В открытом доступе обнаружена незащищенная база данных MongoDB, в которой хранятся данные московских станций скорой медицинской помощи (ССМП). База называется «ssmp» и имеет размер 17.3 Гб. 🔥🔥🔥
В базе содержится:
✅ дата/время вызова
✅ ФИО членов бригады скорой помощи (включая водителя)
✅ госномер автомобиля бригады скорой помощи
✅ статус автомобиля бригады скорой помощи (например, “прибытие на вызов”)
✅ адрес вызова
✅ ФИО, дата рождения, пол пациента
✅ описание состояния пациента (например, “температура >39, плохо снижается, взрослый”)
✅ ФИО вызывавшего скорую помощь
✅ контактный телефон
✅ и многое другое…
Информация в базе похожа на логи (ОПЯТЬ логи!) какой-то системы мониторинга/отслеживания процесса выполнения задачи.
Самое печальное, что отсутствие аутентификации на этот раз не является единственной проблемой в данном инциденте. 😱
1️⃣ Во-первых, данную базу обнаружили украинские киберпреступники из группировки THack3forU, про которых мы упоминали тут: https://news.1rj.ru/str/dataleak/906
2️⃣ Во-вторых, киберпреступники выложили эту базу и ее IP-адрес в открытый доступ и теперь все данные «гуляют» по интернету. 😂
3️⃣ В-третьих, сервер базы данных с персональными и медицинскими данным российских граждан располагается в Германии, на площадке хостинговой компании Hetzner Online GmbH. 🤦♂️🤦🏻♂️
В базе содержится:
✅ дата/время вызова
✅ ФИО членов бригады скорой помощи (включая водителя)
✅ госномер автомобиля бригады скорой помощи
✅ статус автомобиля бригады скорой помощи (например, “прибытие на вызов”)
✅ адрес вызова
✅ ФИО, дата рождения, пол пациента
✅ описание состояния пациента (например, “температура >39, плохо снижается, взрослый”)
✅ ФИО вызывавшего скорую помощь
✅ контактный телефон
✅ и многое другое…
Информация в базе похожа на логи (ОПЯТЬ логи!) какой-то системы мониторинга/отслеживания процесса выполнения задачи.
Самое печальное, что отсутствие аутентификации на этот раз не является единственной проблемой в данном инциденте. 😱
1️⃣ Во-первых, данную базу обнаружили украинские киберпреступники из группировки THack3forU, про которых мы упоминали тут: https://news.1rj.ru/str/dataleak/906
2️⃣ Во-вторых, киберпреступники выложили эту базу и ее IP-адрес в открытый доступ и теперь все данные «гуляют» по интернету. 😂
3️⃣ В-третьих, сервер базы данных с персональными и медицинскими данным российских граждан располагается в Германии, на площадке хостинговой компании Hetzner Online GmbH. 🤦♂️🤦🏻♂️
Telegram
Утечки информации
А вот пример того, почему важно быстро реагировать на оповещения исследователей безопасности, когда они сообщают компаниям об обнаружении открытых баз данных или других уязвимостей.
В данном конкретном случае украинские киберпреступники заявляют о взломе…
В данном конкретном случае украинские киберпреступники заявляют о взломе…
Установили предполагаемого владельца открытой базы данных московских станций скорой медицинской помощи - ООО «Компьютерные интеллектуальные системы» (КИ системы): http://c-i-systems.com/solutions/programs-smp/
Отослали им оповещение с предложением закрыть доступ к базе.
К сожалению, база уже утекла и находится в публичном доступе. 😂
Отослали им оповещение с предложением закрыть доступ к базе.
К сожалению, база уже утекла и находится в публичном доступе. 😂
Ну что? Поехали разбирать новый кейс... 🙈
Снова открытая база Elasticsearch. Снова в базе логи, в которых токены авторизации и прямые ссылки на незащищенные данные. Снова через токены можно попасть в личные кабинеты пользователей и получить полный доступ к их данным. Снова никто не ответил на оповещение и тихо прикрыв базу, оставил дыру с токенами. 🔥
Снова открытая база Elasticsearch. Снова в базе логи, в которых токены авторизации и прямые ссылки на незащищенные данные. Снова через токены можно попасть в личные кабинеты пользователей и получить полный доступ к их данным. Снова никто не ответил на оповещение и тихо прикрыв базу, оставил дыру с токенами. 🔥
На этот раз отличился сервис автообзвона zvonok.com (он же calltools.ru).
В открытой базе данных Elasticsearch находилось 4 индекса, каждый индекс представлял из себя технический лог системы.
