Мы много пишем про обнаружение свободно доступных баз данных с персональными данными практически во всех странах мира, но новостей про российские базы данных, оставленные в открытом доступе почти нет (если не считать новость про «руку Кремля»: https://news.1rj.ru/str/dataleak/728).

Может сложиться неверное представление, что в России все замечательно и владельцы крупных российских онлайн-проектов подходят ответственно к хранению данных пользователей. Спешим развенчать данный миф на примере проекта DOC+. 😂

DOC+ (ООО «Новая Медицина») это российская медицинская компания, оказывающая услуги в области телемедицины, вызова врача на дом, хранения и обработки персональных медицинских данных.

Компания получила инвестиции от Яндекса и для хранения логов доступа клиентов к своему онлайн-сервису использует базу данных ClickHouse, также имеющую отношение к Яндексу (была создана и разрабатывается Яндексом).

К несчастью эта база ClickHouse свободно доступна, и кто угодно, зная IP-адрес может получить логи доступа. 😱

Из логов можно узнать информацию о местоположении некоторых пользователей, их IP-адреса, информацию об устройствах, с которых они подключались к сервису DOC+ и т.п.

Но это не самое интересное. Самое интересное ниже: 👇

В логах также можно найти персональные данные сотрудников ООО «Новая Медицина», а именно: ФИО, даты рождения, пол, ИНН, адреса прописки и фактического места проживания, телефоны, должности, адреса электронной почты и многое другое. Судя по логам, вся эта информация изначально хранится в системе 1С:Предприятие 8.3. 🔥🔥

Более того, в логах содержатся токены (API_USER_TOKEN) пользователей сервиса, с помощью которых можно получить их личные данные. 🔥🔥🔥

База данных «живая», т.е. дополняется новыми логами. По нашей информации, DOC+ были уведомлены, но до сих пор не предприняли никаких действий по закрытию доступа к базе. 🤦‍♂️

Для обнаружения открытых баз данных ClickHouse удобно использовать поисковик Shodan.io в связке со специальным скриптом ClickDown.

Про то, как исследователи обнаруживают открытые базы данных читайте тут.

За информацию спасибо читателю канала!

Пример того, как в логах можно найти персональные данные сотрудников DOC+

Всего в открытом доступе найдено 474 таблицы ClickHouse, с логами проекта DOC+

Из логов можно узнать информацию о местоположении пользователей DOC+, их IP-адреса, информацию об устройствах и т.п. А используя токен (API_USER_TOKEN) пользователя можно получить его персональные данные.

Сервис DOC+ наконец прикрыл доступ к базе данных ClickHouse (про это писали вчера https://news.1rj.ru/str/dataleak/841). И по 9000 и по 8123 портам доступа нет.

Да, осталась открытая MongoDB на дефолтном порту, но там ничего "интересного" нет...

Неизвестный «слил» свежие (за 2019 год) «сливы» дампов с Cit0day.in:
https://cloud.mail.ru/public/65rB/bwd6Y9PDg

Общий размер 257 МБ, всего 860 файлов. Среди дампов есть комбинации email+hash, email+password и смешанные (для которых не все пароли удалось восстановить из хешей).

Официальный ответ Doc+ на вчерашнюю новость о случившейся утечке персональных данных (https://news.1rj.ru/str/dataleak/841):

Компания ООО "Новая Медицина" (DOC+) является оператором персональных данных, в связи с чем принимает все требуемые законодательством меры защиты. В компании внедрены современные средства защиты, прошедшие необходимые процедуры сертификации со стороны ФСБ, ФСТЭК. Выстроены внутренние процессы управления и контроля за состоянием защищенности информационных систем, в которых обрабатываются персональные данные. Политика защиты и обработки персональных данных доступна к изучению на нашем сайте.

