Обнаружена утечка персональных данных пользователей c сервера региональных госуслуг Татарстана

    Список баз данных на обнаруженном открытом сервере с СУБД MongoDB, содержащей данные портала uslugi.tatar.ru.

    Базы данных с информацией о пользователях сайта uslugi.tatar.ru, включая номера СНИЛС, ИНН, номера телефонов, полные имена, хронологию действий пользователей на сайте госуслуг Республики Татарстан, попали в открытый доступ. Точное число пользователей, которых затронула эта утечка, еще уточняется. Суммарный объем утекших данных составил около 457 ГБ.

    По информации от специалиста в области информационной безопасности Боба Дьяченко (Bob Diachenko), он обнаружил в сети неправильно настроенную СУБД MongoDB, используемую разработчиками портала госуслуг Республики Татарстан (uslugi.tatar.ru).

    18 января 2020 года Боб Дьяченко сообщил о своей находке Ашоту Оганесяну, основателю и техническому директору компании DeviceLock.

    Скриншот сообщения о находке Боба Дьяченко. Предоставлен для Хабра Ашотом Оганесяном.

    В компании DeviceLock проверили и подтвердили достоверность сведений об утечке. Далее представитель DeviceLock отправил оповещение об этом событии по электронной почте и через официальную страницу ВКонтакте в министерство цифрового развития госуправления, информационных технологий и связи Республики Татарстан.

    В понедельник 20 января 2020 года Ашот Оганесян получил ответ: «Большое спасибо!
    Примем неотложные меры!» Как оказалось, уже 19 января 2020 года сервер с ранее открытой MongoDB исчез из свободного доступа.

    Скриншот переписки с ЦИТ Татарстана. Предоставлен для Хабра Ашотом Оганесяном.

    Оганесян обнаружил интересный факт — найденный сервер, который оказался свободно доступным сразу по двум разным IP-адресам, не зафиксировала поисковая система Shodan. Однако, этот сервер был обнаружен другими системами — BinaryEdge и китайской ZoomEye.

    «Персональные данные, оказавшиеся в открытом доступе можно считать скомпрометированными поскольку, существует вероятность, что их могли скачать и выложить в Сеть, — рассказал Оганесян изданию Cnews.

    По факту зафиксированной утечки пользовательских данных в министерстве цифрового развития госуправления, информационных технологий и связи Республики Татарстан сейчас проходит дополнительная проверка, а расследованием инцидента занимается техническая комиссия…

    «18 декабря в 15:30 была зафиксирована попытка несанкционированного доступа к серверу разработчиков портала госуслуг Республики Татарстан. В результате попытки злоумышленники могли получить доступ к части данных портала госуслуг РТ. Специалисты Центра информационных технологий РТ оперативно провели ряд мероприятий, благодаря которым возможные пути несанкционированного доступа были заблокированы. По факту инцидента направлено заявление в управление ФСБ РФ по Республике Татарстан. Работа по выявлению возможных уязвимостей продолжается», — сообщили порталу D-Russia.ru представители ЦИТ Республики Татарстан.

    Ранее 29 декабря 2019 года была обнаружена утечка персональных данных пользователей с сервера региональных госуслуг 86 региона РФ (ХМАО), которая стала возможна из-за ошибочной настройки программного обеспечения одного из серверов портала.

    31 декабря 2019 власти Югры признали факт утечки, но заявили, что в утечку попали не персональные, а технические данных с прокси-сервера мобильного приложения «Госуслуги Югры». Оказалось, что данный инцидент произошел по вине субподрядчика ПАО «Ростелеком».
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 14

      +5
      Вся суть нацпроекта «Цифровая экономика».
        +1
        Вся суть интернета вообще. Причем тут конкретный нацпроект?
          0
          Виктор Степанович будет актуален вечно.
          image
        0

        Пол террабайта бд. MongoDB реально может держать такие объёмы? И репликации есть? И не тупит на таких данных? Правда интересно. Нигде не видел упоминания про такие объемы.

          –2

          Понятие "тупит" решаемо (Elasticsearch, MongoDB, GraphQL — разные прослойки и уровни абстракции, сказано же что тут микросервисы, значит, что они не были прикрыты от DDoS стандартными срествами, которые есть в AWS, Azure и Google Cloud, что говорит о низкой квалификации не только программистов но и DevOps, хотя если это российская разработка, то возможно не использвались отечественные средства защиты в виде Яндекса, к примеру), но вот квалификация ребят, получившихз теплое местчко у кормушки в Татарстане, вызывает сомнение. Жаль, что я не поехал в "Иннополис", потому что выявление уязвиамостей в API — мое хобби со времен работы в Deloitte USA. Достаточно иметь один уязвимый эндпоинт с доступом к БД, чтобы скомпромитировать всю базу целиком, все фреймворки и тулинг для анализа уязвимостей давно существует (и не один и не два, тут дело вкуса, я не буду называть источники, но их действительно много, онлайн или в виде дистрибутивов). Другими словами, кроме проверки на SQL-Injection, к примеру, еще требуется настрока IDS, IPS, виртуальных образов, их группировки и правил межсетевой маршрутизации (обычно девелоперы на инстансе крутят бд, и его апи, как прописано в Dockerfile, а следует размещать на одной ВМ инстансы апи, а на другой — инстансы БД, и т.д.)

            0
            для редких запросов, 780Gb на обычном 1 сервере — работает — выборка, вставка (insert)
              0
              Несколько терабайт работали в реплике.
              +4

              Ждем официального заявления властей о том, "что в утечку попали не персональные, а технические данные".

                0

                То есть они открыто называют Ашота и Боба злоумышленниками?

                  +1
                  31 декабря 2019 власти Югры признали факт утечки, но заявили, что в утечку попали не персональные, а технические данных с прокси-сервера мобильного приложения «Госуслуги Югры». Оказалось, что данный инцидент произошел по вине субподрядчика ПАО «Ростелеком».

                  Госуслуги Югры

                  каменты жгут

                  Депинформтехнологий Югры
                  20 января 2020 г.
                  Добрый день! Работа приложения будет восстановлена. К сожалению точные сроки пока не известны. Для получения услуг просим временно использовать основной портал Госуслуг www.gosuslugi.ru. Приносим извинения за доставленные неудобства! С уважением, Региональная служба поддержки Портала госуслуг support86@gosuslugi.ru

                  31 декабря 2019 г.

                  Приложение очень плохо работало! А в связи с последними новостями что наши персональные данные стали оказались в открытом доступе у меня вообще нет слов! Приложение полный отстой и ноль безопасности!!!

                  и судя по каментам пилится уже давно
                  20 января 2016 г.

                  Не работает
                    0
                    Кроме открытого наружу порта, нужны ведь еще как минимум креденшелы, чтобы получить доступ к данным?
                    • НЛО прилетело и опубликовало эту надпись здесь
                      0
                      Два инцидента. Две «неправильных настройки».
                      Интересно, те, кто отвечал за эту настройку, понесут наказание? И какое?
                      • НЛО прилетело и опубликовало эту надпись здесь

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                      Самое читаемое