Крупный китайский онлайн магазин Gearbest оставил в открытом доступе базы данных Elasticsearch с миллионами записей, содержащих персональные данные покупателей, информацию о заказах и данные платежей. 🔥🔥🔥
Всего было найдено три базы:
✅ База данных заказов – содержит купленные товары, адреса доставки, адреса электронной почты, имена, IP-адреса, платежную информацию.
✅ База данных платежных документов – содержит номера заказов, типы платежей, платежную информацию, имена, IP-адреса.
✅ База данных покупателей – содержит имена, даты рождения, адреса, телефонные номера, адреса электронной почты, IP-адреса, паспорта, пароли.
Суммарно во всех трех базах обнаружено более 1.5 млн. записей. Более того, база «живая», т.е. она постоянно обновляется и туда добавляются новые записи. 🤦🏻♂️🤦♂️🙈
Про то, как исследователи обнаруживают открытые базы данных Elasticsearch и MongoDB читайте тут: https://www.devicelock.com/ru/blog/obnaruzhenie-otkrytyh-baz-dannyh-mongodb-i-elasticsearch.html
Всего было найдено три базы:
✅ База данных заказов – содержит купленные товары, адреса доставки, адреса электронной почты, имена, IP-адреса, платежную информацию.
✅ База данных платежных документов – содержит номера заказов, типы платежей, платежную информацию, имена, IP-адреса.
✅ База данных покупателей – содержит имена, даты рождения, адреса, телефонные номера, адреса электронной почты, IP-адреса, паспорта, пароли.
Суммарно во всех трех базах обнаружено более 1.5 млн. записей. Более того, база «живая», т.е. она постоянно обновляется и туда добавляются новые записи. 🤦🏻♂️🤦♂️🙈
Про то, как исследователи обнаруживают открытые базы данных Elasticsearch и MongoDB читайте тут: https://www.devicelock.com/ru/blog/obnaruzhenie-otkrytyh-baz-dannyh-mongodb-i-elasticsearch.html
Киберпротект
Защита от утечки конфиденциальных данных - DLP-система Кибер Протего.
DLP-система Кибер Протего предотвращает утечку конфиденциальной информации, контролирует передачу данных и позволяет обнаруживать нарушения политики их хранения.
Американская компания Ennis-Flint, производитель краски, материалов и оборудования для нанесения дорожной разметки, пытается через суд запретить использование своей коммерческой информации бывшим директором по исследованиям.
Уволившись из Ennis-Flint, бывший директор по R&D Robert Greer, устроился на работу в компанию GP Innovations. По заявлениям Ennis-Flint, бывший сотрудник прихватил с собой формулы, спецификации, подробную информацию о материалах и прочую документацию, составляющую коммерческую тайну Ennis-Flint.
По соглашению с компанией, во время работы на Ennis-Flint, Robert Greer не должен был подключать персональные устройства хранения информации (USB-флешки и т.п.) к своему служебному ноутбуку. Однако, в ходе следствия, выяснилось, что Greer скачал к себе на флешку около 4,000 документов с формулами и позже сохранил часть из них на своем личном ноутбуке и закачал в облачный сервис.
Криминалисты также смогли доказать, что Greer пытался сокрыть улики путем систематического удаления файлов с облачного хранилища и запуска специальных утилит уничтожения данных на ноутбуке.
В феврале 2019 года суд Северной Каролины вынес предварительное заключение по этому делу и запретил бывшему сотруднику хранить и использовать информацию Ennis-Flint.
Доподлинно не известно, какие технические средства используются в Ennis-Flint для контроля перемещения данных и используются ли таковые вообще, но задача предотвращения записи данных ограниченного доступа на внешние носители информации легко решается современными средствами – такими, как DeviceLock DLP (https://www.devicelock.com/ru/products/). Причем решается в полном объёме (с анализом содержимого в реальном времени в момент записи) уже лет десять минимум. 👍
Уволившись из Ennis-Flint, бывший директор по R&D Robert Greer, устроился на работу в компанию GP Innovations. По заявлениям Ennis-Flint, бывший сотрудник прихватил с собой формулы, спецификации, подробную информацию о материалах и прочую документацию, составляющую коммерческую тайну Ennis-Flint.
