Опять сотни тысяч платежей граждан в ГИБДД и ФССП находились в открытом доступе

Помните я писал на Хабре ^[1] и у себя в Telegram-канале ^[2], как в открытом доступе оказались подробности платежей в пользу ГИБДД и ФССП пользователей сайтов оплатагибдд.рф, paygibdd.ru, gos-oplata.ru, штрафов.net и oplata-fssp.ru?

Опять сотни тысяч платежей граждан в ГИБДД и ФССП находились в открытом доступе - 1

Только не надо смеяться, это вовсе не шутка — тот же самый сервер с данными той же самой системы снова оказался открытым для всего мира.

Ну что, поехали разбираться…

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

Для начала немного напомню хронологию событий:

12.04.2019 (ночью) был обнаружен сервер Elasticsearch, не требующий аутентификации для подключения.
13.04.2019 (утром) было отправлено оповещение владельцам сервера.
13.04.2019 (днем) сервер «тихо» был убран из открытого доступа.

На момент первого закрытия сервера, индексы Elasticsearch выглядели так:

Опять сотни тысяч платежей граждан в ГИБДД и ФССП находились в открытом доступе - 2

И вот 21.05.2019 около 16:00 (МСК) тот же самый сервер Elasticsearch, с теми же самыми (плюс новые) индексами снова появляется в открытом доступе:

Опять сотни тысяч платежей граждан в ГИБДД и ФССП находились в открытом доступе - 3

Я не поверил своим глазам, когда увидел (сразу после выступления на PHDays на тему обнаружения открытых баз) в почте нотификацию от нашей DeviceLock Data Breach Intelligence ^[3]. Если честно, то первая мысль была, что это какой-то глюк системы.

Однако, нет это был не глюк и перепроверив все вручную, в 01:25 уже 22.05.2019 я снова отправил оповещение по тем же самым адресам, что и в первый раз.

С момента первого закрытия, данный сервер сканировался Shodan’ом 11 раз и вплоть до 21-го мая Elasticsearch на нем был прикрыт.

Только 24.05.2019 утром этот Elasticsearch исчез из открытого доступа второй раз. За это время индексы солидно подросли:

Опять сотни тысяч платежей граждан в ГИБДД и ФССП находились в открытом доступе - 4

А если посмотреть на данные (только значимая информация, содержащая персональные данные граждан) в индексах за промежуток с 1-го по 22-е мая, то картина такая:

127,525 записей в индексе paygibdd
49,627 записей в индексе shtrafov-net
162,282 записей в индексе oplata-fssp
220,201 записей в индексе gosoplata

Пример данных из индекса gosoplata:

Опять сотни тысяч платежей граждан в ГИБДД и ФССП находились в открытом доступе - 5

Пример данных из индекса paygibdd:

Опять сотни тысяч платежей граждан в ГИБДД и ФССП находились в открытом доступе - 6

Ну а вишенкой на торте стало письмо с одного из адресов, на которые я отправлял оповещения:

Получили Ваше письмо про открытый ElasticSearch — спасибо за информацию, базу данных закрыли. Системный администратор, повторно открывший доступ, уволен. Также юрслужба готовит к направлению в МВД по Республике Татарстан Заявление о признаках наличия в действиях системного администратора состава по 272 и 273 статьям УК РФ.

Новости про утечки информации и инсайдеров всегда можно найти на моем Telegram-канале «Утечки информации ^[4]»: https://t.me/dataleak ^[5].

Автор: Ashot Oganesyan

Источник ^[6]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/319286

Ссылки в тексте:

[1] писал на Хабре: https://habr.com/ru/post/448440/

[2] в Telegram-канале: http://tele.click/dataleak/961

[3] DeviceLock Data Breach Intelligence: https://www.devicelock.com/ru/data-breach-intelligence/

[4] Утечки информации: http://tele.click/dataleak

[5] https://t.me/dataleak: https://t.me/dataleak

[6] Источник: https://habr.com/ru/post/454048/?utm_source=habrahabr&utm_medium=rss&utm_campaign=454048

Нажмите здесь для печати.