Половина баз данных в Рунете допускает неавторизованный доступ

И большая часть этих баз принадлежит e-commerce, финтех и другим стартап-проектам. Есть смысл проверить нет ли там и вас.

Половина баз данных в Рунете допускает неавторизованный доступ

Мы в компании DeviceLock занимаемся борьбой с утечками данных и в последнее время все чаще сталкиваемся с тем, что данные (включая персональные) попадают в открытый доступ не в результате взлома или выгрузки злоумышленниками, а буквально «валяются» на каждом шагу и чаще всего в виде неправильно сконфигурированных баз или API, доступ к которым открыт для всех подряд.

Мы даже сформировали небольшое подразделение, которое занимается исключительно поиском и анализом открытых баз данных, и вот что нам удалось найти с начала этого года. Мы обследовали более 2 тыс. серверов, использующих MongoDB, Elasticsearch и Yandex ClickHouse, 52% которых предоставляли возможность неавторизованного доступа, а 10% при этом содержали персональные данные или коммерческую информацию компаний. При этом 4% уже были до этого взломаны хакерами и содержали требования о выкупе скопированной информации.

Идентификация баз оказалась большой проблемой, но среди баз данных, владельцев которых нам удалось установить, оказались:

  • База клиентов финансового брокера «Финсервис» (finservice.pro) объемом 157 Гб, содержащая имена, адреса, контактные и паспортные данные, кредитные истории и информацию по выданным займам.
  • База сервиса автообзвона «Звонок» (zvonok.com) объемом 21 Гб, содержащая телефонные номера и записи звонков; данные московских станций скорой медицинской помощи объемом более 17 Гб, содержащие всю информацию по вызовам бригад скорой помощи, включая имена, адреса и телефоны пациентов.
  • База логов российского телемедицинского сервиса DOC+ объемом более 3 Гб, содержащая данные сотрудников и некоторых пользователей (включая диагнозы).
  • База данных информационной системы «Сетевой Город. Образование», содержащая персональные данные учеников и учителей школ Екатеринбурга, Ингушетии, Свердловской области и Якутии.
  • База данных программы Правительства Москвы “Московское долголетие” объемом 75 тыс. записей, содержащих персональные данные долголетие», а также адреса и GPS-координаты мест проведения занятий.
  • База данных по штрафам ГИБДД, используемая проектами оплатагибдд.рф, paygibdd.ru, gos-oplata.ru и штрафов.net, содержащая 500 тыс. записей персональных данных, номеров паспортов и автомашин, а для некоторых платежей первые и последние 4 цифры карт.

И кроме этого еще открытые данные сотен интернет-магазинов и различных информационных сайтов. До сих пор каждый день мы находим от одной до десятка новых открытых баз.

В чем причина такого количества проблем? На мой взгляд, главное - это низкая квалификация админов и отсутствие в компаниях хоть каких-то процедур аудита информационной безопасности. Я не говорю о пен-тестах, но хотя бы проверка баз, расположенных за пределами корпоративного периметра на свободный доступ, должна быть частью любого чек-листа. Однако этого не делается ни самими компаниями, ни их подрядчиками, разрабатывающими различные веб-проекты.

О найденных открытых базах мы сообщаем владельцам и часть из них довольно быстро реагирует, закрывая доступ. Однако немалая часть не отвечает или решает довольно долго, в результате есть немало случаев, когда уже после нашего оповещения хакеры находили эти сервера, копировали информацию и выставляли ее на продажу. Еще некоторая (хорошо, что не слишком большая) часть серверов принадлежит непонятно кому и даже непонятно поддерживается ли в настоящий момент. И с этим что-то нужно делать.

Сначала мы планировали предложить Роскомнадзору, в чью сферу входит надзор за соблюдением 152-ФЗ «О персональных данных», сделать хоть что-то полезное и выработать процедуру блокировки хотя бы брошенных баз, содержащих персональные данные. Например, через хостера можно направлять владельцу базы уведомление, а если через неделю база не будет закрыта, блокировать ее. Но похожая норма вошла в принятый закон о «Суверенном интернете» и может даже начнет когда-то применяться.

А пока советую всем админам проверить все свои базы на анонимный доступ и читать в телеграме наш канал «Утечки информации», чтобы, если мы найдем вашу базу, узнать об этом первыми.

33
14 комментариев

А сканирование и поиск баз с открытым доступом не является попыткой несанкционированного доступа, т.е. противозаконным деянием?

2

Горе-админ сам санкционировал R\W доступ к базе любому желающему, поленившись пару страниц документации к СУБД почитать, это халатность.

Рецепт "успеха" от маркетологов - громкий заголовок, непроверяемые статистические данные, куча балабольщины о том, какая у них классная фирма.

Можно переставать читать после фразы "мы в компании "ПетушарыЛок"..."

Специально сделаю неавторизованный доступ без прав на запись с таблицей "Кокпок ДивисЛок".

1

вижу "специалиста". создайте. атрибуцию правильную сделайте. потом поговорим. а пока типичное пустое балабольство от ничего не понимающего в вопросе технопетушка.

1

А откуда у вас инфа, что это половина всех баз? Где пруфы и методологии исследования?

Так же присоединяюсь к вопросу выше, мол, а не является ли это противозаконным деянием?
Где гарантии, что вы не слили все найденные данные налево?

оттуда? арифметика начальные классы, полезно было посещать школу - из общего кол-ва вычитаем Х закрытых баз и получаем Y открытых. как получить общее кол-во? изучайте вопрос, как базы находят...

Комментарий недоступен