По соглашению с компанией, во время работы на Ennis-Flint, Robert Greer не должен был подключать персональные устройства хранения информации (USB-флешки и т.п.) к своему служебному ноутбуку. Однако, в ходе следствия, выяснилось, что Greer скачал к себе на флешку около 4,000 документов с формулами и позже сохранил часть из них на своем личном ноутбуке и закачал в облачный сервис.
Криминалисты также смогли доказать, что Greer пытался сокрыть улики путем систематического удаления файлов с облачного хранилища и запуска специальных утилит уничтожения данных на ноутбуке.
В феврале 2019 года суд Северной Каролины вынес предварительное заключение по этому делу и запретил бывшему сотруднику хранить и использовать информацию Ennis-Flint.
Доподлинно не известно, какие технические средства используются в Ennis-Flint для контроля перемещения данных и используются ли таковые вообще, но задача предотвращения записи данных ограниченного доступа на внешние носители информации легко решается современными средствами – такими, как DeviceLock DLP (https://www.devicelock.com/ru/products/). Причем решается в полном объёме (с анализом содержимого в реальном времени в момент записи) уже лет десять минимум. 👍
Киберпротект
Защита от утечки конфиденциальных данных - DLP-система Кибер Протего.
DLP-система Кибер Протего предотвращает утечку конфиденциальной информации, контролирует передачу данных и позволяет обнаруживать нарушения политики их хранения.
Начальник отделения агентурно-оперативной работы полиции Перми и замначальника отдела по разработке программного обеспечения ГУ МВД России по Пермскому краю продавали персональные данные жителей. 🔥
Про двух этих полицейских стало известно во время расследования УФСБ по Пермскому краю в отношении трех пермяков, которые за 15 тыс. рублей в месяц предоставляли информацию о жителях Прикамья. На этом они заработали более 18 миллионов рублей.
В отношении всех участников преступной группы было возбуждено уголовное дело по статье «Неправомерный доступ к охраняемой информации» (ст. 272 УК РФ). Материалы уголовного дела переданы из ФСБ в краевой СУ СКР по Пермскому краю.
Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html
Про двух этих полицейских стало известно во время расследования УФСБ по Пермскому краю в отношении трех пермяков, которые за 15 тыс. рублей в месяц предоставляли информацию о жителях Прикамья. На этом они заработали более 18 миллионов рублей.
В отношении всех участников преступной группы было возбуждено уголовное дело по статье «Неправомерный доступ к охраняемой информации» (ст. 272 УК РФ). Материалы уголовного дела переданы из ФСБ в краевой СУ СКР по Пермскому краю.
Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html
Киберпротект
Защита от утечки конфиденциальных данных - DLP-система Кибер Протего.
DLP-система Кибер Протего предотвращает утечку конфиденциальной информации, контролирует передачу данных и позволяет обнаруживать нарушения политики их хранения.
Очередная утечка из неправильно сконфигурированной базы данных Elasticsearch. На этот раз был обнаружен кластер Elasticsearch на американском сервере Amazon (AWS) размером 4.7 Гб, с 257,287 юридическими документами.
Точную принадлежность базы установить пока не удалось. Возможные владельцы данных — это американская компания Lex Machina (подразделение компании LexisNexis, занимающейся разработкой аналитического ПО для юристов) и индийская компания LexSphere (оказывает услуги юридического аутсорсинга американской LexVisio).
После уведомления всех возможных владельцев, база пропала из открытого доступа, но ни одна из компаний не ответила на уведомление и не признала владение базой.