DOC+ использует сервис ClickHouse для отладки функционала доработок клиентских продуктов. В ClickHouse загружаются данные из тестовой и продуктивной среды. Сервис ClickHouse функционирует на серверах компании, доступ к которым жестко регламентирован и ограничен. Появление данных из ClickHouse в открытом доступе произошло из-за ошибки, связанной с человеческим фактором. Доступ к данным был оперативно закрыт 17.03.19 сразу после публикации об уязвимости. В компании регулярно проводится анализ уязвимостей системы защиты персональных данных, и данная ошибка была бы обязательно обнаружена и исправлена. К сожалению, мы не успели это сделать до обнаружения ошибки другими специалистами.

В открытом доступе временно оказался незначительный объем данных, который не может привести к негативным последствиям для сотрудников и пользователей сервиса DOC+. На момент инцидента в ClickHouse были данные в основном из тестовой среды. Медицинские данные клиентов, оказавшиеся в открытом доступе, являются обезличенными, идентифицировать субъект персональных данных по ним можно было бы только при получении всей базы данных целиком. Анализ истории обращений к базе данных и исходящего трафика с наших серверов позволяет утверждать, что утечка могла коснуться <1% всей информации.

По факту инцидента ведутся внутренние разбирательства. Мы разрабатываем и уже начали внедрять дополнительные меры, ещё более ужесточающие защиту данных. Мы сожалеем о произошедшем инциденте, но ещё раз подчеркиваем отсутствие негативных последствий для наших клиентов. Ваша безопасность и конфиденциальность являются приоритетом всей команды DOC+ с первых дней работы компании.

🤦🏼‍♂️🤦🏻‍♀️🙈

В астраханской области неудачно попытались сжечь архив документов с судебными решениями. Документы разлетелись по степи.

Чилийская компания Yu-Track оставила в открытом доступе базу данных MongoDB с персональными данными пользователей. 🤦‍♂️

Yu-Track производит специализированное ПО и мобильное приложение для компаний с разъездными менеджерами по продажам. Yu-Track использует GPS-координаты для процесса автоматического отслеживания перемещений менеджеров.

В открытой базе данных найдено более 1 тыс. зарегистрированных пользователей и более 9.2 млн. записей с местоположениями пользователей. Последняя запись в базе относится к 8 марта 2019 года. Размер базы 3.4 Гб и в ней всего около 15 млн. записей.

Среди данных пользователей такая информация, как: полное имя, адрес электронной почты, хеш пароля и соль, дата последнего входа в систему, дата последнего отслеживания местоположения, идентификатор пользователя и является ли пользователь верифицированным или нет.

В записях с местоположением пользователей содержится: координаты (широта и долгота), время, состояние батареи смартфона (% заряда и состояние – заряжается или нет), идентификатор пользователя.

Есть также 567 записей с информацией о мобильных устройствах пользователей: ОС, идентификатор устройства, модель.

И много чего еще… 😂

Список пользователей Yu-Track. Всего 1010.

Местоположения пользователей Yu-Track. Всего 9,226,980.

Yu-Track ответили на сообщение об открытой базе и закрыли к ней доступ 👍:

Thanks for your information, we have restricted access.

Elsevier - голландская компания-издатель научных журналов (таких как The Lancet, Cell и др.) допустила утечку пользовательских адресов электронной почты и паролей, оставив незащищенным сервер, доступ к которому мог получить любой.

Большинство адресов эл. почты находятся в доменной зоне .edu, т.е. принадлежат образовательным учреждениям по всему миру.

Завтра будет новость про еще одну потенциальную утечку из медицинской клиники. 🔥🔥🔥

А пока наш небольшой комментарий к заявлению ООО «Новая Медицина» в прессе:

По нашему мнению, официальная реакция клиники DOC+ (ООО «Новая Медицина») мягко говоря была не очень правильная (https://news.1rj.ru/str/dataleak/847).

Заявляя "В открытом доступе временно оказался незначительный объем данных, который не может привести к негативным последствиям для сотрудников и пользователей сервиса DOC+." они упускают из вида, что в нашем распоряжении есть данные "объективного контроля", а именно поисковик Shodan.

Согласно Shodan, дата первой фиксации открытого сервера ClickHouse на IP-адресе DOC+: 15.02.2019 03:08:00, дата последней фиксации:17.03.2019 09:52:00. Размер базы данных около 40 Гб.

