Минкомсвязи начало проверку после сообщений об утечке данных 28 тысяч клиентов Госуслуг Материал редакции

О возможной утечке из-за неверной конфигурации одного из серверов рассказало издание «Коммерсантъ».

В закладки

Основатель сервиса DeviceLock Ашот Оганесян рассказал изданию «Коммерсантъ» об утечке персональных данных более 28 тысяч пользователей Госуслуг одного из российских регионов, предположительно Ханты-Мансийского автономного округа.

По его словам, информацию можно было скачать на одном из форумов, специализирующихся на утекших базах данных. Среди выложенных данных — ФИО, дата рождения, СНИЛС, ИНН, номер телефонов, электронная почта, информация о детях и другая персональная информация.

Оганесян проанализировал базу данных и выяснил, что она была получена из-за ошибки в конфигурации Elasticsearch-сервера, в результате которой сервер оказался в свободном доступе. Он был проиндексирован поисковиком Shodan 3-го декабря 2019 года — данные могли находиться в открытом доступе как минимум с этой даты, пишет «Ъ».

Также на сервере находились токены авторизации для доступа в личные кабинеты с мобильных устройств и другая информация.

Представители Минкомсвязи сообщили, что системы работают в штатном режиме, а уязвимость была закрыта. Министерство начало проверку возможного инцидента.

{ "author_name": "Евгений Делюкин", "author_type": "editor", "tags": ["\u0443\u0442\u0435\u0447\u043a\u0438\u0434\u0430\u043d\u043d\u044b\u0445","\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u0433\u043e\u0441\u0443\u0441\u043b\u0443\u0433\u0438"], "comments": 79, "likes": 26, "favorites": 12, "is_advertisement": false, "subsite_label": "services", "id": 99612, "is_wide": false, "is_ugc": false, "date": "Sun, 29 Dec 2019 18:23:58 +0300", "is_special": false }
Маркетинг
Как бизнесу заработать в соцсетях в 2020 году: полноценное руководство с прогнозами и примерами
Пошаговая рабочая стратегия продвижения бизнеса в соцсетях с медиапланом и примерами внедрения от директора «Студии…
Объявление на vc.ru
0
79 комментариев
Популярные
По порядку
Написать комментарий...
64

И они хотят, чтобы люди сдали биометрию 🤦‍♂️

Ответить
0

Я всё сдал. 

Но вот зачем - не знаю 

Ответить
29

Стыдно, батенька, публично в таком признаваться.

Ответить
2

Отзывай

Ответить
2

В сбере то как уговаривают сдать био типо сможете подтверждать голосом операции

Ответить
11

Я считаю эту возможность как потенциальную уязвимость

Ответить
2

Кучу народу разводят на том, что это - бесплатно. Лохи ведутся.

Ответить
1

Странно что на тебя не повесили еще кредитов где-то в хантымансийске

Ответить
1

главное не пользуйтесь тем же паролем, что и от чего то важного

Ответить
11

*Главное — не пользуйтесь одним и тем же паролем в двух разных местах.

Держите, я поправил.

Ответить
0

KeePass - и генерить правильные пароли, для каждого сайта свой

Ответить
1

Таки может групповой иск?

Ответить
43

Среди выложенных данных — ФИО, дата рождения, СНИЛС, ИНН, номер телефонов, электронная почта, информация о детях и другая персональная информация.

Когда клиенты твоего задрипанного интернет магазина защищены в 100тыщ раз лучше, чем самые чувствительные данные граждан Российской Федерации на таком серьёзном портале как "госуслуги".

Ответить
0

Просто нет компаний которые в россии качественно работают с ИТ. С госуслугами уже третий или четвертый раз провал. Может уже отдать октсорсеру какому?

Ответить
5

А где их взять? Нельзя же просто взять и отдать. Нужен тендер. Госзакупки. Это значит, что обойдётся в 5 раз дороже, а качество будет... Утечка данных покажется наименьшей из проблем

Ответить
5

Тендер гарантирует, что будет минимальная цена и говенное качество, как дороги.

