Данные пользователей Госуслуг утекли в сеть
Неизвестные выложили персональные данные пользователей Госуслуг одного из российских регионов. Утечка произошла из-за ошибочной настройки программного обеспечения одного из серверов портала, в результате чего данные оказались доступными для свободного скачивания.
«Дыра» все еще не закрыта, а степень угрозы пока не ясна.
О том, что персональные данные пользователей портала Госулуг оказались выложены в в свободном доступе, сообщил основатель DeviceLock Ашот Оганесян. Данные можно скачать на одном из форумов, специализирующихся на утекших базах данных (“Ъ” не приводит его название из соображения безопасности пострадавших граждан). Автор поста выложил файл с данными более 28 тысяч пользователей.
Структура этих данных разнится, но среди них, например, есть ФИО, дата рождения, СНИЛС и ИНН, номер телефона, электронная почта, информация о детях и другая.«В процессе мониторинга теневых форумов, где распространяют базы данных, был выявлен тестовый пример дампа сервера с логами доступа, к предположительно сервису Госуслуг для Ханты-Мансийского автономного округа,— пояснил “Ъ” господин Оганесян.— В ходе анализа тестового экземпляра, было установлено, что он получен из открытого индекса Elasticsearch-сервера, оставленного в свободном доступе из-за ошибки конфигурирования».
Этот сервер, по словам Ашота Оганесяна, расположенный на площадке Ростелеком, был проиндексирован поисковиком Shodan 3-го декабря 2019 года, что указывает на то, что данные могли находиться в открытом доступе как минимум с этой даты.
В отличие от тех данных, что успели скачать и выложить в свободный доступ, на сервере есть и другие, имеющие существенное значение, например, токены авторизации для доступа в личные кабинеты с мобильных устройств.Пока достоверно не известно, можно ли с помощью этих токенов получить доступ в личные кабинеты пользователей. По информации “Ъ”, утечку пытаются закрыть со вчерашнего дня. “Ъ” обратился за официальными комментариями в «Ростелеком», Минкомсвязи и Роскомнадзор.
«Дыра» все еще не закрыта, а степень угрозы пока не ясна.
О том, что персональные данные пользователей портала Госулуг оказались выложены в в свободном доступе, сообщил основатель DeviceLock Ашот Оганесян. Данные можно скачать на одном из форумов, специализирующихся на утекших базах данных (“Ъ” не приводит его название из соображения безопасности пострадавших граждан). Автор поста выложил файл с данными более 28 тысяч пользователей.
Структура этих данных разнится, но среди них, например, есть ФИО, дата рождения, СНИЛС и ИНН, номер телефона, электронная почта, информация о детях и другая.«В процессе мониторинга теневых форумов, где распространяют базы данных, был выявлен тестовый пример дампа сервера с логами доступа, к предположительно сервису Госуслуг для Ханты-Мансийского автономного округа,— пояснил “Ъ” господин Оганесян.— В ходе анализа тестового экземпляра, было установлено, что он получен из открытого индекса Elasticsearch-сервера, оставленного в свободном доступе из-за ошибки конфигурирования».
Этот сервер, по словам Ашота Оганесяна, расположенный на площадке Ростелеком, был проиндексирован поисковиком Shodan 3-го декабря 2019 года, что указывает на то, что данные могли находиться в открытом доступе как минимум с этой даты.
В отличие от тех данных, что успели скачать и выложить в свободный доступ, на сервере есть и другие, имеющие существенное значение, например, токены авторизации для доступа в личные кабинеты с мобильных устройств.Пока достоверно не известно, можно ли с помощью этих токенов получить доступ в личные кабинеты пользователей. По информации “Ъ”, утечку пытаются закрыть со вчерашнего дня. “Ъ” обратился за официальными комментариями в «Ростелеком», Минкомсвязи и Роскомнадзор.
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.
+1
продали суки
- ↓
0
Всё дело в том, что компьютерная техника не развивается принципиально. Я имею в виду не робототехнику, а компьютеры, которые массово используются в управленческих конторах по всему миру. Развитие имитируется, а компьютеры всё больше превращаются в игрушки, за которыми чиновная рать чаще всего просто бездельничает, играя. И ухищрения по якобы защите информации — дырявое одеяло, в котором то там, то тут обнаруживаются прорехи
- ↓
0
Эта «утечка» уже не первая и, боюсь, не последняя. Давно уже паспортные данные в доступе по некоторым регионам. Скоро по всем будут.
- ↓
+1
Здесь уже более серьёзная утечка, чем просто ФИО и номер телефона, которыми торгуют операторы на право и налево.
- ↓