Все судебные дела в базе относятся к периоду 2002-2010 гг. Около 40% документов имеют пометки «unpublished opinion» и «not designated for publication». Это специальное обозначение (можно перевести как «неопубликованное мнение») решений судов, которое используется в прецедентном праве для того, чтобы исключить цитирование данного решения в других делах.
Забавно, что журналисты, написавшие про обнаружение данной базы, приписали документам с отметками «unpublished opinion» статус не публичных (чуть ли не гриф «ограниченный доступ» 😄). Хотя на самом деле это просто юридический термин, имеющий значение для американских судов. 🤦♂️
Точную принадлежность базы установить пока не удалось. Возможные владельцы данных — это американская компания Lex Machina (подразделение компании LexisNexis, занимающейся разработкой аналитического ПО для юристов) и индийская компания LexSphere (оказывает услуги юридического аутсорсинга американской LexVisio).
После уведомления всех возможных владельцев, база пропала из открытого доступа, но ни одна из компаний не ответила на уведомление и не признала владение базой.
Все судебные дела в базе относятся к периоду 2002-2010 гг. Около 40% документов имеют пометки «unpublished opinion» и «not designated for publication». Это специальное обозначение (можно перевести как «неопубликованное мнение») решений судов, которое используется в прецедентном праве для того, чтобы исключить цитирование данного решения в других делах.
Забавно, что журналисты, написавшие про обнаружение данной базы, приписали документам с отметками «unpublished opinion» статус не публичных (чуть ли не гриф «ограниченный доступ» 😄). Хотя на самом деле это просто юридический термин, имеющий значение для американских судов. 🤦♂️
Мы много пишем про обнаружение свободно доступных баз данных с персональными данными практически во всех странах мира, но новостей про российские базы данных, оставленные в открытом доступе почти нет (если не считать новость про «руку Кремля»: https://news.1rj.ru/str/dataleak/728).
Может сложиться неверное представление, что в России все замечательно и владельцы крупных российских онлайн-проектов подходят ответственно к хранению данных пользователей. Спешим развенчать данный миф на примере проекта DOC+. 😂
DOC+ (ООО «Новая Медицина») это российская медицинская компания, оказывающая услуги в области телемедицины, вызова врача на дом, хранения и обработки персональных медицинских данных.
Компания получила инвестиции от Яндекса и для хранения логов доступа клиентов к своему онлайн-сервису использует базу данных ClickHouse, также имеющую отношение к Яндексу (была создана и разрабатывается Яндексом).
К несчастью эта база ClickHouse свободно доступна, и кто угодно, зная IP-адрес может получить логи доступа. 😱
Из логов можно узнать информацию о местоположении некоторых пользователей, их IP-адреса, информацию об устройствах, с которых они подключались к сервису DOC+ и т.п.
Но это не самое интересное. Самое интересное ниже: 👇
В логах также можно найти персональные данные сотрудников ООО «Новая Медицина», а именно: ФИО, даты рождения, пол, ИНН, адреса прописки и фактического места проживания, телефоны, должности, адреса электронной почты и многое другое. Судя по логам, вся эта информация изначально хранится в системе 1С:Предприятие 8.3. 🔥🔥
Более того, в логах содержатся токены (API_USER_TOKEN) пользователей сервиса, с помощью которых можно получить их личные данные. 🔥🔥🔥
База данных «живая», т.е. дополняется новыми логами. По нашей информации, DOC+ были уведомлены, но до сих пор не предприняли никаких действий по закрытию доступа к базе. 🤦♂️
Для обнаружения открытых баз данных ClickHouse удобно использовать поисковик Shodan.io в связке со специальным скриптом ClickDown.
Про то, как исследователи обнаруживают открытые базы данных читайте тут.
За информацию спасибо читателю канала!
Может сложиться неверное представление, что в России все замечательно и владельцы крупных российских онлайн-проектов подходят ответственно к хранению данных пользователей. Спешим развенчать данный миф на примере проекта DOC+. 😂
DOC+ (ООО «Новая Медицина») это российская медицинская компания, оказывающая услуги в области телемедицины, вызова врача на дом, хранения и обработки персональных медицинских данных.
