0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Данные пользователей портала Госуслуг «утекли» в Сеть

Содержание

На «Госуслугах» масштабная утечка. Скомпрометированы данные десятков тысяч россиян

Эксперты обнаружили в свободном доступе базу данных с информацией о клиентах «Госуслуг». В числе пострадавших почти 30 тыс. человек, однако «Ростелеком», на площадке которого и находился скомпрометированный сервер, отрицает факт утечки. Минкомсвязи инициировало проверку инцидента.

Очередная утечка в России

В свободном доступе в интернете оказалась информация десятков тысяч пользователей портала «Госуслуги». Персональные данные стали доступны всем желающим в результате утечки.

О проблеме, как пишет «Коммерсант», сообщил основатель российской компании DeviceLock, занимающейся вопросами информационной безопасности, Ашот Оганесян. Он отметил, что все утекшие данные можно было без труда скачать на одном из форумов, специализирующихся на распространении подобного рода информации.

Ашот Оганесян сказал, что база данных содержала сведения о 28 тыс. клиентов «Госуслуг», проживающих, предположительно, в Ханты-Мансийском автономном округе. В базе, оказавшейся в свободном доступе в результате ошибки в конфигурации Elasticsearch-сервера, на котором она располагалась, содержались ФИО клиентов, их ИНН, номера телефонов СНИЛС, адреса электронной почты и другая персональная информация, включая сведения о наличии детей. В дополнение к этому, по словам Оганесяна, в Сеть утекли еще и токены авторизации этих пользователей на портале, которые могли обеспечить третьим лицам несанкционированный доступ к личным кабинетам этих людей. На момент публикации материала информация о пригодности токенов для доступа к аккаунтам не была подтверждена.

Технические детали

Ашот Оганесян подчеркнул, что персональная информация почти 30 тыс. россиян находилась в свободном доступе продолжительное время. Он утверждает, что скомпрометированный сервер был проиндексирован поисковиком Shodan 3 декабря 2019 г.

Сам сервер находится на площадке «Ростелекома». Оганесян отметил, что попытки закрыть уязвимость начали предприниматься лишь 28 декабря 2019 г. На 30 декабря 2019 г. брешь была устранена, но в итоге доступ к персональным данным мог получить кто угодно в течение практически целого месяца.

Минкомсвязи России осведомлено о произошедшем. Представители ведомства подтвердили факт устранения уязвимости и добавили, что по факту возможной утечки персональных данных ведется проверка.

Кто виноват

На момент публикации материала виновные в утечке информации установлены не были. «Ростелеком», по информации РБК, отрицает сам факт утечки, утверждая, что не было выявлено никаких инцидентов, имеющих отношение к единой системе идентификации и аутентификации.

В компании отметили, что все системы «электронного правительства» работают в обычном режиме, и что персональные данные пользователей в безопасности. В то же время представители «Ростелекома» полагают, что инцидент мог иметь отношение к региональному приложению «Госуслуги Югры». Оно было разработано по заказу департамента информационных технологий и цифрового развития ХМАО, и в настоящее время оно работает отдельно от портала госуслуг. Отметим, что приложение «Госуслуги Югры» имеет определенное отношение к «Ростелекому»: оно размещается на технической инфраструктуре компании.

Не самая крупная утечка

В 2019 г. в России произошло значительное количество утечек персональных данных, и случай с «Госуслугами» – далеко не самый серьезный. К примеру, в начале октября 2019 г. Ашот Оганесян обнаружил в Сети данные о 60 млн клиентах Сбербанка.

База данных предлагалась всем желающим за определенную плату и содержала подробные персональные данные владельцев кредитных карт, включая ФИО, паспортные данные, а также всю информацию о кредитных картах клиента и операциях по ним, включая кредитный лимит и неиспользованный лимит. Данная утечка была признана крупнейшей в истории российского банковского сектора

В конце октября 2019 г. произошла еще одна утечка, и снова в Сбербанке. На этот раз архив состоял из 1 млн строк, по одной на каждого клиента, но в дополнение к базовой банковской информации он содержал еще и последние записи разговора клиентов с техподдержкой банка. Это означает, что Сбербанк допустил утечку биометрии, образцов голоса, своих пользователей. К слову, банк отрицал факт утечки, но подлинность части содержащейся в БД информации была подтверждена независимыми специалистами.

