Elsevier - голландская компания-издатель научных журналов (таких как The Lancet, Cell и др.) допустила утечку пользовательских адресов электронной почты и паролей, оставив незащищенным сервер, доступ к которому мог получить любой.

Большинство адресов эл. почты находятся в доменной зоне .edu, т.е. принадлежат образовательным учреждениям по всему миру.

Завтра будет новость про еще одну потенциальную утечку из медицинской клиники. 🔥🔥🔥

А пока наш небольшой комментарий к заявлению ООО «Новая Медицина» в прессе:

По нашему мнению, официальная реакция клиники DOC+ (ООО «Новая Медицина») мягко говоря была не очень правильная (https://news.1rj.ru/str/dataleak/847).

Заявляя "В открытом доступе временно оказался незначительный объем данных, который не может привести к негативным последствиям для сотрудников и пользователей сервиса DOC+." они упускают из вида, что в нашем распоряжении есть данные "объективного контроля", а именно поисковик Shodan.

Согласно Shodan, дата первой фиксации открытого сервера ClickHouse на IP-адресе DOC+: 15.02.2019 03:08:00, дата последней фиксации:17.03.2019 09:52:00. Размер базы данных около 40 Гб.

А всего было 15 фиксаций:

15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00

Из заявления получается, что временно это чуть более месяца, а незначительный объем данных это примерно 40 гигабайт данных. 🤦‍♂️

Более того, у нас есть информация, что данные с открытого сервера ClickHouse успели попасть к третьим лицам (как минимум в Telegram-каналы).

И так, вчера вечером была анонсирована новость про еще одну утечку персональных данных из российского телемедицинского сервиса. К счастью, благодаря адекватности сотрудников этого сервиса, уязвимость была быстро (2 часа с момента уведомления) устранена и скорее всего утечки не случилось. 👍

После публикации новости об утечке из телемедицинского сервиса DOC+ на связь с нами вышел один из читателей канала и сообщил о потенциальной уязвимости на сайте еще одной клиники, предоставляющей онлайн-консультации с врачами – «Доктор рядом» (www.drclinics.ru).

Суть уязвимости заключалась в том, что, зная URL и находясь в системе под своей учетной записью, можно было просматривать данные других пациентов.

Для регистрации новой учетной записи в системе «Доктор рядом» фактически требуется только номер мобильного телефона, на который приходит подтверждающая СМС.

После того как пользователь заходил в систему он мог сразу, меняя URL в адресной строке своего браузера, просматривать отчеты, содержащие персональные данные пациентов и в некоторых случаях даже диагнозы.

Среди доступных для просмотра данных были: ФИО врача и пациента, даты рождения врача и пациента, телефоны врача и пациента, адреса электронной почты врача и пациента, специализация врача, дата консультации, стоимость консультации и в некоторых случаях даже диагноз (в виде комментария к отчету).

Существенная проблема заключалась в том, что сервис использует сквозную нумерацию отчетов и из этих номеров уже формирует URL:

https://[адрес сайта]/…/…/40261/

Поэтому достаточно было установить минимальное допустимое число (7911) и максимальное (42926), чтобы вычислить общее количество (35015) отчетов в системе и даже (при наличии злого умысла) выкачать их все простым скриптом.

Данная уязвимость очень похожа на ту, что была обнаружена в декабре 2017 года на сервере микрофинансовой организации «Займоград» (https://www.devicelock.com/ru/blog/mikrofinansovaya-organizatsiya-ostavila-pasportnye-dannye-desyatkov-tysyach-svoih-klientov-v-otkrytom-dostupe.html). Тогда перебором можно было получить 36763 договоров, содержащих полные паспортные данные клиентов организации.