Из логов легко можно было вычленить URL’ы, а по ним уже получить доступ к звонкам в формате WAV:
https://zvonok.com/manager/media/converted/*******dfc1/aed4cb1af98/1e39804439.wav
Зарывшись в логи чуть поглубже можно было найти токены авторизации (public_key). Из этой информации уже легко формировался URL для доступа в личный кабинет:
https://calltools.ru/lk/cabapi_external/api/v1/phones/call_by_id/?public_key=********dec33920b83d85998352fccb &call_id=1902071004846910
Кроме того, через логи можно было вытащить списки для автообзвона, которые использовали клиенты этого сервиса. Например, список с названием «сбер дебетовая» содержал 678 телефонных номеров. 👍
База оставалась открытой более 4 дней с момента первичного оповещения сервиса и «закрылась» 04.04.2019 в промежутке между 11:00 и 15:00 (МСК), после вторичного оповещения через чат на сайте.
Всего Shodan фиксировал эту базу 4 раза, начиная с 28-го января 2019 года.
В данный момент все URL по-прежнему работают и предоставляют доступ к данным клиентов сервиса. 🤦♂️🤦🏻♂️
В открытой базе данных Elasticsearch находилось 4 индекса, каждый индекс представлял из себя технический лог системы.
Из логов легко можно было вычленить URL’ы, а по ним уже получить доступ к звонкам в формате WAV:
https://zvonok.com/manager/media/converted/*******dfc1/aed4cb1af98/1e39804439.wav
Зарывшись в логи чуть поглубже можно было найти токены авторизации (public_key). Из этой информации уже легко формировался URL для доступа в личный кабинет:
https://calltools.ru/lk/cabapi_external/api/v1/phones/call_by_id/?public_key=********dec33920b83d85998352fccb &call_id=1902071004846910
Кроме того, через логи можно было вытащить списки для автообзвона, которые использовали клиенты этого сервиса. Например, список с названием «сбер дебетовая» содержал 678 телефонных номеров. 👍
База оставалась открытой более 4 дней с момента первичного оповещения сервиса и «закрылась» 04.04.2019 в промежутке между 11:00 и 15:00 (МСК), после вторичного оповещения через чат на сайте.
Всего Shodan фиксировал эту базу 4 раза, начиная с 28-го января 2019 года.
В данный момент все URL по-прежнему работают и предоставляют доступ к данным клиентов сервиса. 🤦♂️🤦🏻♂️
Используя токены из открытой базы zvonok.com можно было попасть в личные кабинеты пользователей сервиса.
Прокуратура Саратова начала проверку по факту несанкционированного складирования медицинских отходов, среди которых имеется медицинская документация на пациентов и работников, неподалеку от здания медицинского «Ди Центра».
В выброшенных документах сдержаться анкетные данные граждан, их домашние адреса, диагнозы и результаты обследований.
В выброшенных документах сдержаться анкетные данные граждан, их домашние адреса, диагнозы и результаты обследований.
Вы заметили, что веб-сайт компании ООО «Компьютерные интеллектуальные системы» (c-i-systems.com), который также располагался в Германии, как и база данных московских станций скорой медицинской помощи (про это тут: https://news.1rj.ru/str/dataleak/916), больше не доступен? 😎
Читатель канала прислал ссылку на расследование про группировку украинских хакеров THack3forU:
https://pikabu.ru/story/mamkinyi_khakeryi_na_strazhe_nezalezhnosti_6629474
Тех самых, что слили базу данных московских станций скорой медицинской помощи (про это тут: https://news.1rj.ru/str/dataleak/916).
https://pikabu.ru/story/mamkinyi_khakeryi_na_strazhe_nezalezhnosti_6629474
Тех самых, что слили базу данных московских станций скорой медицинской помощи (про это тут: https://news.1rj.ru/str/dataleak/916).
Пикабу
Мамкины хакеры на страже незалежности.
Сегодня многие IT-сообщества обсуждают обнаруженную в открытом доступе свежую и постоянно обновляемую базу данных московских станций скорой помощи. Ситуация, конечно, неприятная. Мало того, что всем ж Автор: Vlunu
Производственная компания «АВИСКОМ» (aviskom.pro) убрала, после нашего оповещения, из открытого доступа, принадлежащую им базу данных MongoDB.
База находилась в открытом доступе как минимум с 03.02.2019 и была закрыта 09.04.2019. Оповещение мы отправили 05.04.2019.
В базе, не требующей аутентификации, находились данные компании по проекту, связанному с технологическими комплексами для локомотивов.
База находилась в открытом доступе как минимум с 03.02.2019 и была закрыта 09.04.2019. Оповещение мы отправили 05.04.2019.
В базе, не требующей аутентификации, находились данные компании по проекту, связанному с технологическими комплексами для локомотивов.
Представители сервиса zvonok.com связались с нами и уведомили, что они закрыли дыру с токенами (про это все тут: https://news.1rj.ru/str/dataleak/922) , а также оповестили своих пользователей. 👍
Проверили - действительно прикрыли 😎
Проверили - действительно прикрыли 😎
Telegram
Утечки информации
На этот раз отличился сервис автообзвона zvonok.com (он же calltools.ru).