В середине октября 2019 г. CNews сообщал о том, что в течение нескольких месяцев в свободном доступе находились данные о кредитных историях россиян. Утекшая в интернет база данных предположительно принадлежала микрофинансовой организации «ГринМани» и содержала сведения, предоставленные бюро кредитных историй «Эквифакс» и «Объединенным кредитным бюро». Также утечке подверглись сведения об абонентах операторов «Мегафон» и МТС, что стало дополнением к глобальному распространению информации о клиентах «Билайна».

Утечка в «Билайне» произошла 7 октября 2019 г. В свободном доступе оказалась БД с адресами, телефонами и ФИО абонентов проводного интернета этого оператора. Были скомпрометированы персональные данные 2 млн россиян, и сотрудники редакции CNews подтвердили подлинность некоторых из них.

Данные пользователей Госуслуг утекли в сеть

И снова наши с вами данные оказались в руках неизвестных. На этот раз благодаря сервису Госуслуг. Вот так работают наши законы о персональных данных, вот так нас защищают.

Вот и как после такого сдавать свои биометрические данные, когда о безопасности никто даже не думает.

В публичном доступе выложили персональные данные пользователей Госуслуг одного из российских регионов. Утечка произошла из-за ошибочной настройки программного обеспечения одного из серверов портала, в результате чего данные оказались доступными для свободного скачивания.

В отличие от тех данных, что успели скачать и выложить в свободный доступ, на сервере есть и другие, имеющие существенное значение, например, токены авторизации для доступа в личные кабинеты с мобильных устройств.

— Хаим, я слышал вы выиграли миллион в лотерею! Это правда?

Читать еще:  Домашний ПК или мини-WAP-сервер…

— Что значит не совсем?

— Ну во-первых не миллион, а тысячу. Во-вторых, не в лотерею, а в карты. И в третьих, не выиграл, а проиграл.

Вы убили соседа Васю, или сосед из 17 квартиры. Хотя какая разница, это ведь не меняет сути поста, что дядю Васю убили.

Банки такие банки.

Понадобилось открыть ИП. Как только мои данные попали в налоговую, сразу начались звонки от банков (персональные данные? не, не слышал). Все предлагают открыть счет именно у них. На просьбу отправить условия на почту большинство отвечает «там очень длинно, давайте мы вам голосом расскажем». Ну да, конечно, голосом-то я все цифры отлично запомню. Пара человек посоветовали поискать документацию самому, на сайте банка.

Звонить начинают с девяти утра, ведь информацию о том, что будильник у меня стоит на десять я в налоговую не предоставлял.

Один из банков позвонил трижды с разницей в полчаса. Поругался чуть-чуть, больше не звонят.

Банк, через который я для простоты оформлял всё в налоговой позвонил и тоже не смог прислать тарифы. А потом подключил меня на самый простой тариф автоматически, так как я поставил такую галочку где-то на старте, когда документы передавал. Зачем звонили.

Начал отвечать, что счет открыт, но если очень хотите — пришлите мне информацию о тарифах, я подумаю. Один банк прислал в телеграмм скриншот кратких условий. Второй — уточнил, в каком я городе, чтобы прислать правильную информацию, после чего скинул смской ссылку на сайт, где нужно выбрать свой город.

Не понимаю, как они вообще так работают.

На Госуслуги выведена форма для жалоб врачей об отсутствии выплат

Москва, 16 мая 2020 года. – На Едином портале госуслуг врачи и медработники, работающие с инфицированными новой коронавирусной инфекцией, могут оставить жалобы на отсутствие стимулирующих выплат. Предусмотреть раздел для обращений медиков поручил Председатель Правительства РФ Михаил Мишустин на совещании с членами Правительства РФ 15 мая 2020 года.

«Создать на портале госуслуг специальный раздел для обращения медиков, чтобы они могли напрямую рассказать о возникающих проблемах и получить помощь в их решении», – распорядился он.

Необходимо контролировать каждый конкретный случай, средства в положенном объеме должны дойти до каждого человека, кто работает с больными, зараженными коронавирусом, и людьми из группы риска, отметил Михаил Мишустин.

