Доктор едет, едет

    В открытом доступе была обнаружена база данных MongoDB, не требующая аутентификации, в которой находилась информация московских станций скорой медицинской помощи (ССМП).



    К сожалению, это не единственная проблема: во-первых, на этот раз данные действительно утекли, а во-вторых – вся чувствительная информация хранилась на сервере, находящемся в Германии (хотелось бы поинтересоваться – не нарушает ли это никакой закон или ведомственные инструкции?).


    Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.


    Сервер с базой, которая называется «ssmp», располагается на площадке известного хостинг-провайдера Hetzner в Германии.



    По косвенным признакам удалось установить предполагаемого владельца сервера и базы – российская компания ООО «Компьютерные интеллектуальные системы».


    На странице c-i-systems.com/solutions/programs-smp/, компания нам сообщает:


    КИС СМП — программный продукт, предназначенный для автоматизации работы станций скорой (специализированной) медицинской помощи (СМП) в границах субъекта РФ и обеспечивает:
    • прием вызовов;
    • регистрацию и перенаправление вызовов;
    • формирование, мониторинг и управление выездными бригадами станций СМП;
    • массовое переподчинение бригад СМП при ликвидации чрезвычайных ситуаций;
    • работу единого центра обработки вызовов СМП;
    • обмен данными с внешними информационными системами.


    База имела размер 17.3 Гб и содержала:


    • дата/время вызова бригады скорой помощи
    • ФИО членов бригады скорой помощи (включая водителя)
    • госномер автомобиля бригады скорой помощи
    • статус автомобиля бригады скорой помощи (например, “ прибытие на вызов”)
    • адрес вызова
    • ФИО, дата рождения, пол пациента
    • описание состояния пациента (например, “температура >39, плохо снижается, взрослый”)
    • ФИО вызывавшего скорую помощь
    • контактный телефон
    • и многое другое…

    Данные в базе похожи на лог какой-то системы мониторинга/отслеживания процесса выполнения задачи. Интерес представляет поле «data» в таблице «assign_data_history».



    (Разумеется, на картинке выше я постарался скрыть все персональные данные.)

    Как было написано в самом начале — отсутствие аутентификации на этот раз не является единственной проблемой.


    Самое главное – данную базу первыми обнаружили украинские хакеры из группировки THack3forU, которые оставляют в найденных MongoDB разные послания и уничтожают информацию. На этот раз хлопцы отличились этим:


    "Hacked by THack3forU! Chanel.\nПутін хуйло,\nМєдвєдєв чмо,\nСтрєлков гамно ,\nРосія ДНО!"

    и конечно тем, что, скачав все 17 Гб, выложили их в формате CSV на файлхостинг Mega.nz. Про то, как обнаруживают открытые базы данных MongoDB – тут.


    Как только владелец базы был установлен, я отослал ему оповещение с предложением все-таки закрыть доступ к базе, хотя уже и было поздно – данные «ушли».


    Первый раз поисковик Shodan зафиксировал эту базу 28.06.2018, а доступ к ней был наконец закрыт 08.04.2019, где-то между 17:20 и 18:05 (МСК). С момента оповещения прошло чуть менее 6 часов.


    Новости про утечки информации и инсайдеров всегда можно найти на моем Telegram-канале «Утечки информации».

    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 62

      +1
      Как только владелец базы был установлен, я отослал ему оповещение с предложением все-таки закрыть доступ к базе

      Не совсем понял эту фразу. Вы нашли владельца аккаунта «меги» и написали ему?
        +3
        Владелец базы — ООО «Компьютерные интеллектуальные системы». На Mega базу отзеркалили украинские хакеры, которым она, очевидно, не принадлежит.
        0
        «владелец базы». нашелся владелец базы MongoDB и сервера.
          +6
          во-вторых – вся чувствительная информация хранилась на сервере, находящемся в Германии
          что изменилось бы, если бы она хранилась в открытом виде на сервере, находящемся в России? Данные всё равно утекли.
            +3
            Ну только с точки зрения того, что хранение вне страны — административное, а открытый доступ — уголовное правонарушение.
              +14

              Тут многочисленные нарушения закона.


              Во-первых, по закону о перс. данных, они должны храниться или обрабатываться в России. Во-вторых, медицинские данные — это данные особой чувствительности, и к их хранению предъявляются особые требования. Возьмите, к примеру, постановление Правительства 1119:


              5. Информационная система является информационной системой, обрабатывающей специальные категории персональных данных, если в ней обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных.