Ответить
2

Как всегда это будет очередной распил бабла. Госулуги - это вещь, как ни крути, серьезная. Выделят под это дело очередной едрилион рублей.

Потом замутят тендер, который выиграют правильные конторы, едрилион уйдет им. Те наймут фрилансеров на оставшиеся 10 тыщ латать верстку и все останется также, только без едрилиона рублей.

Ответить
1

Даже минимальную цену ни разу не гарантирует :)

Ответить
0

В целом так и не ясно будет ли результат толком когда нибудь или нет ... Так можно кормить тендеропобедителей бесконечно.

Ответить
0

Развивать нужно, а не тендер делать.

Ответить
–1

Вы это предложили, не я ;)

Ответить
15

До последнего не хотел регистрироваться на гос.услугах. Понимаю, что в России, данные вообще не защищены и спокойно можно купить любую базу в том числе гос.услуг. Эх, погнался за скидкой на загран.паспорт

Ответить
6

Ну на самом деле у эластика с коробки нет авторизации, ее можно только за бабки прикрутить. А используют его очень многие, а платят за платную редакцию очень немногие, так шо по такой логике нигде не нужно регаться. Тут нет косяка государства, это чисто косяк какого-то админа, который зачем-то пробросил сервер с эластиком во внешнюю сеть. Да и если дальше шерудить, то например у стандартной поставки редиса из докера, тоже нет логина/пароля, через костыль надо прикручивать, монгу тоже можно спокойно с пустым паролем использовать.

Ответить
40

Это не наш косяк, это админ, и вообще он 2 недели назад уволился. всё в порядке.

Ответить
3

В ES вообще-то есть как минимум авторизация по логину паролю из коробки. Но уже не раз были подобные инциденты с не настроенной авторизацией, и в тоже время удивительно, что в гос. организациях в принципе во внешку открывают нестандартные 9200, 9300.

У Redis есть --requirepass, который отлично отрабатывает и в docker'e безо всяких костылей... надеюсь вы всеже не сис. админ гос. услуг...

Ответить
–1

Из коробки она триальная, то ли 30, то ли 45 дней по моему она была, дальше плати. Общепринятая авторизация, это через env когда задаешь, а не мутишь с параметрами запуска, либо ебешься с параметрами конфига очередного сервиса.

Ответить
2

Ничего триального там нет, более полу года в Swarm стоит ES без проблем.

И если для вас .env - это максимально допустимый комфортный предел при работе с Docker - то у меня для вас плохие новости.
Потратить минуту на Dockerfile со своими параметрами запуска (если часто развертываете - можно и образ в свой реестр запушить), либо docker-compose (если используете его), либо аргумент в docker run... и всего-лишь что-то из этого на выбор... ну такая себе ебля...

Ответить
0

Хех, я специально щас заглулил, там авторизация бесплатна стала совсем недавно, тебе просто повезло. Если загуглишь на эту тему, то найдешь тону постов на тему того как врубить  аутентификацию, или как его закрыть в сети. Плюс госуслуги старый сервис, а в еластике начиная с какой-то версии, было сильно переделано api и соответсвенно на новом сидеть не могут, иначе пришлось было сильно много рефачить.

Что касается настройки через env, то по аналогии с аджайл манифестом, есть принципы разработки по, в которых этот момент обозначен, и там же обозначены причины по которым так нужно делать, а не собирать и пушить 100500 сервис, из-за того разработчик не в состоянии довести свой продукт до ума.

Ответить
0

Во-первых: если даже отбросить бесплатную авторизацию из коробки - есть вполне рабочий универсальный метод реверс-прокси, которым любой компетентный системный администратор должен владеть (я даже не говорю про devops) - это в случае, если по ряду причин не удается построить изолированную сетевую инфраструктуру.

Во-вторых: пугают в принципе посты с вопросом о том, как закрыть сервис для внешки - таких вопросов быть не должно у сотрудников компаний, которые занимаются хранением и обработкой чувствительных данных пользователей, который тем более попадают под закон о хранении персональных данных - тут уже вопрос компетенций.
В-третьих: Очень хотелось бы увидеть документы с озвученными вами принципами и причинами разработки под Docker с обязательным указанием всех возможных параметров в .env

Ответить
0

Тут речь идет о web-app или SaaS к тому же тут явно сделан акцент на облако (Heroku?), что не одно и тоже с Docker.