Средства на обеспечение выплат стимулирующего характера медицинским и иным работникам, непосредственно участвующим в оказании медицинской помощи гражданам, у которых выявлена новая коронавирусная инфекция, были выделены бюджетам субъектов РФ в соответствии с Постановлением Правительства РФ от 12.04.2020 № 484.

На сайте госуслуг создан специальный раздел для оформления единовременной выплаты на детей в 10 тысяч рублей

Минкомсвязь России сообщает, что по адресу posobie16.gosuslugi.ru россияне могут подать заявку на оформление единовременной выплаты в размере 10 тыс. рублей на детей в возрасте от трёх до 16 лет. То есть все семьи с детьми, которые родились в период с 11.05.2004 по 30.06.2017 года.

Обратиться за назначением единовременной выплаты можно до 1 октября 2020 года.

Лучшее в информационной безопасности

НЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ:

1. НЕ ПОЛЬЗОВАТЕЛИ

3. НЕ ПЛАТЕЖНЫЕ ДАННЫЕ

— О да, улучшение безопасности — следующий шаг в наших планах.

Лучшее в информационной безопасности заключается в том, что чем дольше вы откладываете вопросы, связанные с ней, тем меньше вам вообще нужно ими заниматься.

Латте Бюрократиано

Дырявый Сапсан

Уже был пересказ новости с хабра, как один пассажир обнаружил дыру в безопасности, подключившись к Wi-Fi в поезде.

Недавно история получила продолжение.

В поезде, для доступа к Wi-Fi, надо указать номер места, вагона и последние 4 цифры паспорта.

Собственно, данные паспорта должны где-то храниться, а если они хранятся в локальной сети, то может быть к ним есть доступ не только у системы авторизации.

Немного покопавшись, пассажир получил полный доступ к важным контейнерам на сервере, в том числе и базе данных.

Достаточно иметь ноутбук, а при должном умении, хватит и смартфона, установить популярные средства для администрирования сети. И спокойно подключиться к внутренней сети РЖД, скачать данные пассажиров, ставить майнеры, а то и вовсе, стереть содержимое.

Ну вот, дыры есть, пароли простые и одинаковые (это то же самое, что их отсутствие). Казалось бы, очевидно, нормально настроить докер и службы, чтобы каждый школьник не заходил в ssh под рутом.

Но нет, это ведь РДЖ. Тут все не как у людей.

Они взялись «расследовать» это дело.

По итогу расследования выяснили, что Сапсан взломать обычный человек не способен. Следовательно, взломавший — злоумышленник. К тому же, обладающий специальными техническими средствами.

А с системой все в порядке, ибо «Что есть защищенная система? Защищенная система — это та система, взлом которой стоит дороже, чем ценность информации, которая там есть. Вот и все», — подытожил директор по информационным технологиям ОАО «РЖД»».

Из этого можно сделать вывод, что защищать персональные данные пассажиров дороже, чем нормально настроить порты.

Ну и ладно, потереть данные на сервере это не такая уж и трагедия, поезд от этого не остановится. К тому-же персональные данные давно уже все слили, их можно почти легально купить оптом или в розницу.

Главный посыл не в этом, а в том, что многие критически важные детали держатся на каких-нибудь племянниках троюродного брата жены директоров ИТ, с которых нет никакого спроса.

А если какой-нибудь здравомыслящий человек делает комментарии, то его пытаются напугать или говорят, что все и так прекрасно работает. В случае коллапса — наклеивают новые обои с нарисованными окнами и выставляют террористами, попавших под руку.

Технологии развиваются и расширяются, а процент чиновников, которые в них не разбираются, не падает. Скоро дело дойдет до того, что пара человек смогут парализовать всю страну, подключившись к дырявой инфраструктуре.

В интернет — по паспорту. Гладко было на бумаге, да забыли про овраги.

Чем дальше, тем абсурднее. Госдуме и Совете Федерации всерьёз предложили обсудить идею входа в интернет по паспорту

Автор идеи — президент Ассоциации предпринимателей по развитию бизнес-патриотизма «Аванти» Рахман Янсуков. Мотивация: «персонификация каждого юзера, с целью предотвращения неправомерных действий, а также ограждение несовершеннолетних от негативного влияния» — по сути размытая, неконкретная, шаблонная аргументация.

