Опять сотни тысяч платежей граждан в ГИБДД и ФССП находились в открытом доступе

    Помните я писал на Хабре и у себя в Telegram-канале, как в открытом доступе оказались подробности платежей в пользу ГИБДД и ФССП пользователей сайтов оплатагибдд.рф, paygibdd.ru, gos-oplata.ru, штрафов.net и oplata-fssp.ru?



    Только не надо смеяться, это вовсе не шутка — тот же самый сервер с данными той же самой системы снова оказался открытым для всего мира.


    Ну что, поехали разбираться…


    Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

    Для начала немного напомню хронологию событий:


    • 12.04.2019 (ночью) был обнаружен сервер Elasticsearch, не требующий аутентификации для подключения.
    • 13.04.2019 (утром) было отправлено оповещение владельцам сервера.
    • 13.04.2019 (днем) сервер «тихо» был убран из открытого доступа.

    На момент первого закрытия сервера, индексы Elasticsearch выглядели так:



    И вот 21.05.2019 около 16:00 (МСК) тот же самый сервер Elasticsearch, с теми же самыми (плюс новые) индексами снова появляется в открытом доступе:



    Я не поверил своим глазам, когда увидел (сразу после выступления на PHDays на тему обнаружения открытых баз) в почте нотификацию от нашей DeviceLock Data Breach Intelligence. Если честно, то первая мысль была, что это какой-то глюк системы.


    Однако, нет это был не глюк и перепроверив все вручную, в 01:25 уже 22.05.2019 я снова отправил оповещение по тем же самым адресам, что и в первый раз.


    С момента первого закрытия, данный сервер сканировался Shodan’ом 11 раз и вплоть до 21-го мая Elasticsearch на нем был прикрыт.


    Только 24.05.2019 утром этот Elasticsearch исчез из открытого доступа второй раз. За это время индексы солидно подросли:



    А если посмотреть на данные (только значимая информация, содержащая персональные данные граждан) в индексах за промежуток с 1-го по 22-е мая, то картина такая:


    • 127,525 записей в индексе paygibdd
    • 49,627 записей в индексе shtrafov-net
    • 162,282 записей в индексе oplata-fssp
    • 220,201 записей в индексе gosoplata

    Пример данных из индекса gosoplata:



    Пример данных из индекса paygibdd:



    Ну а вишенкой на торте стало письмо с одного из адресов, на которые я отправлял оповещения:


    Получили Ваше письмо про открытый ElasticSearch — спасибо за информацию, базу данных закрыли. Системный администратор, повторно открывший доступ, уволен. Также юрслужба готовит к направлению в МВД по Республике Татарстан Заявление о признаках наличия в действиях системного администратора состава по 272 и 273 статьям УК РФ.

    Новости про утечки информации и инсайдеров всегда можно найти на моем Telegram-канале «Утечки информации»: https://t.me/dataleak.

    Поделиться публикацией

    Комментарии 47

      +18
      о признаках наличия в действиях системного администратора

      Сомневаюсь, что этот админ враг своему здоровью или полный кретин. Мне кажется, что все проще: он просто занимается не своим делом, т.е. не хватает образования…
        +12
        Главное, что начальство не пострадало. А на это место еще найдут.
          0
          И даже HR не уволят, которая принимала этого работника.
            +1
            если бы сотрудники HR знали бы нюансы настройки Elasticsearch, firewall и серверов, то они бы не работали в HR.
              +2
              HR в государственной компании занимается заполнением табеля. Они не могут (и не должны) оценивать технический уровень специалиста. Это должен делать непосредственный начальник админа или его коллеги. К постановке процессов в ИТ отделе ФССП республики Татарстан также есть вопросы.
            0
            Если нет образования — посадят того, кто его взял на работу
              +13
              Думаю речь шла об образовании в плане знаний, а не диплома.
              Или нагрузили кучей бестолковых задач, в спешке пропустил. Не везде ж сидят крутые devops'ы, кто-то может параллельно и картриджи менять, в россии это обычное дело.
                0
                К огромному сожалению, такой важный продукт, такая важная база данных, а как часто у нас бывает — сделано все на коленке. С другой стороны, хочется надеяться, что такие утечки и широкое оповещение их постепенно увеличат внимание со стороны создателей таких и продуктов и контролирующих органов. Подождем.
              +21

              Насяльнике сказаль сервак апгрейд, файрвол не сказаль.

                +15
                Думаю проще.
                — Блин, почему поиск из дома не работает?
                — Доступ закрыт, ну типа безопасность
                — Мы сами безопасность, открывай давай
                — Нууу… done
                  0
                  Насяльника нога ходил заказчика, говорил на файрвол денег надо добавить а то работа совсем пилахой получится. Заказчика сильно ругался, сказал что денег больше не даст, а даст меньше, и вообще чтобы в следующий раз мы в тендеры по 44-фз не совались, ибо дорого дофига.
                  0
                  За такой залет должны кого-то посадить. Посадить менеджера, который никак не организовал работу с чувствительной информацией нельзя.
                  +3

                  Почему-то сейчас открытый наружу Elasticsearch — довольно распространённый случай. Недавно писали о такой же проблеме у Радарио и у кого-то ещё.

                    +4
                    Потому что запускают в докере, и настраивают firewall неправильно. В комментариях к прошлой статье обсуждали это. habr.com/en/post/452698/#comment_20195436
                    Те проблема не в еластике, и не в докере, а банальный RTFM.