Компания получила инвестиции от Яндекса и для хранения логов доступа клиентов к своему онлайн-сервису использует базу данных ClickHouse, также имеющую отношение к Яндексу (была создана и разрабатывается Яндексом).
К несчастью эта база ClickHouse свободно доступна, и кто угодно, зная IP-адрес может получить логи доступа. 😱
Из логов можно узнать информацию о местоположении некоторых пользователей, их IP-адреса, информацию об устройствах, с которых они подключались к сервису DOC+ и т.п.
Но это не самое интересное. Самое интересное ниже: 👇
В логах также можно найти персональные данные сотрудников ООО «Новая Медицина», а именно: ФИО, даты рождения, пол, ИНН, адреса прописки и фактического места проживания, телефоны, должности, адреса электронной почты и многое другое. Судя по логам, вся эта информация изначально хранится в системе 1С:Предприятие 8.3. 🔥🔥
Более того, в логах содержатся токены (API_USER_TOKEN) пользователей сервиса, с помощью которых можно получить их личные данные. 🔥🔥🔥
База данных «живая», т.е. дополняется новыми логами. По нашей информации, DOC+ были уведомлены, но до сих пор не предприняли никаких действий по закрытию доступа к базе. 🤦♂️
Для обнаружения открытых баз данных ClickHouse удобно использовать поисковик Shodan.io в связке со специальным скриптом ClickDown.
Про то, как исследователи обнаруживают открытые базы данных читайте тут.
За информацию спасибо читателю канала!
Telegram
Утечки информации
Голландский исследователь безопасности Victor Gevers заявил, что он обнаружил ̶р̶у̶к̶у̶ ̶К̶р̶е̶м̶л̶я̶ административный аккаунт Admin@kremlin.ru в более чем 2000 открытых базах данных MongoDB, принадлежащих российским и даже украинским организациям. 🔥
Среди…
Среди…
Сервис DOC+ наконец прикрыл доступ к базе данных ClickHouse (про это писали вчера https://news.1rj.ru/str/dataleak/841). И по 9000 и по 8123 портам доступа нет.
Да, осталась открытая MongoDB на дефолтном порту, но там ничего "интересного" нет...
Да, осталась открытая MongoDB на дефолтном порту, но там ничего "интересного" нет...
Telegram
Утечки информации
Мы много пишем про обнаружение свободно доступных баз данных с персональными данными практически во всех странах мира, но новостей про российские базы данных, оставленные в открытом доступе почти нет (если не считать новость про «руку Кремля»: https://t.…
Неизвестный «слил» свежие (за 2019 год) «сливы» дампов с Cit0day.in:
https://cloud.mail.ru/public/65rB/bwd6Y9PDg
Общий размер 257 МБ, всего 860 файлов. Среди дампов есть комбинации email+hash, email+password и смешанные (для которых не все пароли удалось восстановить из хешей).
https://cloud.mail.ru/public/65rB/bwd6Y9PDg
Общий размер 257 МБ, всего 860 файлов. Среди дампов есть комбинации email+hash, email+password и смешанные (для которых не все пароли удалось восстановить из хешей).
Официальный ответ Doc+ на вчерашнюю новость о случившейся утечке персональных данных (https://news.1rj.ru/str/dataleak/841):
Компания ООО "Новая Медицина" (DOC+) является оператором персональных данных, в связи с чем принимает все требуемые законодательством меры защиты. В компании внедрены современные средства защиты, прошедшие необходимые процедуры сертификации со стороны ФСБ, ФСТЭК. Выстроены внутренние процессы управления и контроля за состоянием защищенности информационных систем, в которых обрабатываются персональные данные. Политика защиты и обработки персональных данных доступна к изучению на нашем сайте.