              11. Необходимость обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

              в) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

              13. Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
              а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
              б) обеспечение сохранности носителей персональных данных;
              в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
              г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

              14. Для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 13 настоящего документа, необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе.

              Плюс, есть заумная методика от ФСТЭК для определения угроз системе хранения ПД. Обработка ПД требует от оператора определения актуальных угроз, и методика дает вариант определения. Тут очевидно, что никто этим даже не занимался.


              Хотя тут есть нарушения закона, я особых иллюзий не питаю. Законы о персональных данных и регулировании интернета написаны для борьбы с политическими оппонентами, а не для защиты граждан. Простой пример: в рамках этих законов, скорее всего компания получит небольшой штраф. Плюс, РКН внесет адрес узла с MondoDB в список "заблокированных сайтов". Как будто это поможет защитить данные от распространения.


              Не знаю, я тут даже подходящей статьи КоАП найти не могу.


              Что мы можем сделать? Мы можем писать жалобы. Некоторые сервисы-файлообменники все же имеют Terms of Service, запрещающие выкладывание чужих перс. данных. Если вы нашли эту базу и она нарушает условия использования сайта, не поленитесь написать в обратную связь.


              С последним пунктом в послании от "хакеров" все же не согласен.

                +3
                Всё так. Но если база хранится в открытом виде, территориально находясь на территории РФ, то никакие постановления и заклинания не защитят её от слива. Так пусть хоть на Луне хранится, если надёжно защищена.
                  +5
                  Тут, скорее, желание, чтобы все были в равных условиях. А то «своих» не дрючат, а неугодных за то же самое (Твиттер) или меньшее (аналитика Google у Навального) прессуют.
                • НЛО прилетело и опубликовало эту надпись здесь
                    +5
                    <сарказм> Но если они в открытом доступе, то это легко проверяется.</сарказм>
                      0
                      Закон разрешает хранить и обрабатывать ПДн за рубежом только в пункте 5 статьи 18 152-ФЗ в виде исключений.
                      • НЛО прилетело и опубликовало эту надпись здесь
                      0
                      Во-первых, по закону о перс. данных, они должны храниться или обрабатываться в России

                      Копию можно (резервную копию, к примеру)
                      Мы ж не знаем копия то или оригинал
                      • НЛО прилетело и опубликовало эту надпись здесь
                          0
                          Что подадут или что удовлетворят?
                          • НЛО прилетело и опубликовало эту надпись здесь
                            0
                            но в России это больше похоже на фантастику.

                            Почему фантастика?

                            Вопрос только в том — а есть ли кому этим заняться.

                            В США — стране судебного сутяжничества — запросто можно этим на жизнь зарабатывать.

                            Я лично знаю одного юриста у нас, который коллективными исками к ЖКХ настолько достал коммунальные конторы, что они просто перестали оказывать услуги по подаче горячей воды. Это оказалось дешевле для ЖКХ, чем оказывать услуги и при этом выплачивать неустойки.

                            Требования закона у нас жесткие по температуре горячей воды, а старые тепловые сети не способны выдержать эти требования. Поэтому иски можно хоть каждый день подавать. Вот он их за каждый день и подавал. Договорившись в парой десятков бабушек.

                            Юрист — на этих исках себе заработал малоподержанный Land Cruiser.

                            Бабушки теперь живут без горячей воды.
                            • НЛО прилетело и опубликовало эту надпись здесь
                                0
                                  0
                                  Бабушкам хоть денег перепало, чтоб колонку поставить?


                                  Конечно, что-то там перепало. Окупилось или нет — не знаю.

                                  Но:

                                  Прочие жильцы, в исках не участвующие, точно ничего не получили. Но в конце концов и тем жильцам пришлось ставить личные водонагреватели.

                          0
                          del
                          • НЛО прилетело и опубликовало эту надпись здесь
                            • НЛО прилетело и опубликовало эту надпись здесь
                                –11
                                Вот интересно, почему везде изображения, а комментарий от «хакеров» вставлен текстом? Возможно, потому что оригинальный коммент выглядит вот так??
                                image
                                Я один вижу политические нотки со стороны автора?
                                  +15
                                  потому, что эту картинку вы взяли из совсем другого моего поста про этих Хакеров. И этот текст они оставили в совершенно другой базе.

                                  Я один вижу, что вы пытаетесь натянуть сову на глобус? ;)
                                    0
                                    Вот эта картинка из моего поста 4-го апреля t.me/dataleak/906

                                    И если вы посмотрите пост целиком, то там текстом приводится еще одно «послание» этих хакеров.

