов на маркетплейсах

Предприниматели могут получить до 10 млн рублей.

Dylan Gillis
Исследование: сотрудники хотели бы иметь комнату отдыха, бесплатный сок, а работодатели уже готовы покупать ЗОЖ-снеки

Онлайн-сервис доставки продуктов и товаров СберМаркет и исследовательское агентство Research Me спросили сотрудников, как они хотели бы питаться в офисе и что в нем видеть. В опросе приняли участие более 1500 работающих людей по всей России. Сервис также спросил работодателей – В2В-клиентов СберМаркета: что они покупают в офис, что точно никогда…

Дизайн-джем #42: мифы и легенды о русалках, японские рассказы, космические приключения и азы точных наук

В красочном дайджесте, посвящённом детским книжным иллюстрациям, от Futura by red_mad_robot.

«Яндекс.Маркет»: в моем заказе вместо наушников оказалась бутылка из-под водки

Я давно хотела беспроводные наушники и наконец заказала себе Apple AirPods. Оформила заказ 15.10.2021 через Яндекс.Маркет в магазине Superbia.ru

Как не попасть в карьерную ловушку тимлида: личный опыт

Кажется, что тимлиду просто некуда расти: дальше надо либо идти в менеджмент, либо наоборот, становиться узконаправленным разработчиком. По просьбе «Лаборатории Касперского» Евгений Мацюк, который прошел в компании неординарный путь, рассказал о своих карьерных развилках во время и после тимлидства, а также поделился опытом горизонтального роста.

#20вопросов Ивану Юнину, директору проекта "Транспортные инновации Москвы"

Транспортная отрасль сегодня претерпевает колоссальные изменения, во многом благодаря инновациям. Стартапы с технологиями на базе AI для транспортной сферы востребованы как никогда. Согласно отчету Deloitte "Transporattion Trends 2020" глобальный рынок AI для транспортной отрасли к 2023 году может достигнуть 3,5 млрд долларов США.

Бизнес-филантропия и благотворительность. Почему это не затраты, а вложения? Рассказываем на примере CloudPayments

Социальная ответственность составляет важную часть ДНК компании CloudPayments. Делимся инсайтами, почему мы поддерживаем НКО, создаем благотворительные проекты и как транслируем принципы филантропии внутри команды.

Travers – поиск инструкторов по активным видам спорта

Мы сделали второе приложение, раскатили сервис на всю Россию и изменили бизнес-модель. Многое благодаря пользователям vc.ru!

null