Оставим сейчас в стороне главный вопрос: для чего это нужно и кому это выгодно. Вспомним вот о чём.

Читать еще:  Как сделать измеритель светового потока за 87 рублей

Инициаторы этого типично вахтёрского безумия думают однобоко. Нужно быть не совсем в здравом уме, чтобы не понимать, что ввод паспортных данных при входе в интернет означает повальный слив персональных данных граждан в сеть. Которым с огромной радостью будут пользоваться в своих целях мошенники разных мастей. Эта инициатива не только не оградит, но наоборот — усилит негативное влияние интернет-криминала на добропорядочных граждан.

Впрочем, инициаторам этой глупой затеи всё это божья роса, на сограждан им наплевать. Про то, что добропорядочный юзер вполне рутинно вычисляется по IP-адресу, они, видимо, забыли. Ну а жулик будет всё это спокойно обходить по VPN, и легко воровать данные паспортов. К своему вящему удовольствию. К какому масштабному обману населения это приведёт, просто неописуемо. Остаётся только молиться, что всё же восторжествует здравый смысл, и в ГД и СФ отклонят опасную идею.

ESim в России: ФСБ дало разрешение продавать виртуальные симки виртуальному оператору

Виртуальная сим-карта будет работать в сетях нескольких операторов

ФСБ выдало разрешение на продажу услуг связи с использованием eSim виртуальному оператору связи. Также эта компания получила возможность идентифицировать абонентов по электронной подписи через госуслуги. При этом оператор должен подключить и СОРМ — сделать это необходимо до конца IV квартала этого года.

Регистрация eSim будет проводиться через специализированное приложение Easy4. Оно интегрировано с «Госуслугами», в настоящее время проводится тестирование работы системы. Если у абонента есть личный кабинет в государственном сервисе, он сможет проводить операции с виртуальной симкой при помощи электронной подписи.

Если же ее нет, то можно зарегистрироваться через приложение EasyID, когда программа сканирует лицо человека, паспорт, потом нужно будет расписаться на экране, после чего eSim активируется. Доступ в приложение полностью бесплатный, зайти можно из любой страны мира.

Оператор собирается заключать соглашение с операторами РФ, чтобы получить возможность принимать сигнал от отечественных компаний. На данный момент уже заключен договор с Tele2, в сетях этого оператора Easy4 работает без проблем.

Кроме того, виртуальный оператор договорился с «Мегафоном» и МТС о сотрудничестве в национальном роуминге. Так, компания получает возможность пользоваться услугами связи в сетях операторов-партнеров на ограниченных территориях в случае чрезвычайных происшествий. Сама компания сейчас не комментирует, с какими операторами она сотрудничает.

Сейчас у «Мегафона» работают единые условия на предоставление услуг национального роуминга для операторов мобильной связи в РФ. В том числе, эти условия действуют для виртуальных операторов. Условия начинают работать после того, как абонент виртуального оператора попадает в регион, где нет покрытия базовой сети.

По мнению экспертов, возможность переключаться между операторами — не слишком большое преимущество перед «большой четверкой» операторов. Дело в том, что в большинстве населенных пунктов России хорошая связь, у абонентов крайне редко возникает потребность поменять сеть. Сейчас в РФ зарегистрировано около 250 млн сим-карт, причем около 10 млн из них принадлежат виртуальным операторам.

Представитель Tele2 заявила о том, что внедрение eSIM дает возможность значительно улучшить обслуживание клиентов в России. По этой причине технология начала тестироваться еще в апреле 2019 года. В настоящее время подключение виртуальной карты доступно для абонентов Tele2 в Москве и Санкт-Петербурге, но для этого нужно личное присутствие абонента в салоне связи.

Easy4 дает возможность использовать eSim в Европе и странах Америки, что позволяет клиентам оператора экономить на связи — ведь роуминг не нужен. За границей работает специальный тарифный план. Для его активации требуется наличие денег на счету и указать страну посещения. Приложение после этого само рассчитает примерные затраты пользователя.

В начале этого года ФСБ выступило против внедрения технологии eSim. Представители ведомства заявили, что перед тем, как запустить реализацию этой технологии, ее возможности следует тщательно изучить. Кроме того, ФСБ планировало изучить возможность применения отечественного шифрования в виртуальных сим-картах. Виртуальный оператор получил разрешение на распространение eSim, скорее всего, потому, что все серверы компании с персональными данными абонентов и соответствующим программным обеспечением находятся в РФ.