Я и не отрицал, что если разворачивать на облаке, например том же Heroku какой-нибудь Laravel - то в env необходимые настройки можно (нужно) прописывать.
Но это далеко не тоже самое, что аргументы запуска приложения в контейнере, и  что если приложение всего лишь часть огромного стека в docker-compose с общим файлом окружения, и, например, при запуске придется каждый раз перебирать все возможные аргументы, проверять на существование, и клеить в параметры запуска... ну бред же, еще и docker-entrypoint загадится.
Не вижу проблемы запускать самому с нужным параметром исполняемый файл - это на раз-два. Другое дело, как например смена часового пояса в официальном образе MySQL в Docker... вот тут действительно придется потратить время, и матюгнутся в адрес тех, кто его собирал.

Ответить
0

О любом, проблемы везде схожи. В общем не парься, с опытом сам какому же придёшь. 

Ответить
0

Всё там есть и бесплатно

Ответить
0

Ну это ж все известные косяки, не больно диковинка.

Согласен что это недоработка эластика, но обвинять эластик - это то же самое что засмотреться в телефон, не нажав тормоз вьехать в передистоящее авто, а потом аинить в этом производителя авто. 

А что касается гос-во - конечно виновато оно - ибо за ошибки сотрудника отвечает работодатель. 

Ответить
3

Наших паспортных данных у кого только нет. Госуслуги не самое страшное.

Ответить
0

госуслуги их и так имеют, а с утечкой они могут оказаться совсем не у тех лиц

Ответить
2

Дорогой Василий!

Ваш загран. паспорт готов!
Заберите его в пятом окошке дарк веба! Ваше место в очереди - 16.

Ответить
0

Несмотря на регулярные утечки данных, массовых повешенных кредитов не появляется, потому что сами персональные данные ничего не стоят

Чтобы они реально нанесли вред, это должна быть тщательно спланированная операция, и утечка ей не нужна

Ответить
1

Да это понятно, что кредит будет взять не возможно. Семен, тут скорее вопрос в другом. Знаете, сколько донимают от клиники по супер лечению до forex. Вопрос больше в том, как воспользуются данными. 

Ответить
0

Такая же фигня, Дядя.

Ответить
–1

есть международные стандарты безопасности (XSS-type атаки, безопасные кукисы и пр.), а есть госуслуговские, ну или любого гос-сайта, где не все бабки идут на сайт...

Ответить
0

пруф, как доказать, что кукисы идут через http через независимый тест, не знаю, только кто в теме может проверить, остальное не проверял. Так, что хоть обминусуйтесь дырок меньше от этого не станет.

Ответить
–1

и то, что, кто-то не знает как с такими уязвимостями хакается сайт (включая недообразованных прогеров госуслуг) тоже не является доказательством, что все норм.

Ответить
0

Программисты тут не при делах. В нормальной конторе должен быть отдел или, как минимум, специалист по информационной безопасности и это как раз их работа. Другими словами, программист - это не швейцарский нож.

Ответить
9

Никогда такого не было, и вот опять! 

Ответить
6

Нужно ещё больше золота под закон Яровой. Не хватило на закрытие дыр.

Ответить
4

Так дыро прямо деньгами затыкают. Тут их много надо.

Ответить
2

а знаете на этом фоне закон о предустановке российского по выглядит еще круче

Ответить
0

Один раз мне нужно было заключить то ли договор, то от показать паспорт. Паспорта с собой не было. За минут 4-7 в интернете нашёл скан своего паспорта на каком то форуме. Миссию выполнил. Страшно? Конечно страшно. Россия. Бегите отсюда.

Ответить
5

Все через жопу)

Ответить
0

Ну кого ставят на руководящие должности, кто аналитики? Вот и результаты.