DOC+ использует сервис ClickHouse для отладки функционала доработок клиентских продуктов. В ClickHouse загружаются данные из тестовой и продуктивной среды. Сервис ClickHouse функционирует на серверах компании, доступ к которым жестко регламентирован и ограничен. Появление данных из ClickHouse в открытом доступе произошло из-за ошибки, связанной с человеческим фактором. Доступ к данным был оперативно закрыт 17.03.19 сразу после публикации об уязвимости. В компании регулярно проводится анализ уязвимостей системы защиты персональных данных, и данная ошибка была бы обязательно обнаружена и исправлена. К сожалению, мы не успели это сделать до обнаружения ошибки другими специалистами.
В открытом доступе временно оказался незначительный объем данных, который не может привести к негативным последствиям для сотрудников и пользователей сервиса DOC+. На момент инцидента в ClickHouse были данные в основном из тестовой среды. Медицинские данные клиентов, оказавшиеся в открытом доступе, являются обезличенными, идентифицировать субъект персональных данных по ним можно было бы только при получении всей базы данных целиком. Анализ истории обращений к базе данных и исходящего трафика с наших серверов позволяет утверждать, что утечка могла коснуться <1% всей информации.
По факту инцидента ведутся внутренние разбирательства. Мы разрабатываем и уже начали внедрять дополнительные меры, ещё более ужесточающие защиту данных. Мы сожалеем о произошедшем инциденте, но ещё раз подчеркиваем отсутствие негативных последствий для наших клиентов. Ваша безопасность и конфиденциальность являются приоритетом всей команды DOC+ с первых дней работы компании.
🤦🏼♂️🤦🏻♀️🙈
Компания ООО "Новая Медицина" (DOC+) является оператором персональных данных, в связи с чем принимает все требуемые законодательством меры защиты. В компании внедрены современные средства защиты, прошедшие необходимые процедуры сертификации со стороны ФСБ, ФСТЭК. Выстроены внутренние процессы управления и контроля за состоянием защищенности информационных систем, в которых обрабатываются персональные данные. Политика защиты и обработки персональных данных доступна к изучению на нашем сайте.
DOC+ использует сервис ClickHouse для отладки функционала доработок клиентских продуктов. В ClickHouse загружаются данные из тестовой и продуктивной среды. Сервис ClickHouse функционирует на серверах компании, доступ к которым жестко регламентирован и ограничен. Появление данных из ClickHouse в открытом доступе произошло из-за ошибки, связанной с человеческим фактором. Доступ к данным был оперативно закрыт 17.03.19 сразу после публикации об уязвимости. В компании регулярно проводится анализ уязвимостей системы защиты персональных данных, и данная ошибка была бы обязательно обнаружена и исправлена. К сожалению, мы не успели это сделать до обнаружения ошибки другими специалистами.
В открытом доступе временно оказался незначительный объем данных, который не может привести к негативным последствиям для сотрудников и пользователей сервиса DOC+. На момент инцидента в ClickHouse были данные в основном из тестовой среды. Медицинские данные клиентов, оказавшиеся в открытом доступе, являются обезличенными, идентифицировать субъект персональных данных по ним можно было бы только при получении всей базы данных целиком. Анализ истории обращений к базе данных и исходящего трафика с наших серверов позволяет утверждать, что утечка могла коснуться <1% всей информации.
По факту инцидента ведутся внутренние разбирательства. Мы разрабатываем и уже начали внедрять дополнительные меры, ещё более ужесточающие защиту данных. Мы сожалеем о произошедшем инциденте, но ещё раз подчеркиваем отсутствие негативных последствий для наших клиентов. Ваша безопасность и конфиденциальность являются приоритетом всей команды DOC+ с первых дней работы компании.
