Московский городской суд опубликовал приговор, включая подробности проведения кибератаки, по делу хакера, взломавшего IT-системы медицинской лаборатории «Гемотест» и выложившего в открытом доступе персональные данные клиентов и результаты их анализов.
По информации телеграм-канала «Утечки информации», признанный судом виновным по этому делу хакер может быть причастным к другим известным взломам и публикации данных с ПД клиентов других компаний.
Согласно приговору суда, хакер получил доступ к данным компании с помощью скомпрометированной учётной записи gms-admin@gemotest.ru, специально созданных PHP-скриптов (1650553341626171fd617886.05693802.php, db-informations.php, php-informations.php), веб-шелла p0wny-shell, а также через форму загрузки видео (в файловом формате) на веб-сервисе «Корпоративное ТВ» (corptv.gemotest.ru). Используемые хакером PHP-скрипты «обладали функциональными возможностями, предназначенными для осуществления неправомерного доступа к компьютерной информации, а также её последующего копирования».
В период времени с 21 апреля 2022 года по 03 мая 2022 года, более точное время следствием не установлено, он (Алекперов Ф.М.) и неустановленные лица, находясь по адресу: адрес, а также иных неустановленных местах, имея несанкционированный доступ к сетевой инфраструктуре ООО «Лаборатория Гемотест», посредством неустановленной электронно-вычислительной техники, используя ранее загруженный на сервер «сл-корптв-01» («sl-corptv-01»), принадлежащий ООО «Лаборатория Гемотест», PHP-скрипт «db-informations.php», осознавая общественную опасность своих действий, предвидя наступление последствий в виде копирования информации, путем направления к нему запросов «GET /upload» осуществили выгрузку информации, находящейся в базах данных «ОрдерсФромКЭШ» («OrdersFromCACHE») и «МИС» («MIS»), расположенных на сервере «св-скай-кл» («sw-sky-cl») ООО «Лаборатория Гемотест».
Согласно заключению эксперта No 001/23 от 15 мая 2023 года установлено, что в период времени с 21 апреля 2022 года по 03 мая 2022 года установлен ряд запросов к PHP-скрипту «db-informations.php», в параметрах которых содержатся в том числе такие данные как имя пользователя, наименование базы данных и таблицы в ней. Выделив все запросы со статусом «200» (успешное исполнение запроса) и извлекая из текстов успешных запросов названия баз данных и таблиц, экспертом установлено, что обращения от имени пользователя «итр-корптв» («itr-corptv») осуществлялась к двум базам данных «ОрдерсФромКЭШ» («OrdersFromCACHE») и «МИС» («MIS»). В соответствии с данными, содержащимися в лог-файлах доступа, информация по запросам к базам данных была отправлена на IP-адрес: 10.132.132.132, который может являться адресом сетевого оборудования в локальной сети, обеспечивающего связь веб-сервера, развернутого на виртуальной машине, с глобальной сетью «Интернет».
Приговор Кузьминского районного суда по этому делу.
3 мая 2022 года по информации сервиса поиска утечек и мониторинга даркнета DLBI, утекла база данных клиентов медицинской лаборатории «Гемотест». Данные клиентов лаборатории продавали на нескольких теневых форумах. В утечке более 30 млн строк с персональными данными и 554 млн строк заказов с данными: ФИО, год рождения, дата и состав заказа. Согласно заявлению продавца, в базе данных миллионы строк со столбцами, содержащими ПД: ФИО, дата рождения, домашний адрес, номер телефона, электронная почта, данные паспорта. В утечке представлены данные о клиентах разных регионов РФ, включая Москву и МО.
Эксперты DLBI уточнили, что данная база уже появлялась ранее в закрытом доступе у очень ограниченного числа лиц. По их информации, утечка произошла из-за обнаруженной хакерами уязвимости в работе IT-системы лаборатории. Анализ тестового образца данных показал, что продаваемая сейчас база была выгружена из информационной системы лаборатории не раньше 22 апреля 2022 года. По их мнению, из-за бага в работе информационной системы «Гемотеста» все франчайзинговые партнёры медкомпании имели доступ ко всей базе, включая персональные данные и медицинские данные. Кто-то из сотрудников или даже несколько решили скачать скопом эту информацию и продать на теневом рынке.
4 мая «Гемотест» начал расследование инцидента с возможной утечкой базы данных клиентов, а Роскомнадзор обратился по поводу этой утечки в прокуратуру.
18 мая «Гемотест» подтвердила взлом базы данных, который произошёл по факту 22 апреля. В компании заверили клиентов, что утечка не такая большая, как пишут в интернете.
25 июля Мировой суд Москвы оштрафовал на 60 тыс. рублей компанию «Гемотест» за утечку 300 ГБ данных с персональной информацией миллионов клиентов. Компания получила по делу №05-0564/287/2022 административное наказание по ч. 1 ст. 13.11 КоАП РФ, по которому штраф может быть от 60 до 100 тыс. рублей.
Согласно постановлению суда, Роскомнадзор выявил утечку в размере 300 ГБ с персональными данными клиентов «Гемотеста». По мнению ведомства, инцидент произошёл из-за того, что доступ к учётной записи сотрудника компании был скомпрометирован злоумышленниками, которые потом смогли выгрузить и скопировать на сторонние ресурсы большой объём данных без ограничений со стороны системы информационной безопасности медицинской компании.
На суде представители «Гемотеста» признали факт хакерской атаки. Они уточнили, что выгрузка из базы данных компании происходила небольшими фрагментами, не превышающими 3 ГБ. Защита «Гемотеста» пояснила, что компания не признала вину за этот инцидент и «просила прекратить дело ввиду отсутствия состава правонарушения».