В открытой базе данных Elasticsearch находилось 4 индекса, каждый индекс представлял из себя технический лог системы.
Из логов легко можно было вычленить URL’ы, а по ним уже получить…
В открытой базе данных Elasticsearch находилось 4 индекса, каждый индекс представлял из себя технический лог системы.
Из логов легко можно было вычленить URL’ы, а по ним уже получить…
Обнаружили открытую MongoDB, размещенную на сервере «Муниципальное бюджетное учреждение Информационно-методический центр Ленинского района г. Екатеринбурга» (www.eimc.ru).
В базе находятся данные (в виде HTML-файлов) успеваемости учеников и логи доступа учителей к электронным дневникам.
Выслали оповещение компании-разработчику этой системы - ИРТех (ir-tech.ru)
В базе находятся данные (в виде HTML-файлов) успеваемости учеников и логи доступа учителей к электронным дневникам.
Выслали оповещение компании-разработчику этой системы - ИРТех (ir-tech.ru)
Вчера писали, что обнаружили сервер с базой ИС "Сетевой Город. Образование" в Екатеринбурге. Оповестили разработчика системы - ИРТех.
Оказалось, что таких открытых серверов всего 5 по всей стране (Ингушетия, Екатеринбург, Свердловская область и два в Якутии). Послали в ИРТех данные по остальным серверам.
Техподдержка ИРТех реагирует мегаоперативно: 👍
Благодарим Вас за проведенный анализ.
Информацию передадим администраторам в оперативном порядке.
Мы связались с администраторами сервера в г. Екатеринбург и сообщили им эту информацию, доступ был закрыт.
Оказалось, что таких открытых серверов всего 5 по всей стране (Ингушетия, Екатеринбург, Свердловская область и два в Якутии). Послали в ИРТех данные по остальным серверам.
Техподдержка ИРТех реагирует мегаоперативно: 👍
Благодарим Вас за проведенный анализ.
Информацию передадим администраторам в оперативном порядке.
Мы связались с администраторами сервера в г. Екатеринбург и сообщили им эту информацию, доступ был закрыт.
Немного подробностей про обнаруженные вчера данные из информационной системы «Сетевой Город. Образование».
Всего было обнаружено 5 серверов с базами данных MongoDB не требующими аутентификации для доступа. Одна база, обслуживающая Екатеринбург (netcity.eimc.ru) уже закрыта. В открытом доступе остаются сервера Ингушетии, Свердловской области и два сервера Якутии (один из них физически находится Брянской области). 🙈
Разработчиком ИС «Сетевой Город. Образование» является компания ИРТех (http://www.ir-tech.ru/?products=ais-setevoj-gorod-obrazovanie). Мы оповестили их вчера в 23:10 (МСК) и сегодня в 10:53 (МСК), сообщив вначале о первом сервере, а затем об обнаруженных еще 4-х серверах соответственно. Они в свою очередь очень оперативно связались с администраторами этих серверов на местах. 😎
В открытом доступе обнаружены HTML-файлы с данными учеников и учителей различных школ, указанных выше регионов России. Среди прочего:
✅ ФИО учителей
✅ Фамилии и имена учеников
✅ Номера (полные названия) школ и классов
✅ Оценки учеников по всем предметам (электронный дневник)
✅ Фотографии учеников (не во всех документах)
✅ Журналы доступа учителей к электронным дневникам («Отчет о доступе к классному журналу»)
Все данные за учебный год 2018/2019. 🤦♂️
Всего было обнаружено 5 серверов с базами данных MongoDB не требующими аутентификации для доступа. Одна база, обслуживающая Екатеринбург (netcity.eimc.ru) уже закрыта. В открытом доступе остаются сервера Ингушетии, Свердловской области и два сервера Якутии (один из них физически находится Брянской области). 🙈
Разработчиком ИС «Сетевой Город. Образование» является компания ИРТех (http://www.ir-tech.ru/?products=ais-setevoj-gorod-obrazovanie). Мы оповестили их вчера в 23:10 (МСК) и сегодня в 10:53 (МСК), сообщив вначале о первом сервере, а затем об обнаруженных еще 4-х серверах соответственно. Они в свою очередь очень оперативно связались с администраторами этих серверов на местах. 😎
В открытом доступе обнаружены HTML-файлы с данными учеников и учителей различных школ, указанных выше регионов России. Среди прочего:
✅ ФИО учителей
✅ Фамилии и имена учеников
✅ Номера (полные названия) школ и классов
✅ Оценки учеников по всем предметам (электронный дневник)
✅ Фотографии учеников (не во всех документах)
✅ Журналы доступа учителей к электронным дневникам («Отчет о доступе к классному журналу»)
Все данные за учебный год 2018/2019. 🤦♂️
Довольно интересный анализ сайта “Управление материально-технического обеспечения” Управления делами президента Республики Казахстан (umto.kz) с помощью ПО Lampyre.
Автор нам неизвестен.
Автор нам неизвестен.