Установили предполагаемого владельца открытой базы данных московских станций скорой медицинской помощи - ООО «Компьютерные интеллектуальные системы» (КИ системы): http://c-i-systems.com/solutions/programs-smp/
Отослали им оповещение с предложением закрыть доступ к базе.
К сожалению, база уже утекла и находится в публичном доступе. 😂
Отослали им оповещение с предложением закрыть доступ к базе.
К сожалению, база уже утекла и находится в публичном доступе. 😂
Ну что? Поехали разбирать новый кейс... 🙈
Снова открытая база Elasticsearch. Снова в базе логи, в которых токены авторизации и прямые ссылки на незащищенные данные. Снова через токены можно попасть в личные кабинеты пользователей и получить полный доступ к их данным. Снова никто не ответил на оповещение и тихо прикрыв базу, оставил дыру с токенами. 🔥
Снова открытая база Elasticsearch. Снова в базе логи, в которых токены авторизации и прямые ссылки на незащищенные данные. Снова через токены можно попасть в личные кабинеты пользователей и получить полный доступ к их данным. Снова никто не ответил на оповещение и тихо прикрыв базу, оставил дыру с токенами. 🔥
На этот раз отличился сервис автообзвона zvonok.com (он же calltools.ru).
В открытой базе данных Elasticsearch находилось 4 индекса, каждый индекс представлял из себя технический лог системы.
Из логов легко можно было вычленить URL’ы, а по ним уже получить доступ к звонкам в формате WAV:
https://zvonok.com/manager/media/converted/*******dfc1/aed4cb1af98/1e39804439.wav
Зарывшись в логи чуть поглубже можно было найти токены авторизации (public_key). Из этой информации уже легко формировался URL для доступа в личный кабинет:
https://calltools.ru/lk/cabapi_external/api/v1/phones/call_by_id/?public_key=********dec33920b83d85998352fccb &call_id=1902071004846910
Кроме того, через логи можно было вытащить списки для автообзвона, которые использовали клиенты этого сервиса. Например, список с названием «сбер дебетовая» содержал 678 телефонных номеров. 👍
База оставалась открытой более 4 дней с момента первичного оповещения сервиса и «закрылась» 04.04.2019 в промежутке между 11:00 и 15:00 (МСК), после вторичного оповещения через чат на сайте.
Всего Shodan фиксировал эту базу 4 раза, начиная с 28-го января 2019 года.
В данный момент все URL по-прежнему работают и предоставляют доступ к данным клиентов сервиса. 🤦♂️🤦🏻♂️
В открытой базе данных Elasticsearch находилось 4 индекса, каждый индекс представлял из себя технический лог системы.
Из логов легко можно было вычленить URL’ы, а по ним уже получить доступ к звонкам в формате WAV:
https://zvonok.com/manager/media/converted/*******dfc1/aed4cb1af98/1e39804439.wav
Зарывшись в логи чуть поглубже можно было найти токены авторизации (public_key). Из этой информации уже легко формировался URL для доступа в личный кабинет:
https://calltools.ru/lk/cabapi_external/api/v1/phones/call_by_id/?public_key=********dec33920b83d85998352fccb &call_id=1902071004846910
Кроме того, через логи можно было вытащить списки для автообзвона, которые использовали клиенты этого сервиса. Например, список с названием «сбер дебетовая» содержал 678 телефонных номеров. 👍
База оставалась открытой более 4 дней с момента первичного оповещения сервиса и «закрылась» 04.04.2019 в промежутке между 11:00 и 15:00 (МСК), после вторичного оповещения через чат на сайте.
Всего Shodan фиксировал эту базу 4 раза, начиная с 28-го января 2019 года.
В данный момент все URL по-прежнему работают и предоставляют доступ к данным клиентов сервиса. 🤦♂️🤦🏻♂️
Используя токены из открытой базы zvonok.com можно было попасть в личные кабинеты пользователей сервиса.
Прокуратура Саратова начала проверку по факту несанкционированного складирования медицинских отходов, среди которых имеется медицинская документация на пациентов и работников, неподалеку от здания медицинского «Ди Центра».
В выброшенных документах сдержаться анкетные данные граждан, их домашние адреса, диагнозы и результаты обследований.
В выброшенных документах сдержаться анкетные данные граждан, их домашние адреса, диагнозы и результаты обследований.
Вы заметили, что веб-сайт компании ООО «Компьютерные интеллектуальные системы» (c-i-systems.com), который также располагался в Германии, как и база данных московских станций скорой медицинской помощи (про это тут: https://news.1rj.ru/str/dataleak/916), больше не доступен? 😎
Читатель канала прислал ссылку на расследование про группировку украинских хакеров THack3forU:
https://pikabu.ru/story/mamkinyi_khakeryi_na_strazhe_nezalezhnosti_6629474
Тех самых, что слили базу данных московских станций скорой медицинской помощи (про это тут: https://news.1rj.ru/str/dataleak/916).
https://pikabu.ru/story/mamkinyi_khakeryi_na_strazhe_nezalezhnosti_6629474
Тех самых, что слили базу данных московских станций скорой медицинской помощи (про это тут: https://news.1rj.ru/str/dataleak/916).