Как написано выше, сотрудники «Доктор рядом» проявили реальный профессионализм и несмотря на то, что об уязвимости им было сообщено в 23:00 (Мск), сразу же сервис (доступ в личный кабинет) был остановлен, а к 1:00 (Мск) данная уязвимость была устранена. 👍👍

На данный момент профессиональная паранойя не дает покоя только по одной оставшейся мелкой проблеме - по ответу сервера можно узнать количество отчетов в системе. Когда пытаешься получить отчет по URL, к которому нет доступа (но сам отчет при этом есть), то сервер возвращает ACCESS_DENIED, а когда пытаешься получить отчет, которого нет, то возвращается NOT_FOUND. Следя за увеличением количества отчетов в системе в динамике (раз в неделю, месяц и т.п.) можно оценить загруженность сервиса и объёмы предоставляемых услуг. Это конечно не нарушает персональных данных пациентов и врачей, но может быть нарушением коммерческой тайной компании. 😎

Данные, которые были доступны для просмотра в системе drclinics.ru:

В законопроект о создании единой системы проверки сведений об абонентах мобильных операторов, принятый Госдумой в первом чтении 6 марта, будут внесены поправки.

Основатель и технический директор DeviceLock Ашот Оганесян объясняет, как новый закон может повлиять на рынок.

https://rb.ru/opinion/dannye-cherez-posrednikov/

География обращений пользователей к сервису DOC+, на основе утекших данных.

Альтернативный разбор утечки персональных данных врачей из DOC+ (ООО «Новая Медицина»), о которой впервые сообщил наш канал.

https://telegra.ph/Utechka-personalnyh-dannyh-iz-DOC-03-20

Компания Финсервис (https://finservice.pro) пока никак не реагирует на нотификации о том, что у них база данных MongoDB с информацией (персданные, фотографии людей, сведения о кредитных продуктах и много другое) о заемщиках из Южного Федерального Округа, находится в открытом доступе. 😱

Подождем еще перед тем как публиковать отчет об утечке…

В открытом доступе была обнаружена база данных MongoDB с персональными данными заемщиков из Южного, Уральского и Приволжского федеральных округов. 🔥🔥🔥

По косвенным признакам был идентифицирован возможный владелец базы - Компания Финсервис (finservice.pro).

На сайте компании написано, что Финсервис является ведущим независимым финансовым брокером в сфере POS-кредитования на рынке России, а также является разработчиком платформы Poslogic. POS-кредитование — это разновидность банковского бизнеса, предусматривающая выдачу кредитов на товары непосредственно в торговых точках.

IP-адрес с открытой базой обнаружил исследователь безопасности Bob Diachenko (securitydiscovery.com) и попросил нас помочь с устранением потенциальной утечки.

Судя по данным поисковика BinaryEdge впервые открытая база данных MongoDB на этом IP-адресе была зафиксирована 10 марта 2019 года и оставалась свободно доступной вплоть до 21 марта 2019 (примерно 17:00 МСК). На наши сообщения по электронной почте, через Facebook Messenger, через публичный пост в Facebook компания не реагировала несколько дней. Однако, сегодня около 5 вечера по Москве база данных исчезла из свободного доступа. 🙈

В обнаруженной базе данных содержалось:

✅ Более 294 тыс. заемщиков: ФИО, место рождения, дата рождения, количество детей, количество иждивенцев, девичья фамилия матери, состоит в браке или нет, образование, номер мобильного телефона, номер стационарного телефона, адрес электронной почты, адрес регистрации, адрес фактического места жительства, полные паспортные данные.

✅ Более 183 тыс. данных о кредитах: размер кредита, статус кредита, дата выдачи, идентификатор банка, идентификатор заемщика, график платежей по кредиту и т.п.

✅ Более 819 тыс. отсканированных документов: тип документа, название файла, ссылка на JPG-файл, статус, дата и т.п.

✅ Более 246 тыс. фотографий людей, подававших заявки на кредиты, сделанных с веб-камер в точках продаж, в формате JPG.

✅ Более 5 тыс. «внутренних» (видимо сотрудников компании) пользователей: ФИО, дата рождения, логин и хешированный пароль, мобильный телефон, адреса электронной почты на доменах @poslogic.pro и @finservice.pro.

✅ Более 1 тыс. кредитных продуктов: название, идентификатор банка, размер комиссии и т.п.

✅ Более 2.5 тыс. партнеров (видимо точек продаж товаров, на которые берутся кредиты): название, банковские реквизиты, фактический адрес, юридический адрес, контакты и т.п.