🤦🏼♂️🤦🏻♀️🙈
Telegram
Утечки информации
Мы много пишем про обнаружение свободно доступных баз данных с персональными данными практически во всех странах мира, но новостей про российские базы данных, оставленные в открытом доступе почти нет (если не считать новость про «руку Кремля»: https://t.…
Чилийская компания Yu-Track оставила в открытом доступе базу данных MongoDB с персональными данными пользователей. 🤦♂️
Yu-Track производит специализированное ПО и мобильное приложение для компаний с разъездными менеджерами по продажам. Yu-Track использует GPS-координаты для процесса автоматического отслеживания перемещений менеджеров.
В открытой базе данных найдено более 1 тыс. зарегистрированных пользователей и более 9.2 млн. записей с местоположениями пользователей. Последняя запись в базе относится к 8 марта 2019 года. Размер базы 3.4 Гб и в ней всего около 15 млн. записей.
Среди данных пользователей такая информация, как: полное имя, адрес электронной почты, хеш пароля и соль, дата последнего входа в систему, дата последнего отслеживания местоположения, идентификатор пользователя и является ли пользователь верифицированным или нет.
В записях с местоположением пользователей содержится: координаты (широта и долгота), время, состояние батареи смартфона (% заряда и состояние – заряжается или нет), идентификатор пользователя.
Есть также 567 записей с информацией о мобильных устройствах пользователей: ОС, идентификатор устройства, модель.
И много чего еще… 😂
Yu-Track производит специализированное ПО и мобильное приложение для компаний с разъездными менеджерами по продажам. Yu-Track использует GPS-координаты для процесса автоматического отслеживания перемещений менеджеров.
В открытой базе данных найдено более 1 тыс. зарегистрированных пользователей и более 9.2 млн. записей с местоположениями пользователей. Последняя запись в базе относится к 8 марта 2019 года. Размер базы 3.4 Гб и в ней всего около 15 млн. записей.
Среди данных пользователей такая информация, как: полное имя, адрес электронной почты, хеш пароля и соль, дата последнего входа в систему, дата последнего отслеживания местоположения, идентификатор пользователя и является ли пользователь верифицированным или нет.
В записях с местоположением пользователей содержится: координаты (широта и долгота), время, состояние батареи смартфона (% заряда и состояние – заряжается или нет), идентификатор пользователя.
Есть также 567 записей с информацией о мобильных устройствах пользователей: ОС, идентификатор устройства, модель.
И много чего еще… 😂
Yu-Track ответили на сообщение об открытой базе и закрыли к ней доступ 👍:
Thanks for your information, we have restricted access.
Thanks for your information, we have restricted access.
Elsevier - голландская компания-издатель научных журналов (таких как The Lancet, Cell и др.) допустила утечку пользовательских адресов электронной почты и паролей, оставив незащищенным сервер, доступ к которому мог получить любой.
Большинство адресов эл. почты находятся в доменной зоне .edu, т.е. принадлежат образовательным учреждениям по всему миру.
Большинство адресов эл. почты находятся в доменной зоне .edu, т.е. принадлежат образовательным учреждениям по всему миру.
Завтра будет новость про еще одну потенциальную утечку из медицинской клиники. 🔥🔥🔥
А пока наш небольшой комментарий к заявлению ООО «Новая Медицина» в прессе:
По нашему мнению, официальная реакция клиники DOC+ (ООО «Новая Медицина») мягко говоря была не очень правильная (https://news.1rj.ru/str/dataleak/847).
Заявляя "В открытом доступе временно оказался незначительный объем данных, который не может привести к негативным последствиям для сотрудников и пользователей сервиса DOC+." они упускают из вида, что в нашем распоряжении есть данные "объективного контроля", а именно поисковик Shodan.
Согласно Shodan, дата первой фиксации открытого сервера ClickHouse на IP-адресе DOC+: 15.02.2019 03:08:00, дата последней фиксации:17.03.2019 09:52:00. Размер базы данных около 40 Гб.
А всего было 15 фиксаций:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00
Из заявления получается, что временно это чуть более месяца, а незначительный объем данных это примерно 40 гигабайт данных. 🤦♂️
Более того, у нас есть информация, что данные с открытого сервера ClickHouse успели попасть к третьим лицам (как минимум в Telegram-каналы).
