- PVSM.RU - https://www.pvsm.ru -
Помните я писал на Хабре [1] и у себя в Telegram-канале [2], как в открытом доступе оказались подробности платежей в пользу ГИБДД и ФССП пользователей сайтов оплатагибдд.рф, paygibdd.ru, gos-oplata.ru, штрафов.net и oplata-fssp.ru?
Только не надо смеяться, это вовсе не шутка — тот же самый сервер с данными той же самой системы снова оказался открытым для всего мира.
Ну что, поехали разбираться…
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Для начала немного напомню хронологию событий:
На момент первого закрытия сервера, индексы Elasticsearch выглядели так:
И вот 21.05.2019 около 16:00 (МСК) тот же самый сервер Elasticsearch, с теми же самыми (плюс новые) индексами снова появляется в открытом доступе:
Я не поверил своим глазам, когда увидел (сразу после выступления на PHDays на тему обнаружения открытых баз) в почте нотификацию от нашей DeviceLock Data Breach Intelligence [3]. Если честно, то первая мысль была, что это какой-то глюк системы.
Однако, нет это был не глюк и перепроверив все вручную, в 01:25 уже 22.05.2019 я снова отправил оповещение по тем же самым адресам, что и в первый раз.
С момента первого закрытия, данный сервер сканировался Shodan’ом 11 раз и вплоть до 21-го мая Elasticsearch на нем был прикрыт.
Только 24.05.2019 утром этот Elasticsearch исчез из открытого доступа второй раз. За это время индексы солидно подросли:
А если посмотреть на данные (только значимая информация, содержащая персональные данные граждан) в индексах за промежуток с 1-го по 22-е мая, то картина такая:
Пример данных из индекса gosoplata:
Пример данных из индекса paygibdd:
Ну а вишенкой на торте стало письмо с одного из адресов, на которые я отправлял оповещения:
Получили Ваше письмо про открытый ElasticSearch — спасибо за информацию, базу данных закрыли. Системный администратор, повторно открывший доступ, уволен. Также юрслужба готовит к направлению в МВД по Республике Татарстан Заявление о признаках наличия в действиях системного администратора состава по 272 и 273 статьям УК РФ.
Новости про утечки информации и инсайдеров всегда можно найти на моем Telegram-канале «Утечки информации [4]»: https://t.me/dataleak [5].
Автор: Ashot Oganesyan
Источник [6]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/319286
Ссылки в тексте:
[1] писал на Хабре: https://habr.com/ru/post/448440/
[2] в Telegram-канале: http://tele.click/dataleak/961
[3] DeviceLock Data Breach Intelligence: https://www.devicelock.com/ru/data-breach-intelligence/
[4] Утечки информации: http://tele.click/dataleak
[5] https://t.me/dataleak: https://t.me/dataleak
[6] Источник: https://habr.com/ru/post/454048/?utm_source=habrahabr&utm_medium=rss&utm_campaign=454048
Нажмите здесь для печати.