✅ И многое другое…

Общий размер данных в базе превышал 157 Гб.

И самое главное – база постоянно обновлялась и дополнялась новыми записями. Например, за один день в ней появилось более 50 новых заявок на кредиты.

Про то, как исследователи обнаруживают открытые базы данных Elasticsearch и MongoDB читайте тут: https://www.devicelock.com/ru/blog/obnaruzhenie-otkrytyh-baz-dannyh-mongodb-i-elasticsearch.html

Список банков, чьи кредитные продукты были в открытой базе данных.

Заемщики, попавшие в черный список.

Список заемщиков, обнаруженных в открытой базе данных.

Список кредитов, обнаруженных в открытой базе данных.

Список точек продаж, где оформлялись кредиты.

Несколько дней назад нам прислали на анализ IP-адрес одного сервера, на котором оказалась база данных MongoDB не требующая никакой аутентификации.

При заходе на сервер по 80-му порту показывалась страница с заголовком «Utair Администратор» и поля для ввода логина и пароля.

По косвенным признакам мы предположили, что это тестовая база данных компании Utair Digital, ИТ-подразделения авиакомпании Utair.

В свободном доступе находилось:

✅ Более 530 тыс. записей частных клиентов: ФИО, номер телефона, адрес электронной почты, номер паспорта, адрес и т.п. Данные выглядят как тестовые и скорее всего не принадлежат реальным людям. Хотя возможно, что это частично данные реальных людей, просто с искаженными адресами электронной почты и номерами паспортов.

✅ Более 300 записей корпоративных клиентов: название организации, телефон, адрес электронной почты, почтовый адрес и т.п. Эти данные не выглядят искаженными и скорее всего реальные.

✅ Более 250 записей самолетов: название на английском и русском языках, код.

Общий размер базы чуть менее 1 Гб.

Судя по поисковику Shodan база попала в индекс еще 21-го января этого года. 20-го марта базу убрали из открытого доступа после нашего «сигнала».

В целом данный инцидент не выглядит как критичный (если данные 500 тыс. частных клиентов действительно не принадлежат реальным людям).

Список самолетов

Список частных клиентов

Проблема непреднамеренных утечек критичной информации (ключей доступа, паролей, ключей шифрования, API-ключей различных продуктов и т.п.) на сервис для хостинга IT-проектов и их совместной разработки GitHub, сейчас является одной из самых горячих тем обсуждения. 🔥

В конце прошлого года мы выпустили статью «Как предотвращать утечки конфиденциальных данных на GitHub» (https://www.devicelock.com/ru/blog/kak-predotvraschat-utechki-konfidentsialnyh-dannyh-na-github.html), в которой рассказали, как предотвращать непреднамеренные утечки посредством контроля загружаемых на GitHub данных. 👍

Университет штата Северная Каролина (NCSU), в период с 31 октября 2017 года по 20 апреля 2018 года, провел сканирование миллиардов файлов, размещенных в публичных репозиториях GitHub, на предмет наличия в них различных криптографических и API-ключей.

Всего, в более чем 100 тыс. репозиториях, NCSU удалось найти 575,456 ключей, из которых 201,642 были уникальные.

Полное исследование NCSU на английском языке тут: https://www.ndss-symposium.org/wp-content/uploads/2019/02/ndss2019_04B-3_Meli_paper.pdf

Обзор инцидентов, напрямую связанных с сервисом GitHub тут: https://www.devicelock.com/ru/blog/utechki-cherez-github.html

Не только в России финансовые данные находятся в открытом доступе – см. наш отчет по базе данных компании Финсервис: https://news.1rj.ru/str/dataleak/863

В открытом доступе обнаружили полностью открытую базу данных размером 2.1 Тб, содержащую 1,933,515,811 банковских транзакций за 2018 год из американского банка! 🔥🔥🔥

Все транзакции были категоризированы по тратам/доходам и явно представляли собой модель для машинного обучения.

В настоящий момент база данных уже недоступна и скоро будут подробности…