А пока наш небольшой комментарий к заявлению ООО «Новая Медицина» в прессе:
По нашему мнению, официальная реакция клиники DOC+ (ООО «Новая Медицина») мягко говоря была не очень правильная (https://news.1rj.ru/str/dataleak/847).
Заявляя "В открытом доступе временно оказался незначительный объем данных, который не может привести к негативным последствиям для сотрудников и пользователей сервиса DOC+." они упускают из вида, что в нашем распоряжении есть данные "объективного контроля", а именно поисковик Shodan.
Согласно Shodan, дата первой фиксации открытого сервера ClickHouse на IP-адресе DOC+: 15.02.2019 03:08:00, дата последней фиксации:17.03.2019 09:52:00. Размер базы данных около 40 Гб.
А всего было 15 фиксаций:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00
Из заявления получается, что временно это чуть более месяца, а незначительный объем данных это примерно 40 гигабайт данных. 🤦♂️
Более того, у нас есть информация, что данные с открытого сервера ClickHouse успели попасть к третьим лицам (как минимум в Telegram-каналы).
Telegram
Утечки информации
Официальный ответ Doc+ на вчерашнюю новость о случившейся утечке персональных данных (https://news.1rj.ru/str/dataleak/841):
Компания ООО "Новая Медицина" (DOC+) является оператором персональных данных, в связи с чем принимает все требуемые законодательством меры защиты.…
Компания ООО "Новая Медицина" (DOC+) является оператором персональных данных, в связи с чем принимает все требуемые законодательством меры защиты.…
И так, вчера вечером была анонсирована новость про еще одну утечку персональных данных из российского телемедицинского сервиса. К счастью, благодаря адекватности сотрудников этого сервиса, уязвимость была быстро (2 часа с момента уведомления) устранена и скорее всего утечки не случилось. 👍
После публикации новости об утечке из телемедицинского сервиса DOC+ на связь с нами вышел один из читателей канала и сообщил о потенциальной уязвимости на сайте еще одной клиники, предоставляющей онлайн-консультации с врачами – «Доктор рядом» (www.drclinics.ru).
Суть уязвимости заключалась в том, что, зная URL и находясь в системе под своей учетной записью, можно было просматривать данные других пациентов.
Для регистрации новой учетной записи в системе «Доктор рядом» фактически требуется только номер мобильного телефона, на который приходит подтверждающая СМС.
После того как пользователь заходил в систему он мог сразу, меняя URL в адресной строке своего браузера, просматривать отчеты, содержащие персональные данные пациентов и в некоторых случаях даже диагнозы.
Среди доступных для просмотра данных были: ФИО врача и пациента, даты рождения врача и пациента, телефоны врача и пациента, адреса электронной почты врача и пациента, специализация врача, дата консультации, стоимость консультации и в некоторых случаях даже диагноз (в виде комментария к отчету).
Существенная проблема заключалась в том, что сервис использует сквозную нумерацию отчетов и из этих номеров уже формирует URL:
https://[адрес сайта]/…/…/40261/
Поэтому достаточно было установить минимальное допустимое число (7911) и максимальное (42926), чтобы вычислить общее количество (35015) отчетов в системе и даже (при наличии злого умысла) выкачать их все простым скриптом.
Данная уязвимость очень похожа на ту, что была обнаружена в декабре 2017 года на сервере микрофинансовой организации «Займоград» (https://www.devicelock.com/ru/blog/mikrofinansovaya-organizatsiya-ostavila-pasportnye-dannye-desyatkov-tysyach-svoih-klientov-v-otkrytom-dostupe.html). Тогда перебором можно было получить 36763 договоров, содержащих полные паспортные данные клиентов организации.