Пикабу
Мамкины хакеры на страже незалежности.
Сегодня многие IT-сообщества обсуждают обнаруженную в открытом доступе свежую и постоянно обновляемую базу данных московских станций скорой помощи. Ситуация, конечно, неприятная. Мало того, что всем ж Автор: Vlunu
Производственная компания «АВИСКОМ» (aviskom.pro) убрала, после нашего оповещения, из открытого доступа, принадлежащую им базу данных MongoDB.
База находилась в открытом доступе как минимум с 03.02.2019 и была закрыта 09.04.2019. Оповещение мы отправили 05.04.2019.
В базе, не требующей аутентификации, находились данные компании по проекту, связанному с технологическими комплексами для локомотивов.
База находилась в открытом доступе как минимум с 03.02.2019 и была закрыта 09.04.2019. Оповещение мы отправили 05.04.2019.
В базе, не требующей аутентификации, находились данные компании по проекту, связанному с технологическими комплексами для локомотивов.
Представители сервиса zvonok.com связались с нами и уведомили, что они закрыли дыру с токенами (про это все тут: https://news.1rj.ru/str/dataleak/922) , а также оповестили своих пользователей. 👍
Проверили - действительно прикрыли 😎
Проверили - действительно прикрыли 😎
Telegram
Утечки информации
На этот раз отличился сервис автообзвона zvonok.com (он же calltools.ru).
В открытой базе данных Elasticsearch находилось 4 индекса, каждый индекс представлял из себя технический лог системы.
Из логов легко можно было вычленить URL’ы, а по ним уже получить…
В открытой базе данных Elasticsearch находилось 4 индекса, каждый индекс представлял из себя технический лог системы.
Из логов легко можно было вычленить URL’ы, а по ним уже получить…
Обнаружили открытую MongoDB, размещенную на сервере «Муниципальное бюджетное учреждение Информационно-методический центр Ленинского района г. Екатеринбурга» (www.eimc.ru).
В базе находятся данные (в виде HTML-файлов) успеваемости учеников и логи доступа учителей к электронным дневникам.
Выслали оповещение компании-разработчику этой системы - ИРТех (ir-tech.ru)
В базе находятся данные (в виде HTML-файлов) успеваемости учеников и логи доступа учителей к электронным дневникам.
Выслали оповещение компании-разработчику этой системы - ИРТех (ir-tech.ru)
Вчера писали, что обнаружили сервер с базой ИС "Сетевой Город. Образование" в Екатеринбурге. Оповестили разработчика системы - ИРТех.
Оказалось, что таких открытых серверов всего 5 по всей стране (Ингушетия, Екатеринбург, Свердловская область и два в Якутии). Послали в ИРТех данные по остальным серверам.
Техподдержка ИРТех реагирует мегаоперативно: 👍
Благодарим Вас за проведенный анализ.
Информацию передадим администраторам в оперативном порядке.
Мы связались с администраторами сервера в г. Екатеринбург и сообщили им эту информацию, доступ был закрыт.
Оказалось, что таких открытых серверов всего 5 по всей стране (Ингушетия, Екатеринбург, Свердловская область и два в Якутии). Послали в ИРТех данные по остальным серверам.
Техподдержка ИРТех реагирует мегаоперативно: 👍
Благодарим Вас за проведенный анализ.
Информацию передадим администраторам в оперативном порядке.
Мы связались с администраторами сервера в г. Екатеринбург и сообщили им эту информацию, доступ был закрыт.
Немного подробностей про обнаруженные вчера данные из информационной системы «Сетевой Город. Образование».