                                    Никакого заговора, просто так мне удобно писать/постить. Снимите шапочку из фольги ;)
                                      +1
                                      Вопросов нет, возможно ошибся. Но тем не менее, почему не вставить скриншот?
                                        +1
                                        давайте я поясню немного процесс — у меня десятки баз (информация об открытых базах имеется ввиду), про которые надо написать. вдруг всплывает что-то важное срочное, вне очереди. Я просто физически не успеваю делать много нужных вещей. ;) Поэтому делаю так, как быстрее и удобнее в данный момент времени.

                                        Какие-то скрины у меня сняты заранее и готовы, каких-то нет. Если нет и они не критичные мне проще скопировать текст…
                                    –2
                                    Принято. Советую установить менеджер скриншотов, автоматизируйте свою работу. Добра, удачи. :)
                                      0
                                      кстати да! спасибо за идею.

                                      может сразу порекомендуете что-то?
                                        0

                                        На шиндовс пользую greenshot. Чаще всего юзкейс "фрагмент экрана в буфер обмена или на dropbox/imgur", удобно.

                                          0
                                          +1 за гриншот
                                          choco upgrade -y greenshot

                                          для всех новых компов по умолчанию


                                          Shutter для Linux

                                          а вообще
                                          alternativeto.net/software/greenshot

                                          +2
                                          С 1809 в win10 можно включить программулину «набросок на фрагменте экрана». По принтскрину она сразу запускает выделение экрана, а после выделения — отправляет кусок в буфер обмена.
                                            0
                                            Встроенный в Windows инструмент «Ножницы», обрезаем, копируем в буфер и вставляем в imgur.
                                              0
                                              del
                                              +2
                                              ShareX, плюсом умеет делать видео в gif, гораздо удобнее чем рисовать кучу скринов со стрелочками.
                                                +1
                                                И он, кстати, позволяет делать кучу скриншотов со стрелочками, текстом, блюром и загрузить это все на почти любой сервак(около 20 видов).
                                                  0
                                                  спасибо. пошел смотреть его
                                                    0
                                                    в общем, ShareX оказался очень удобным. всем спасибо за идею ;)
                                                  0
                                                  Если под Linux, то Speсtacle. Умеет делать сриншот (окна, стола, выделенной области), затем размещать его в буфере обмена, файле или выгружать в imgur.
                                                +7
                                                Не советую связываться с этими хацкерами. Ребята реально суровые. Не только по IP-вычислят, но и семью взломают. По крайней мере так они мне пообещали при попытке взять у них интервью)))
                                                image
                                                  +4
                                                  прочитал Вашу статью про них на пикабу. классно, поржал. собственно я как первый раз их тексты по «монгам» стал видеть, сразу понял уровень. Они сначала только по старым младше 2.6 монгам пошли ибо есть готовый скрипт для этого.
                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                    0
                                                    Авторов MongoDB можно понять. Если бы они сделали авторизацию, то половина «разработчиков» не прошла бы квест уровня «hello world!» при попытке что-нибудь в базу сохранить/прочитать… :)
                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                        0

                                                        А в последних версиях Монги разве как раз не такая политика реализована?

                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                      0
                                                      Это скорее авторы Docker подложили такую свинью, по умолчанию отключая для контейнеров Firewall, и об этом в документации если и написано, то там, где не всякий увидит. С появлением Docker количество незакрытых сервисов резко возросло, потому что SOHO админ пользуется ufw и считает, что за закрытым файрволлом его контейнеры в безопасности. А в ufw докеровские приколы не отображаются.
                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                          0
                                                          Вот с чего вы это взяли? Или имелось ввиду «не слышал про iptables, редактирует не vi, и пишет скрипты не на С ?»
                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                          0
                                                          Простите, что такое SoHo админ?
                                                            0
                                                            Простите, что такое SoHo админ?

                                                            Эникей?
                                                            Правда, при чем тут ufw или iptables
                                                              0
                                                              В данном случае уместнее
                                                              приходящий


                                                              или отходящий
                                                              +1
                                                              Это у кого сетка из 20 машин, сервер с 20 униками в день, и два сетевых принтера. Это ситауции, когда домашние решения уже не тянут, а производительность энтерпрайза ещё далеко не нужна.
                                                              В не-it конторе это ещё значит, что человек сам и админ, и fullstack разработчик. Поэтому он не может знать всё и всё помнить.
                                                                0
                                                                Примерно так и подумал, просто первый раз столкнулся с термином SoHo относительно профессии.

                                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                        Самое читаемое