Опять сотни тысяч платежей граждан в ГИБДД и ФССП находились в открытом доступе

в 4:16, , рубрики: data breach, data leak, elasticsearch, Администрирование баз данных, госуслуги, информационная безопасность, платежные системы, утечки данных, утечки информации

Помните я писал на Хабре и у себя в Telegram-канале, как в открытом доступе оказались подробности платежей в пользу ГИБДД и ФССП пользователей сайтов оплатагибдд.рф, paygibdd.ru, gos-oplata.ru, штрафов.net и oplata-fssp.ru?

Опять сотни тысяч платежей граждан в ГИБДД и ФССП находились в открытом доступе - 1

Только не надо смеяться, это вовсе не шутка — тот же самый сервер с данными той же самой системы снова оказался открытым для всего мира.

Ну что, поехали разбираться…

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

Для начала немного напомню хронологию событий:

  • 12.04.2019 (ночью) был обнаружен сервер Elasticsearch, не требующий аутентификации для подключения.
  • 13.04.2019 (утром) было отправлено оповещение владельцам сервера.
  • 13.04.2019 (днем) сервер «тихо» был убран из открытого доступа.

На момент первого закрытия сервера, индексы Elasticsearch выглядели так:

Опять сотни тысяч платежей граждан в ГИБДД и ФССП находились в открытом доступе - 2

И вот 21.05.2019 около 16:00 (МСК) тот же самый сервер Elasticsearch, с теми же самыми (плюс новые) индексами снова появляется в открытом доступе:

Опять сотни тысяч платежей граждан в ГИБДД и ФССП находились в открытом доступе - 3

Я не поверил своим глазам, когда увидел (сразу после выступления на PHDays на тему обнаружения открытых баз) в почте нотификацию от нашей DeviceLock Data Breach Intelligence. Если честно, то первая мысль была, что это какой-то глюк системы.

Однако, нет это был не глюк и перепроверив все вручную, в 01:25 уже 22.05.2019 я снова отправил оповещение по тем же самым адресам, что и в первый раз.

С момента первого закрытия, данный сервер сканировался Shodan’ом 11 раз и вплоть до 21-го мая Elasticsearch на нем был прикрыт.

Только 24.05.2019 утром этот Elasticsearch исчез из открытого доступа второй раз. За это время индексы солидно подросли:

Опять сотни тысяч платежей граждан в ГИБДД и ФССП находились в открытом доступе - 4

А если посмотреть на данные (только значимая информация, содержащая персональные данные граждан) в индексах за промежуток с 1-го по 22-е мая, то картина такая:

  • 127,525 записей в индексе paygibdd
  • 49,627 записей в индексе shtrafov-net
  • 162,282 записей в индексе oplata-fssp
  • 220,201 записей в индексе gosoplata

Пример данных из индекса gosoplata:

Опять сотни тысяч платежей граждан в ГИБДД и ФССП находились в открытом доступе - 5

Пример данных из индекса paygibdd:

Опять сотни тысяч платежей граждан в ГИБДД и ФССП находились в открытом доступе - 6

Ну а вишенкой на торте стало письмо с одного из адресов, на которые я отправлял оповещения:

Получили Ваше письмо про открытый ElasticSearch — спасибо за информацию, базу данных закрыли. Системный администратор, повторно открывший доступ, уволен. Также юрслужба готовит к направлению в МВД по Республике Татарстан Заявление о признаках наличия в действиях системного администратора состава по 272 и 273 статьям УК РФ.

Новости про утечки информации и инсайдеров всегда можно найти на моем Telegram-канале «Утечки информации»: https://t.me/dataleak.

Автор: Ashot Oganesyan

Источник

* - обязательные к заполнению поля