Минцифра Татарстана: найден виновник утечки данных пользователей госуслуг


    В Министерстве цифрового развития госусправления, информационных технологий и связи Республики Татарстан (Минцифра Татарстана) рассказали агенству «Татар-информ», что инцидент с утечкой персональных данных c сервера региональных госуслуг Татарстана стал возможен из-за человеческой ошибки, которую допустили специалисты подрядной организации, обслуживающие информационную систему.

    «Не стоит забывать и о человеческом факторе. Человек остается важным элементом работы любой информационной системы. В подтверждение этому недавно произошедший инцидент с информационной системой "Госуслуги РТ". Специалисты подрядной организации, обслуживающие систему, допустили грубейшую ошибку», — заявил 27 января 2020 года на коллегии Минцифры Министр цифрового развития государственного управления, информационных технологий и связи Республики Татарстан Айрат Хайруллин.

    Представитель Минцифры не озвучил название подрядной организации, допустившей утечку данных, и не пояснил как именно проходила проверка в отношении разработчика портала.

    Ранее 29 декабря 2019 года была обнаружена утечка персональных данных пользователей с сервера региональных госуслуг 86 региона РФ (ХМАО), которая стала возможна из-за ошибочной настройки программного обеспечения одного из серверов портала. После анализа инцидента власти Югры признали факт утечки и заявили, что она произошла по вине субподрядчика ПАО «Ростелеком», к которому будут применены соответствующие санкции.

    21 января 2020 года стало известно, что базы данных с информацией о пользователях сайта uslugi.tatar.ru, включая номера СНИЛС, ИНН, номера телефонов, полные имена, хронологию действий пользователей на сайте госуслуг Республики Татарстан, попали в открытый доступ. Причем суммарный объем утекших данных составил около 457 ГБ. Утечка произошла из-за неправильно настроенной СУБД MongoDB, используемой разработчиками портала госуслуг Республики Татарстан (uslugi.tatar.ru).

    22 января 2020 года по информации издания «РБК Татарстан», по словам специалистов Минцифры Татарстана, в результате атаки на портал госуслуг (именно так они называли эту утечку данных) «в открытом доступе оказались не 500 ГБ информации, а в 30 раз меньше, то есть 15-16 ГБ».

    Комментарии 13

      +5
      в открытом доступе оказались не 500 ГБ информации, а в 30 раз меньше, то есть 15-16 ГБ

      Надо было не tgz, а 7z использовать. Было бы еще меньше.

        0
        ещё бы лучше написали что утёк только служебный файл .torrent на несколько килобайт, который не содержит персональных данных
          0
          magnet-ссылка
        0
        >Утечка произошла из-за неправильно настроенной СУБД MongoDB
        точнее, отсутствие настройки как таковой, т.к. по умолчанию доступ полностью открытый
        • НЛО прилетело и опубликовало эту надпись здесь
            0
            Специально нашли, чтоб уволить по статье?
          +1
          Благодаря привлечению подрядчиков теперь чиновники могут всегда сваливать вину на них. А то, что заказчик принимает работу подрядчика, и, соответственно, несет за нее ответственность, об этом как-то забывают. Вспоминают только когда приходят с проверкой к юр. лицу, чьи владельцы недостаточно рупокожатые граждане.
            0
            А чиновники должны разбираться в тонкостях настройки MongoDB?
              0
              Нет, у них должны быть специалисты (подрядчики либо свои), которые делают аудит безопасности, потому что они работают с персональными данными. Очевидно, никакого аудита не было. Человек, который принял работу без должной проверки, несет за нее полную ответственность. Так же понятно, что со стороны заказчика ставили свои подписи люди из их ИТ-отдела, у которых соответствующие знания должны быть.
                0
                Нет. Чиновники вообще даже не обязаны знать, что существуют отдельные аудиты безопасности. Они заказали сайт и наверняка в ТЗ указывалось, что осуществляется работа с персональными данными. Это дело подрядчика организовывать аудит, арендовать сервера, создавать сайт, организовывать бэкапы и авторизацию, патчить уязвимости и прочее — самим или через субподряды.
                  0
                  Собственно, возвращаемся к моему первоначальному тезису — благодаря подрядчикам никто из чиновников ответственности не несет, а значит можно даже не стараться защищать наши данные. Более того, если один подрядчик и разрабатывает продукт, и осуществляет его аудит, то это явный повод для подлога.
                    0
                    Это всё равно что если бы жильцы дома несли ответственность за то, что, скажем, балкон отвалился. Они же вселились и не обратились к независимым фирмам чтобы проверить состояние балкона!
                    Или если бы семья отравилась бы едой из магазина, то тот, кто эту еду купил (мама, например), несла бы ответственность за то, что не осуществила лабораторные анализы данной еды, а беспечно накормила мужа и детей.
                      0
                      Эм, нет, аналогия в корне неверная. Правильная выглядит так: это то же самое, если бы ЖЭК не нес ответственность за отвалившийся балкон, если обратился в подрядную организацию для его ремонта. Или магазин не нес бы ответственность за проданную просрочку, потому что поставщик привез уже просроченный товар и магазин не проверил маркировку. А по вашей аналогии за утечку персональных данных через торчащую наружу базу должны были бы отвечать пользователи ресурса, что, конечно, абсурд.

          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

          Самое читаемое