Всего было обнаружено 5 серверов с базами данных MongoDB не требующими аутентификации для доступа. Одна база, обслуживающая Екатеринбург (netcity.eimc.ru) уже закрыта. В открытом доступе остаются сервера Ингушетии, Свердловской области и два сервера Якутии (один из них физически находится Брянской области). 🙈
Разработчиком ИС «Сетевой Город. Образование» является компания ИРТех (http://www.ir-tech.ru/?products=ais-setevoj-gorod-obrazovanie). Мы оповестили их вчера в 23:10 (МСК) и сегодня в 10:53 (МСК), сообщив вначале о первом сервере, а затем об обнаруженных еще 4-х серверах соответственно. Они в свою очередь очень оперативно связались с администраторами этих серверов на местах. 😎
В открытом доступе обнаружены HTML-файлы с данными учеников и учителей различных школ, указанных выше регионов России. Среди прочего:
✅ ФИО учителей
✅ Фамилии и имена учеников
✅ Номера (полные названия) школ и классов
✅ Оценки учеников по всем предметам (электронный дневник)
✅ Фотографии учеников (не во всех документах)
✅ Журналы доступа учителей к электронным дневникам («Отчет о доступе к классному журналу»)
Все данные за учебный год 2018/2019. 🤦♂️
Всего было обнаружено 5 серверов с базами данных MongoDB не требующими аутентификации для доступа. Одна база, обслуживающая Екатеринбург (netcity.eimc.ru) уже закрыта. В открытом доступе остаются сервера Ингушетии, Свердловской области и два сервера Якутии (один из них физически находится Брянской области). 🙈
Разработчиком ИС «Сетевой Город. Образование» является компания ИРТех (http://www.ir-tech.ru/?products=ais-setevoj-gorod-obrazovanie). Мы оповестили их вчера в 23:10 (МСК) и сегодня в 10:53 (МСК), сообщив вначале о первом сервере, а затем об обнаруженных еще 4-х серверах соответственно. Они в свою очередь очень оперативно связались с администраторами этих серверов на местах. 😎
В открытом доступе обнаружены HTML-файлы с данными учеников и учителей различных школ, указанных выше регионов России. Среди прочего:
✅ ФИО учителей
✅ Фамилии и имена учеников
✅ Номера (полные названия) школ и классов
✅ Оценки учеников по всем предметам (электронный дневник)
✅ Фотографии учеников (не во всех документах)
✅ Журналы доступа учителей к электронным дневникам («Отчет о доступе к классному журналу»)
Все данные за учебный год 2018/2019. 🤦♂️
Довольно интересный анализ сайта “Управление материально-технического обеспечения” Управления делами президента Республики Казахстан (umto.kz) с помощью ПО Lampyre.
Автор нам неизвестен.
Автор нам неизвестен.
Forwarded from DeviceLock RU
DeviceLock изучила более 1,9 тыс. серверов в российском сегменте интернета, использующих облачные базы данных MongoDB, Elasticsearch и Yandex ClickHouse. Более половины из них (52%) предоставляли возможность неавторизованного доступа.
Эти облачные базы данных популярны и чаще всего неправильно конфигурируются, считают в DeviceLock. 10% из них при этом содержали персональные данные россиян или коммерческую информацию компаний, а еще 4% уже были до этого взломаны хакерами и получали требования о выкупе.
Главной причиной неавторизованного доступа к облачным базам данных становятся ошибки конфигурации из-за низкой квалификации администраторов этих баз данных, полагает основатель и технический директор DeviceLock Ашот Оганесян.
Владельцы таких баз медленно реагируют на оповещения о необходимости закрыть доступ к данным.
«Известны неединичные случаи, когда обнаруженные нами открытые базы данных находились и скачивались хакерами уже после нашего оповещения»,— подчеркивает господин Оганесян.
https://www.kommersant.ru/doc/3939724
Эти облачные базы данных популярны и чаще всего неправильно конфигурируются, считают в DeviceLock. 10% из них при этом содержали персональные данные россиян или коммерческую информацию компаний, а еще 4% уже были до этого взломаны хакерами и получали требования о выкупе.
Главной причиной неавторизованного доступа к облачным базам данных становятся ошибки конфигурации из-за низкой квалификации администраторов этих баз данных, полагает основатель и технический директор DeviceLock Ашот Оганесян.
Владельцы таких баз медленно реагируют на оповещения о необходимости закрыть доступ к данным.
«Известны неединичные случаи, когда обнаруженные нами открытые базы данных находились и скачивались хакерами уже после нашего оповещения»,— подчеркивает господин Оганесян.
https://www.kommersant.ru/doc/3939724
Прошло более суток с момента нашего оповещения о пяти открытых баз данных ИС «Сетевой Город. Образование» (про это тут: https://news.1rj.ru/str/dataleak/931) и до сих пор в свободном доступе остается один сервер MongoDB, обслуживающий Якутию (при этом сам сервер физически находится в Брянской области).
В марте мы обнаружили открытую базу данных Elasticsearch, принадлежащую бирже грузоперевозок «Cargomart» (cargomart.ru).
В базе содержались логи системы, из которых можно было получить некоторые данные заказов и клиентов.
Мы сообщили о проблеме разработчику этой системы 25-го марта в 10 утра по Москве и уже через час база была закрыта: 👍
Наша техническая служба, действительно, выявила проблему и передает вам искреннюю благодарность за помощь :)
В базе содержались логи системы, из которых можно было получить некоторые данные заказов и клиентов.
Мы сообщили о проблеме разработчику этой системы 25-го марта в 10 утра по Москве и уже через час база была закрыта: 👍
Наша техническая служба, действительно, выявила проблему и передает вам искреннюю благодарность за помощь :)