Эксперты обнаружили в свободном доступе базу данных с информацией о клиентах «Госуслуг». В числе пострадавших почти 30 тыс. человек, однако «Ростелеком», на площадке которого и находился скомпрометированный сервер, отрицает факт утечки. Минкомсвязи инициировало проверку инцидента.
Очередная утечка в России
В свободном доступе в интернете оказалась информация десятков тысяч пользователей портала «Госуслуги». Персональные данные стали доступны всем желающим в результате утечки.
О проблеме, как пишет «Коммерсант», сообщил основатель российской компании DeviceLock, занимающейся вопросами информационной безопасности, Ашот Оганесян. Он отметил, что все утекшие данные можно было без труда скачать на одном из форумов, специализирующихся на распространении подобного рода информации.
Ашот Оганесян сказал, что база данных содержала сведения о 28 тыс. клиентов «Госуслуг», проживающих, предположительно, в Ханты-Мансийском автономном округе. В базе, оказавшейся в свободном доступе в результате ошибки в конфигурации Elasticsearch-сервера, на котором она располагалась, содержались ФИО клиентов, их ИНН, номера телефонов СНИЛС, адреса электронной почты и другая персональная информация, включая сведения о наличии детей. В дополнение к этому, по словам Оганесяна, в Сеть утекли еще и токены авторизации этих пользователей на портале, которые могли обеспечить третьим лицам несанкционированный доступ к личным кабинетам этих людей. На момент публикации материала информация о пригодности токенов для доступа к аккаунтам не была подтверждена.
Технические детали
Ашот Оганесян подчеркнул, что персональная информация почти 30 тыс. россиян находилась в свободном доступе продолжительное время. Он утверждает, что скомпрометированный сервер был проиндексирован поисковиком Shodan 3 декабря 2019 г.
Сам сервер находится на площадке «Ростелекома». Оганесян отметил, что попытки закрыть уязвимость начали предприниматься лишь 28 декабря 2019 г. На 30 декабря 2019 г. брешь была устранена, но в итоге доступ к персональным данным мог получить кто угодно в течение практически целого месяца.
Минкомсвязи России осведомлено о произошедшем. Представители ведомства подтвердили факт устранения уязвимости и добавили, что по факту возможной утечки персональных данных ведется проверка.
Кто виноват
На момент публикации материала виновные в утечке информации установлены не были. «Ростелеком», по информации РБК, отрицает сам факт утечки, утверждая, что не было выявлено никаких инцидентов, имеющих отношение к единой системе идентификации и аутентификации.
В компании отметили, что все системы «электронного правительства» работают в обычном режиме, и что персональные данные пользователей в безопасности. В то же время представители «Ростелекома» полагают, что инцидент мог иметь отношение к региональному приложению «Госуслуги Югры». Оно было разработано по заказу департамента информационных технологий и цифрового развития ХМАО, и в настоящее время оно работает отдельно от портала госуслуг. Отметим, что приложение «Госуслуги Югры» имеет определенное отношение к «Ростелекому»: оно размещается на технической инфраструктуре компании.
Не самая крупная утечка
В 2019 г. в России произошло значительное количество утечек персональных данных, и случай с «Госуслугами» – далеко не самый серьезный. К примеру, в начале октября 2019 г. Ашот Оганесян обнаружил в Сети данные о 60 млн клиентах Сбербанка.
База данных предлагалась всем желающим за определенную плату и содержала подробные персональные данные владельцев кредитных карт, включая ФИО, паспортные данные, а также всю информацию о кредитных картах клиента и операциях по ним, включая кредитный лимит и неиспользованный лимит. Данная утечка была признана крупнейшей в истории российского банковского сектора
В конце октября 2019 г. произошла еще одна утечка, и снова в Сбербанке. На этот раз архив состоял из 1 млн строк, по одной на каждого клиента, но в дополнение к базовой банковской информации он содержал еще и последние записи разговора клиентов с техподдержкой банка. Это означает, что Сбербанк допустил утечку биометрии, образцов голоса, своих пользователей. К слову, банк отрицал факт утечки, но подлинность части содержащейся в БД информации была подтверждена независимыми специалистами.
В середине октября 2019 г. CNews сообщал о том, что в течение нескольких месяцев в свободном доступе находились данные о кредитных историях россиян. Утекшая в интернет база данных предположительно принадлежала микрофинансовой организации «ГринМани» и содержала сведения, предоставленные бюро кредитных историй «Эквифакс» и «Объединенным кредитным бюро». Также утечке подверглись сведения об абонентах операторов «Мегафон» и МТС, что стало дополнением к глобальному распространению информации о клиентах «Билайна».
Утечка в «Билайне» произошла 7 октября 2019 г. В свободном доступе оказалась БД с адресами, телефонами и ФИО абонентов проводного интернета этого оператора. Были скомпрометированы персональные данные 2 млн россиян, и сотрудники редакции CNews подтвердили подлинность некоторых из них.