А всего было 15 фиксаций:

15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00

Из заявления получается, что временно это чуть более месяца, а незначительный объем данных это примерно 40 гигабайт данных. 🤦‍♂️

Более того, у нас есть информация, что данные с открытого сервера ClickHouse успели попасть к третьим лицам (как минимум в Telegram-каналы).

И так, вчера вечером была анонсирована новость про еще одну утечку персональных данных из российского телемедицинского сервиса. К счастью, благодаря адекватности сотрудников этого сервиса, уязвимость была быстро (2 часа с момента уведомления) устранена и скорее всего утечки не случилось. 👍

После публикации новости об утечке из телемедицинского сервиса DOC+ на связь с нами вышел один из читателей канала и сообщил о потенциальной уязвимости на сайте еще одной клиники, предоставляющей онлайн-консультации с врачами – «Доктор рядом» (www.drclinics.ru).

Суть уязвимости заключалась в том, что, зная URL и находясь в системе под своей учетной записью, можно было просматривать данные других пациентов.

Для регистрации новой учетной записи в системе «Доктор рядом» фактически требуется только номер мобильного телефона, на который приходит подтверждающая СМС.

После того как пользователь заходил в систему он мог сразу, меняя URL в адресной строке своего браузера, просматривать отчеты, содержащие персональные данные пациентов и в некоторых случаях даже диагнозы.

Среди доступных для просмотра данных были: ФИО врача и пациента, даты рождения врача и пациента, телефоны врача и пациента, адреса электронной почты врача и пациента, специализация врача, дата консультации, стоимость консультации и в некоторых случаях даже диагноз (в виде комментария к отчету).

Существенная проблема заключалась в том, что сервис использует сквозную нумерацию отчетов и из этих номеров уже формирует URL:

https://[адрес сайта]/…/…/40261/

Поэтому достаточно было установить минимальное допустимое число (7911) и максимальное (42926), чтобы вычислить общее количество (35015) отчетов в системе и даже (при наличии злого умысла) выкачать их все простым скриптом.

Данная уязвимость очень похожа на ту, что была обнаружена в декабре 2017 года на сервере микрофинансовой организации «Займоград» (https://www.devicelock.com/ru/blog/mikrofinansovaya-organizatsiya-ostavila-pasportnye-dannye-desyatkov-tysyach-svoih-klientov-v-otkrytom-dostupe.html). Тогда перебором можно было получить 36763 договоров, содержащих полные паспортные данные клиентов организации.

Как написано выше, сотрудники «Доктор рядом» проявили реальный профессионализм и несмотря на то, что об уязвимости им было сообщено в 23:00 (Мск), сразу же сервис (доступ в личный кабинет) был остановлен, а к 1:00 (Мск) данная уязвимость была устранена. 👍👍

На данный момент профессиональная паранойя не дает покоя только по одной оставшейся мелкой проблеме - по ответу сервера можно узнать количество отчетов в системе. Когда пытаешься получить отчет по URL, к которому нет доступа (но сам отчет при этом есть), то сервер возвращает ACCESS_DENIED, а когда пытаешься получить отчет, которого нет, то возвращается NOT_FOUND. Следя за увеличением количества отчетов в системе в динамике (раз в неделю, месяц и т.п.) можно оценить загруженность сервиса и объёмы предоставляемых услуг. Это конечно не нарушает персональных данных пациентов и врачей, но может быть нарушением коммерческой тайной компании. 😎

Данные, которые были доступны для просмотра в системе drclinics.ru:

В законопроект о создании единой системы проверки сведений об абонентах мобильных операторов, принятый Госдумой в первом чтении 6 марта, будут внесены поправки.

Основатель и технический директор DeviceLock Ашот Оганесян объясняет, как новый закон может повлиять на рынок.

https://rb.ru/opinion/dannye-cherez-posrednikov/

География обращений пользователей к сервису DOC+, на основе утекших данных.

Альтернативный разбор утечки персональных данных врачей из DOC+ (ООО «Новая Медицина»), о которой впервые сообщил наш канал.

https://telegra.ph/Utechka-personalnyh-dannyh-iz-DOC-03-20