MongoDB, Elastic, кривые руки программистов госструктур и законы открывают данные россиян злоумышленникам

Развитие событий: У Сбербанка утекли данные о 60 млн клиентов с кредитками (3 октября 2019)

Иван Бегтин, председатель Ассоциации участников рынков данных, и Ашот Оганесян, технический директор DeviceLock DLP, показали массовую информационную дырявость, как сайтов государственных структур, так и частного бизнеса. Самым существенным недостатком выявленных уязвимостей является то, что никто не реагирует на выявляемые проблемы до тех пор, пока они не становятся публичными. Более того, Роскомнадзор, как регулятор, в ряде случаев (см. ниже) просто констатирует, что формального нарушения закона нет и то или иное раскрытие ПД правомерно.

Основных вариантов утечек два:

  • Тупость разработчиков, оставляющих дефолтные пароли на базы MongoDB и Elastic. При этом MongoDB открывается ещё и на запись, таких баз более половины. DeviceLock исследовал 1900 серверов на платформах MongoDB, Elasticsearch и Yandex ClickHouse — 52% предоставляли возможность неавторизованного доступа.
  • "Добросовестность" разработчиков, выполняющих законы, но лишь формально. "Причина — в нежелании официальных лиц что-либо делать, хотя они знают о ситуации и непрофессионализме при разработке ИТ-систем", — говорит Иван Бегтин. Особенности регулирования описаны законодателем не исчерпывающе. В результате, формально не нарушая закон, госструктуры могут раскрывать огромные реестры с персональными данными россиян.

После совершения утечек их устранению мешает, как нежелание лечить проблемы с безопасностью у самих разработчиков, так и пассивность госорганов. По идее регуляторы, должны контролировать распространение персональных данных россиян. Но ни Роскомнадзор, ни сами разработчики чаще всего не реагируют на частные сигналы о том, что у них есть проблемы с безопасностью. Видимая активность возможна лишь после освещение проблем в прессе.

Среди самых шумных утечек:

  • 2,24 млн записей с паспортными данными, СНИЛС и сведениями о трудоустройстве россиян, утекшие с электронных торговых площадок.
  • База данных пациентов подмосковной скорой помощи
  • 360 000 записей из государственных систем, подконтрольных Минфину, Минюсту, Роструду, ФАС России, Федеральному казначейству и мэрии Москвы.

В упомянутых выше базах РБК прочёл персональные данные российских знаменитостей и чиновников: Дворковича, Чубайса, первого зама председателя Госдумы Жукова, топ-менеджеров "Роснано", персональные данные банкиров, губернаторов, телеведущих.

В начале мая выяснилось, что хакеры группировки Unistellar уничтожили данные нескольких тысяч "открытых" баз MongoDB и потребовали выкуп за восстановление данных, оставив запись "hacked_by_unistellar" и сообщение "Restore? Contact". В России находится более 230 серверов с MongoDB, подвергшихся "нападению", а всего по миру их более 12,5 тысяч, рассказал Ашот Оганесян. "Для поиска "открытых" баз данных используются автоматизированные сканеры. Вопрос уже стоит не в форме "найти и устранить уязвимость", а в форме "сделать это до того, как ее найдут хакеры", — подчеркнул технический директор.

Из ВТБ, «Сбера», госсайтов Москвы и с онлайн-магазинов утекли: ФИО, номера карт, сканы паспортов, билеты РЖД и Аэрофлота

Роскомнадзор, на исследование об утечках из госсистем, ответил Ивану Бегтину отдельным пресс-релизом. Регулятор подтвердил, что раскрытие персональных данных допустимо в рамках действующего законодательства:

В связи с публикациями в СМИ специалистами Роскомнадзора проведена оценка правомерности нахождения в открытом интернет-доступе порядка 360 тысяч записей с личными данными россиян, размещенных в информационных государственных системах. Анализ ситуации показал, что такое опубликование персональных данных подпадает под правовые основания, предусмотренные статьей 6 Федерального закона «О персональных данных».

Роскомнадзор: В работе операторов информационных государственных систем не найдено нарушений закона о персональных данных.

Добавить 9 комментариев

  • Ответить
    Альтер Эго

    Бегтин на «Коммерсантъ FM»:

    Кто виноват в том, что паспортные данные Анатолия Чубайса, Аркадия Дворковича и других госдеятелей попали в открытый доступ? Подробно разъясняет Иван Бегтин, глава Ассоциации участников рынков данных, который и выявил масштабные утечки.

    ▪️Исследование было проведено в августе 2018 года, оно охватывало государственные информационные системы, электронные торговые площадки и удостоверительные центры. По минимальной оценке, объем утечки — не менее 2,5 млн записей.

    ▪️Самая удручающая ситуация – в двух ведомствах: Роскомнадзоре и Министерстве юстиции. Причем во втором утечки не самые большие по масштабу, но значительные по людям, о которых раскрывается информация. То есть вопрос не только про рядовых граждан, но и про особо охраняемых лиц, чьи паспортные данные оказываются в открытом доступе. Реакция Минюста должна была быть моментальной, как и Роскомнадзора. Но глобально ничего сделано не было.

    ▪️Масштабы утечек, которые происходят системно, несопоставимы ни с одной частной компанией. Самое критичное здесь — бездействие Роскомнадзора, который был создан как раз для того, чтобы избежать подобного.

    ▪️Минкомсвязи за все эти годы не проводило проверок удостоверяющих центров. В первой части исследования выявили определенное количество утечек в этих центрах — уходили данные по ФИО, СНИЛС, место работы, должности сотрудника, адреса электронной почты. И по факту это просто ошибки в исполнении законодательства и приказов Минкомсвязи.

    ▪️Отчасти причина проблем с данными — это безумие наших нормативных требований и требований документооборота, отчасти это происходит просто от неграмотности законодателей, которые прописывают определенные требования, абсолютно не зная, к чему это приведет.

  • Ответить

    Наша государственная идеология — Православие!
    Она учит прощать, ударили по одной щеке, подставь вторую!
    Правда прощает пока только своих, надо же на ком-то все отработать. На банках уже отработали прощение экономической «неэффективности»

    >ЦБ напечатал для спасения банков 6 триллионов рублей за 4 года
    https://www.finanz.ru/novosti/aktsii/cb-napechatal-dlya-spaseniya-bankov-6-trillionov-rubley-za-4-goda-1026706506

  • Ответить

    Это издержки цифровой глобализации, как автомобили, что приносят ущерб людям больше , чем войны и ночные разбойники !
    Потому спасет лишь переход на интегральные электронные паспорта(ID), с чипом многомерной биометрической идентификации. Плюс привязка Сим-карт операторов сотовой связи и Имей-номеров смартфонов (и др. интернет-гаджетов) к паспорту и Реестру граждан. Плюс видеофиксация, защищенная внутренняя сеть для финопераций , госуслуг, медицины, образования и других серьезных дел и многое другое. А большой Интернет для развлекухи. Отсюда — https://www.litlib.net/bk/102854/read Страшее, то что во многих авторитарных странах это приведет к резкому ущемлению свобод.

  • Ответить

    Дело не в кривых руках, а в количестве денег, выделяемых на разработчиков. Будет вам хороший специалист делать нормальный сервис за 20 тыр? Ну или за 60, но один? Не, легче взять студента. Одного. А потом на него всю вину и повесить.