В сентябре этого года оператор Tele2 получил разрешение распространять eSim, но только на бумажном носителе после проверки паспортных данных клиента. И это не полноценный проект, а лишь эксперимент, в котором могут принять участие 15 000 человек. От получения пластиковой симки процедура оформления виртуальной карты ничем не отличается. Единственное — вместо пластика предоставляется распечатка с QR-кодом.

Изначально эксперимент запустили в пяти московских салонах с планом расширить ещё на 83 салона в Москве и Московской области. Сейчас сроки проведения акции не называются. Известно, что услуга доступна в шести московских салонах. В идеальной ситуации для оформления eSim посещать салон оператора необязательно. У пользователя есть возможность скачать приложение или же отсканировать QR-код, предоставленный оператором.

Встроенные сим-карты поддерживаются в последних моделях iPhone, Google Pixel, iPad и других планшетах, умных часах Samsung и Apple. В мире около 85 операторов из 43 стран поддерживают эту технологию.

Власти РФ сейчас работают над составлением нормативной базы, которая позволит активнее распространять eSim. По предварительным данным, база будет готова до конца года, то есть в 2020 году абоненты из РФ смогут свободно пользоваться виртуальными картами.

Эксперты считают, что eSim полностью отвечает интересам абонентов, эта технология стимулирует развитие конкуренции. Она даст возможность быстрее развивать цифровую экономику в стране, включая разворачивание услуги связи пятого поколения 5G. К примеру, подключать к скоростным сетям станки, транспортные средства, датчики и все прочее гораздо проще через eSim.

Данные пользователей портала Госуслуг «утекли» в Сеть

Стало известно о том, что неизвестные разместили в сети Интернет персональные данные пользователей портала Госуслуг одного из регионов России. Сообщается о том, что утечка произошла из-за неправильной настройки ПО одного из серверов ресурса. Отмечается, что уязвимость была устранена, но степень угрозы остаётся неясной.

Обнаружить персональные данные пользователей портала Госуслуг в открытом доступе удалось специалистам компании DeviceLock, которая работает в сфере информационной безопасности. Об этом сообщил основатель компании Ашот Оганесян, добавив, что на одном из специализированных форумов была выявлена БД с данными 28 000 пользователей портала Госуслуг. Отмечается, что структура данных неоднообразна, но среди них есть, например, ФИО пользователей, их даты рождения, номер СНИЛС и ИНН, контактные номера телефонов, адреса электронных почтовых ящиков и др.

«В процессе мониторинга теневых форумов, где распространяются базы данных, был выявлен тестовый пример дампа сервера с логами доступа, к предположительно сервису Госуслуг для Ханты-Мансийского автономного округа. В ходе анализа тестового экземпляра было установлено, что он получен из открытого индекса Elasticsearch-сервера, оставленного в свободном доступе из-за ошибки конфигурирования», — сказал господин Оганесян, комментируя данную ситуацию.

Читать еще:  Transistor — маленькая жемчужина

В сообщении отмечается, что упомянутый сервер расположен на площадке «Ростелеком». Он был проиндексирован поисковиком Shodan 3 декабря. Это говорит о том, что данные пользователей могли находиться в открытом доступе как минимум с этого времени. В сообщении отмечается, что помимо скачанных злоумышленниками данных на сервере имелась и другая важная информация, в том числе токены авторизации для доступа в пользовательские ЛК с мобильных устройств. Однако достоверно неизвестно, могли ли эти данные использоваться для получения доступа к ЛК реальных пользователей портала.

UPD: Ростелеком, оператор портала госуслуг, сообщил о том, что утечек выявлено не было. Говорится, что инцидент может быть связан с локальным приложением «Госуслуги Югры», которое функционирует автономно от портала. Минкомсвязи проводит проверку по факту возможной утечки.

В сеть слили данные 28 тысяч аккаунтов с портала Госуслуг. Ростелеком всё отрицает

Неизвестные выложили в открытый доступ данные 28 тысяч пользователей Госуслуг.