                      +1
                      Почему-то с тем же postgresql таких проблем нет, тот просто не дает с дефолтными настройками логиниться по сети без пароля. И дефолтных паролей нет (вроде «changeme» у ElasticSearch), надо задавать явно. Т.е. если захочешь ногу себе отстрелить, то надо ещё постараться.
                        +4
                        Почему-то


                        Наверное, авторам postgresql почему-то не захотелось делать конфигурацию своего продукта по умолчанию открытой.
                          +2

                          https://github.com/docker-library/postgres/blob/cf9b6cdd64f8a81b1abf9e487886f47e4971abe2/11/docker-entrypoint.sh#L85


                          Вот же, если пароль не указан, то сделать host all all all trust :)

                            +2
                            А, докер, ну там все такое «security is annoying and not our problem», по нескольку раз перепроверять надо.
                            +2
                            «Эти ваши авторизации, пароли, pg_hba и прочее слишком сложна! Хотим проста и быстра! И чтобы обязательно доскер образ был!»
                            –1

                            Может быть проблема в том, что безопасность в бесплатный эластик не завезли, пока Амазон не вынудил?

                            +2

                            И монга наружу тоже торчит постоянно часто. Таки лыжи не едут или?

                              +1
                              У монги до какой-то версии в конфиге по умолчанию открыто всё для всех без каких-либо вопросов.
                            0
                            Иногда это диктуется инфраструктурой. Например, GrayLog не может одновременно использовать авторизацию через X-Pack и автообнаружение нод ElasticSearch. В такие моменты надо вспоминать про фаервол, но это не у всех получается.
                              0

                              Потому что поднимая сервис на открытом для доступа из вне сервере нужно хоть немного задумываться, но "опыт сын ошибок..." и "нам нужна молодёжь на работе, которая мыслит открыто и по новому"

                              +5
                              Что за бред, какие 272 и какие 273, ни 1 вменяемый следак не станет шить эти статьи в этом случае, при всём желании дело развалится за неимением состава преступления, даже если админ напишет явку с повинной, а адвокат за 60-70 тысяч ещё и моральный ущерб взыщет.

                              В 293 я бы больше поверил, но он не должностное лицо. Может быть 168, но опять же тут нет ущерба имуществу, сервера не сгорели.

                              Юрслужба там видимо с такой же кометенцией как администратор.
                                +9
                                А что если я скажу, что мне писали так же вот такое? ;)

                                Ашот, а каково ваше экспертное мнение по поводу сервиса shodan.io? Не считаете ли Вы, что получение имен индексов это уже неправомерный доступ к информации? Если да, то это нарушение законодательства, причём в массовом порядке. Может нам стоит обратиться в РКН по этому поводу?
                                  +1
                                  «Вот это поворот» — можно подумать, но увы, вполне реально что дело повернут против shodan.io (
                                    +1
                                    Кстати, если его качественно заблокируют — он не сможет вести поиск по РФ.
                                    UPD: Т.к. это платный поисковик — это всё похоже на пиар ход.
                                      +1
                                      Пиар шодана, гос-оплаты или обоих?
                                        +1
                                        Очевидно, что я штатный пиарщик Elasticsearch ;) А госоплата наш клиент и свою порцию пеара получают бесплатно…
                                          –1
                                          Пиар шодана и компании DeviceLock, директором которой является автор статьи. Сейчас по любой утечке — статья на Хабр.
                                            +2
                                            DeviceLock да, конечно. Шодан-то с чего? Когда в гуле дорки это пиар Гугла? Что-то кругом один пеар, как страшно жить?
                                    0
                                    Вы будто не знаете, в какой стране живёте. Вернее, в какой стране живёт админ :)
                                    +2
                                    Уважаемый хакер, а вышлите свои контактные данные для получения заслуженной награды… :)
                                      0

                                      Хорошая попытка, товарищ майор, но нет :-b

                                        0
                                        Биткоинами отсылайте.
                                        0
                                        Добрый день.
                                        Я недавно наткнулся на один «государственный» сервис для оплаты коммунальных платежей без комиссии. Мне кажется с Вашим опытом получиться написать еще одну не плохую статью.
                                          0
                                          присылайте инфу ;)
                                            –1
                                            Государственная информационная система
                                            жилищно-коммунального хозяйства. ГИС ЖКХ.
                                              0
                                              напишите в директ, что там с ним не так.
                                          0
                                          Ну не отказываться же от штрафов
                                            0
                                            У меня оплата штрафов и пошлин через госуслуги чуть меньше года тупо не работает. Так что там в консерватории проблемы.
                                            +1
                                            Немцы решили проблему просто. У них некая служба сканирует сеть и в случае обнаружения дыр уведомляет владельца ресурса. Приходилось получать уведомление об открытом memcached на этапе настройки. Вот отличный пример государственного подхода, когда чиновники озабочены служением интересам государства. Чем озабочен Роскомпозор-неизвестно. Не хватает ума самим-тах хотя бы украдите идею и сделайте аналогично.
                                              0
                                              очень интересно, а есть какие-то подробности — что за сервис, как называется?

                                              просто открытых монг и эластиков в Германии как известной субстанции за баней ;)
                                                +1
                                                German Federal Office for Information Security (BSI).
                                                Сервер у Hetzner, иногда они присылают abuse с примерно таким текстом.
                                                We have received a security alert from the German Federal Office for Information Security (BSI).
                                                Please see the original report included below for details.

                                                Please investigate and solve the reported issue.
                                                It is not required that you reply to either us or the BSI.
                                                If the issue has been fixed successfully, you should not receive any further notifications.

                                                А дальше уже идет само письмо от BSI, в котором указаны IP-адреса, дата сканирования, найденные открытые порты и т.п.

                                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                            Самое читаемое