Ответить
5

закон Яровой специально приняли, чтоб персональные данные россиян утекали от гос.органов, а не от частных компаний

Ответить
3

Оганесян как обычно, вместо того, чтобы маякнуть кому следует, бежит в Коммерсант порекламить "специализированные форумы" и лично себя. 

Надо уже какую-то нормальную ответственность вводить и за слив инфы и за наводки и ввести какие-то оструевшие стандарты для сотрудников обслуживающих ПД

Ответить
–1

как обычно? т.е. Вы это пишите, т.к. знаете, так? или может просто так спизднули, не имея никакой информации и не зная ничего, что на самом деле произошло, когда это было обнаружено и кто был оповещен? Хм, какой вариант выбрать... ;)

Ответить
1

А это действительно Вы, не виртуал, как хамло трамвайное общаетесь? Ой, фейсбук привязан и статьи даже. Ашот, Вы вроде публичный человек, не мне Вас учить, но как то безопасность Вашего имиджа страдает сейчас. Там в статье ясно сказано "По факту возможного инцидента, изложенного в СМИ, начата проверка." Т.е. сначала СМИ, а уже дальше кто надо узнал. Помню по сливу Сбера тоже были вопросы, что Вы не туда понесли эту информацию, помню ещё Вы пререкались с Ашмановым и как-то у Вас позиции были слабоваты, как со стороны.

или может просто так спизднули

Как видите не просто так. Дорогой Ашот, знаю не точно, вообще не безопасник, но прямо сейчас Вы в глазах некоторых сторонних наблюдателей(меня), выглядите как инфоцыган по безопасности уровня Комсомолки.

Ответить
0

Молодца

Ответить
0

я тоже оценила сегодня эту новость))) 

"Работа работой, а стикеры там классные, ребят" (С) Жаров xD

Ответить
3

Это точно самый важный, федеральный, государственный электронный посредник между государством и его нанимателями, а не забегаловка «Шота у Ашота», у которой увели данные клиентов по программе лояльности «Чебуречек»?

Ответить
2

Ашот на этом рынке 20 лет, и очень известен в узких кругах.

Ответить
2

Бытовуха. Просрали открытым эласитик из коробки. 

Ответить
1

Ну надо же, вот это новость.

Вперед в цифровое будущее.

Ответить
0

А почему федеральный портал использует Elastic да еще и опенсурсный? Опять не могут сами сделать? Где замещение импорта?

Ответить
0

Потому что у нас федерация и в каждом регионе реализацией федеральных требований занимаются хз кто, с кем местные власти заключили договор. Конечно бывает по разному, иногда крупный интегратор продает решение всем регионам, а иногда интеграторы конкурируют между собой за региональные деньги.

Ответить
0

Ну тот что допустил Еластик в паблик это был крупный интегратор?

Ответить
0

"это был крупный интегратор?" - не знаю, с Госуслугами не сталкивался, но могу предположить речь идет об утечке данных не из Госуслуг вообще, а из конкретного ведомства по Ханты-Мансийскому округу. Госуслуги - это набор сервисов реализуемых в каждом министерстве и регионе отдельно. Т е какой то интегратор разработал-настроил для какого то из министерств ХМАО ПО для интеграции с Госуслугами, оттуда и утекло.

Ответить
0

Представители Минкомсвязи сообщили, что системы работают в штатном режиме, а уязвимость была закрыта. Министерство начало проверку возможного инцидента.

Кому и где сообщили?
Можно ссылочку на пруф???

Ответить
0

Это поэтому виси не работал все выходные ?)

Ответить
0

Вот прежде чем придумывать законы про автономный интернет, лучше бы продумали бы вопрос про слив этих самых данный в сеть, все что из гос. сервисов, все либо легко доступны, либо уже слиты все и вся.

Ответить
0

Вангую-как обычно, никто не виноват, это происки НАТО, Трампа и примкнувшего к ним Обамы

Ответить
0

прекрасноооо.... 

Ответить
0

Тестирование суверенного интернета прошло блестяще. 

Ответить
0

Грустно, но спасибо, что осветили!

Ответить

Прямой эфир