Основатель DeviceLock Ашот Оганесян утверждает, что соответствующая дыра в безопасности действовала с начала декабря. Закрыли её только сегодня пару часов назад. За все это время скачать информацию мог любой желающий.

В процессе мониторинга теневых форумов, где распространяют базы данных, был выявлен тестовый пример дампа сервера с логами доступа, к предположительно сервису Госуслуг для Ханты-Мансийского автономного округа.

В ходе анализа тестового экземпляра, было установлено, что он получен из открытого индекса Elasticsearch-сервера, оставленного в свободном доступе из-за ошибки конфигурирования.

Причём среди слитой информации не только персональные данные (адреса, фамилии, имена и так далее), но и токены авторизации для доступа в личные кабинеты с мобильных устройств. [Коммерсантъ]

UPD 20.29: Ростелеком, на серверах которого размещена база пользователей Госуслуг, опровергает эту информацию:

Пресс-служба ПАО «Ростелеком» не подтверждает сообщения СМИ и сообщает, что инцидентов, связанных с утечкой персональных данных пользователей единого портала госуслуг и единой системы идентификации и аутентификации, не выявлено. Все подсистемы инфраструктуры электронного правительства функционируют в штатном режиме, данные пользователей надежно защищены.

(4.50 из 5, оценили: 12)

Данные пользователей Госуслуг Ханты-Мансийского автономного округа утекли в сеть

Об инциденте сообщил основатель DeviceLock Ашот Оганесян. Архив с данными 28 тысяч пользователей доступен для скачивания на одном из специализированных форумов. Об этом со ссылкой на специалиста пишет «Коммерсантъ».

Указывается, что в базе данных есть ФИО, дата рождения, СНИЛС и ИНН, номер телефона, электронная почта, информация о детях и другая персональная информация граждан.

Обнаружить утечку удалось во время мониторинга теневых форумов, где публикуются подобные материалы. Специалисты зафиксировали тестовый пример дампа сервера с логами доступа к сервису Госуслуг. Предположительно, пострадали данные пользователей Ханты-Мансийского автономного округа.

По словам Ашота Оганесяна, сервер, расположенный на площадке «Ростелекома», мог предоставлять доступ к данным как минимум с 3 декабря. Именно в этот день он был проиндексирован поисковиком Shodan.

Помимо персональных данных граждан на сервере есть и токены авторизации для доступа в личные кабинеты с мобильных устройств. Произошла ли и их утечка, пока не известно.

«Дыра» была закрыта лишь сегодня. Официальных комментариев «Ростелекома», Минкомсвязи и Роскомнадзора пока нет.

СЕТЕВОЕ ИЗДАНИЕ RADIOKP.RU ЗАРЕГИСТРИРОВАНО РОСКОМНАДЗОРОМ, СВИДЕТЕЛЬСТВО ЭЛ № ФС 77 — 76389 ОТ 26.07.2019 ГОДА.
УЧРЕДИТЕЛЬ И РЕДАКЦИЯ АО «ИЗДАТЕЛЬСКИЙ ДОМ «КОМСОМОЛЬСКАЯ ПРАВДА». ГЕНЕРАЛЬНЫЙ ДИРЕКТОР: СУНГОРКИН ВЛАДИМИР НИКОЛАЕВИЧ.
ИЗДАТЕЛЬ: ГЕМСТ ВЛАДИСЛАВ АЛЕКСАНДРОВИЧ. ШЕФ РЕДАКТОР МОРОЗОВА СВЕТЛАНА ВАДИМОВНА

RADIOKPWEB@KP.RU ТЕЛЕФОН РЕДАКЦИИ: 7 (495) 665-75-28 127287, Г. МОСКВА, ПЕТРОВСКО-РАЗУМОВСКИЙ СТАРЫЙ ПРОЕЗД, Д. 1/23, СТР.1