Как написано выше, сотрудники «Доктор рядом» проявили реальный профессионализм и несмотря на то, что об уязвимости им было сообщено в 23:00 (Мск), сразу же сервис (доступ в личный кабинет) был остановлен, а к 1:00 (Мск) данная уязвимость была устранена. 👍👍
На данный момент профессиональная паранойя не дает покоя только по одной оставшейся мелкой проблеме - по ответу сервера можно узнать количество отчетов в системе. Когда пытаешься получить отчет по URL, к которому нет доступа (но сам отчет при этом есть), то сервер возвращает ACCESS_DENIED, а когда пытаешься получить отчет, которого нет, то возвращается NOT_FOUND. Следя за увеличением количества отчетов в системе в динамике (раз в неделю, месяц и т.п.) можно оценить загруженность сервиса и объёмы предоставляемых услуг. Это конечно не нарушает персональных данных пациентов и врачей, но может быть нарушением коммерческой тайной компании. 😎
После публикации новости об утечке из телемедицинского сервиса DOC+ на связь с нами вышел один из читателей канала и сообщил о потенциальной уязвимости на сайте еще одной клиники, предоставляющей онлайн-консультации с врачами – «Доктор рядом» (www.drclinics.ru).
Суть уязвимости заключалась в том, что, зная URL и находясь в системе под своей учетной записью, можно было просматривать данные других пациентов.
Для регистрации новой учетной записи в системе «Доктор рядом» фактически требуется только номер мобильного телефона, на который приходит подтверждающая СМС.
После того как пользователь заходил в систему он мог сразу, меняя URL в адресной строке своего браузера, просматривать отчеты, содержащие персональные данные пациентов и в некоторых случаях даже диагнозы.
Среди доступных для просмотра данных были: ФИО врача и пациента, даты рождения врача и пациента, телефоны врача и пациента, адреса электронной почты врача и пациента, специализация врача, дата консультации, стоимость консультации и в некоторых случаях даже диагноз (в виде комментария к отчету).
Существенная проблема заключалась в том, что сервис использует сквозную нумерацию отчетов и из этих номеров уже формирует URL:
https://[адрес сайта]/…/…/40261/
Поэтому достаточно было установить минимальное допустимое число (7911) и максимальное (42926), чтобы вычислить общее количество (35015) отчетов в системе и даже (при наличии злого умысла) выкачать их все простым скриптом.
Данная уязвимость очень похожа на ту, что была обнаружена в декабре 2017 года на сервере микрофинансовой организации «Займоград» (https://www.devicelock.com/ru/blog/mikrofinansovaya-organizatsiya-ostavila-pasportnye-dannye-desyatkov-tysyach-svoih-klientov-v-otkrytom-dostupe.html). Тогда перебором можно было получить 36763 договоров, содержащих полные паспортные данные клиентов организации.
Как написано выше, сотрудники «Доктор рядом» проявили реальный профессионализм и несмотря на то, что об уязвимости им было сообщено в 23:00 (Мск), сразу же сервис (доступ в личный кабинет) был остановлен, а к 1:00 (Мск) данная уязвимость была устранена. 👍👍
На данный момент профессиональная паранойя не дает покоя только по одной оставшейся мелкой проблеме - по ответу сервера можно узнать количество отчетов в системе. Когда пытаешься получить отчет по URL, к которому нет доступа (но сам отчет при этом есть), то сервер возвращает ACCESS_DENIED, а когда пытаешься получить отчет, которого нет, то возвращается NOT_FOUND. Следя за увеличением количества отчетов в системе в динамике (раз в неделю, месяц и т.п.) можно оценить загруженность сервиса и объёмы предоставляемых услуг. Это конечно не нарушает персональных данных пациентов и врачей, но может быть нарушением коммерческой тайной компании. 😎
Киберпротект
DLP-система Кибер Протего – защита от утечки конфиденциальных данных
DLP-система Кибер Протего предотвращает утечку конфиденциальной информации, контролирует передачу данных и позволяет обнаруживать нарушения политики их хранения.