ИСКЛЮЧИТЕЛЬНЫЕ ПРАВА НА МАТЕРИАЛЫ, РАЗМЕЩЕННЫЕ В СЕТЕВОМ ИЗДАНИИ RADIOKP.RU (WWW.RADIOKP.RU), В СООТВЕТСТВИИ С ЗАКОНОДАТЕЛЬСТВОМ РОССИЙСКОЙ ФЕДЕРАЦИИ ОБ ОХРАНЕ РЕЗУЛЬТАТОВ ИНТЕЛЛЕКТУАЛЬНОЙ ДЕЯТЕЛЬНОСТИ ПРИНАДЛЕЖАТ АО «ИЗДАТЕЛЬСКИЙ ДОМ «КОМСОМОЛЬСКАЯ ПРАВДА» ©, И НЕ ПОДЛЕЖАТ ИСПОЛЬЗОВАНИЮ ДРУГИМИ ЛИЦАМИ В КАКОЙ БЫ ТО НИ БЫЛО ФОРМЕ БЕЗ ПИСЬМЕННОГО РАЗРЕШЕНИЯ ПРАВООБЛАДАТЕЛЯ.
ПРИОБРЕТЕНИЕ ПРАВ: ‎ 7 (495) 970-19-51 (KP@KP.RU)

СООБЩЕНИЯ И КОММЕНТАРИИ ЧИТАТЕЛЕЙ СЕТЕВОГО ИЗДАНИЯ РАЗМЕЩАЮТСЯ БЕЗ ПРЕДВАРИТЕЛЬНОГО РЕДАКТИРОВАНИЯ. РЕДАКЦИЯ ОСТАВЛЯЕТ ЗА СОБОЙ ПРАВО УДАЛИТЬ ИХ С САЙТА ИЛИ ОТРЕДАКТИРОВАТЬ, ЕСЛИ УКАЗАННЫЕ СООБЩЕНИЯ И КОММЕНТАРИИ ЯВЛЯЮТСЯ ЗЛОУПОТРЕБЛЕНИЕМ СВОБОДОЙ МАССОВОЙ ИНФОРМАЦИИ ИЛИ НАРУШЕНИЕМ ИНЫХ ТРЕБОВАНИЙ ЗАКОНА.
ВОЗРАСТНАЯ КАТЕГОРИЯ 16

Пользователи госуслуг утекли в сеть

В публичном доступе неизвестные выложили персональные данные пользователей госуслуг одного из российских регионов. Утечка произошла из-за ошибочной настройки программного обеспечения одного из серверов портала, в результате чего данные оказались доступными для свободного скачивания. Позднее в Минкомсвязи сообщили, что в настоящий момент системы работают в штатном режиме. По факту возможного инцидента, изложенного в СМИ, начата проверка.

О том, что персональные данные пользователей портала госулуг оказались выложены в свободном доступе, сообщил основатель DeviceLock Ашот Оганесян. Данные можно скачать на одном из форумов, специализирующихся на утекших базах данных (“Ъ” не приводит его название из соображения безопасности пострадавших граждан). Автор поста выложил файл с данными более 28 тысяч пользователей.

Структура этих данных разнится, но среди них, например, есть ФИО, дата рождения, СНИЛС и ИНН, номер телефона, электронная почта, информация о детях и другая.

«В процессе мониторинга теневых форумов, где распространяют базы данных, был выявлен тестовый пример дампа сервера с логами доступа, к предположительно сервису госуслуг для Ханты-Мансийского автономного округа,— пояснил “Ъ” господин Оганесян.— В ходе анализа тестового экземпляра, было установлено, что он получен из открытого индекса Elasticsearch-сервера, оставленного в свободном доступе из-за ошибки конфигурирования».

Этот сервер, по словам Ашота Оганесяна, расположенный на площадке Ростелеком, был проиндексирован поисковиком Shodan 3-го декабря 2019 года, что указывает на то, что данные могли находиться в открытом доступе как минимум с этой даты.

В отличие от тех данных, что успели скачать и выложить в свободный доступ, на сервере есть и другие, имеющие существенное значение, например, токены авторизации для доступа в личные кабинеты с мобильных устройств.
Пока достоверно не известно, можно ли с помощью этих токенов получить доступ в личные кабинеты пользователей. По информации “Ъ”, утечку пытаются закрыть со вчерашнего дня. “Ъ” обратился за официальными комментариями в «Ростелеком», Минкомсвязи и Роскомнадзор.

Обновлено: по состоянию на 15:30 уязвимость закрыта. В Минкомсвязи сообщили, что в настоящий момент системы работают в штатном режиме. По факту возможного инцидента, изложенного в СМИ, начата проверка.

Ссылка на основную публикацию
Статьи c упоминанием слов:

Adblock
detector