Немного подробностей про обнаруженные вчера данные из информационной системы «Сетевой Город. Образование».
Всего было обнаружено 5 серверов с базами данных MongoDB не требующими аутентификации для доступа. Одна база, обслуживающая Екатеринбург (netcity.eimc.ru) уже закрыта. В открытом доступе остаются сервера Ингушетии, Свердловской области и два сервера Якутии (один из них физически находится Брянской области). 🙈
Разработчиком ИС «Сетевой Город. Образование» является компания ИРТех (https://www.ir-tech.ru/?products=ais-setevoj-gorod-obrazovanie). Мы оповестили их вчера в 23:10 (МСК) и сегодня в 10:53 (МСК), сообщив вначале о первом сервере, а затем об обнаруженных еще 4-х серверах соответственно. Они в свою очередь очень оперативно связались с администраторами этих серверов на местах. 😎
В открытом доступе обнаружены HTML-файлы с данными учеников и учителей различных школ, указанных выше регионов России. Среди прочего:
✅ ФИО учителей
✅ Фамилии и имена учеников
✅ Номера (полные названия) школ и классов
✅ Оценки учеников по всем предметам (электронный дневник)
✅ Фотографии учеников (не во всех документах)
✅ Журналы доступа учителей к электронным дневникам («Отчет о доступе к классному журналу»)
Все данные за учебный год 2018/2019. 🤦♂️
Всего было обнаружено 5 серверов с базами данных MongoDB не требующими аутентификации для доступа. Одна база, обслуживающая Екатеринбург (netcity.eimc.ru) уже закрыта. В открытом доступе остаются сервера Ингушетии, Свердловской области и два сервера Якутии (один из них физически находится Брянской области). 🙈
Разработчиком ИС «Сетевой Город. Образование» является компания ИРТех (https://www.ir-tech.ru/?products=ais-setevoj-gorod-obrazovanie). Мы оповестили их вчера в 23:10 (МСК) и сегодня в 10:53 (МСК), сообщив вначале о первом сервере, а затем об обнаруженных еще 4-х серверах соответственно. Они в свою очередь очень оперативно связались с администраторами этих серверов на местах. 😎
В открытом доступе обнаружены HTML-файлы с данными учеников и учителей различных школ, указанных выше регионов России. Среди прочего:
✅ ФИО учителей
✅ Фамилии и имена учеников
✅ Номера (полные названия) школ и классов
✅ Оценки учеников по всем предметам (электронный дневник)
✅ Фотографии учеников (не во всех документах)
✅ Журналы доступа учителей к электронным дневникам («Отчет о доступе к классному журналу»)
Все данные за учебный год 2018/2019. 🤦♂️
Довольно интересный анализ сайта “Управление материально-технического обеспечения” Управления делами президента Республики Казахстан (umto.kz) с помощью ПО Lampyre.
Автор нам неизвестен.
Автор нам неизвестен.
Forwarded from DeviceLock RU
DeviceLock изучила более 1,9 тыс. серверов в российском сегменте интернета, использующих облачные базы данных MongoDB, Elasticsearch и Yandex ClickHouse. Более половины из них (52%) предоставляли возможность неавторизованного доступа.
Эти облачные базы данных популярны и чаще всего неправильно конфигурируются, считают в DeviceLock. 10% из них при этом содержали персональные данные россиян или коммерческую информацию компаний, а еще 4% уже были до этого взломаны хакерами и получали требования о выкупе.
Главной причиной неавторизованного доступа к облачным базам данных становятся ошибки конфигурации из-за низкой квалификации администраторов этих баз данных, полагает основатель и технический директор DeviceLock Ашот Оганесян.
Владельцы таких баз медленно реагируют на оповещения о необходимости закрыть доступ к данным.
«Известны неединичные случаи, когда обнаруженные нами открытые базы данных находились и скачивались хакерами уже после нашего оповещения»,— подчеркивает господин Оганесян.
https://www.kommersant.ru/doc/3939724
Эти облачные базы данных популярны и чаще всего неправильно конфигурируются, считают в DeviceLock. 10% из них при этом содержали персональные данные россиян или коммерческую информацию компаний, а еще 4% уже были до этого взломаны хакерами и получали требования о выкупе.
Главной причиной неавторизованного доступа к облачным базам данных становятся ошибки конфигурации из-за низкой квалификации администраторов этих баз данных, полагает основатель и технический директор DeviceLock Ашот Оганесян.
Владельцы таких баз медленно реагируют на оповещения о необходимости закрыть доступ к данным.
«Известны неединичные случаи, когда обнаруженные нами открытые базы данных находились и скачивались хакерами уже после нашего оповещения»,— подчеркивает господин Оганесян.
https://www.kommersant.ru/doc/3939724
Прошло более суток с момента нашего оповещения о пяти открытых баз данных ИС «Сетевой Город. Образование» (про это тут: https://t.iss.one/dataleak/931) и до сих пор в свободном доступе остается один сервер MongoDB, обслуживающий Якутию (при этом сам сервер физически находится в Брянской области).
В марте мы обнаружили открытую базу данных Elasticsearch, принадлежащую бирже грузоперевозок «Cargomart» (cargomart.ru).
В базе содержались логи системы, из которых можно было получить некоторые данные заказов и клиентов.
Мы сообщили о проблеме разработчику этой системы 25-го марта в 10 утра по Москве и уже через час база была закрыта: 👍
Наша техническая служба, действительно, выявила проблему и передает вам искреннюю благодарность за помощь :)
В базе содержались логи системы, из которых можно было получить некоторые данные заказов и клиентов.
Мы сообщили о проблеме разработчику этой системы 25-го марта в 10 утра по Москве и уже через час база была закрыта: 👍
Наша техническая служба, действительно, выявила проблему и передает вам искреннюю благодарность за помощь :)
C 2015 по 2017 год начальник дежурной смены ленинского района Новосибирска передавал сведения об умерших похоронным агентам.
На торговле этими данными он заработал более 900 тысяч рублей. Деньги переводились ему на банковскую карту. ФИО, дата рождения и смерти, местонахождение умершего - сообщались сотрудникам ритуальных служб через мессенджер.
Суд признал 43-летнего бывшего полицейского виновным в совершении двух эпизодов преступлений, предусмотренных п. "в" ч. 5 ст. 290 УК РФ (получение должностным лицом лично взятки в виде денег, за незаконные действия, в крупном размере). И приговорил его к 7 годам 5 месяцам лишения свободы.
Обзор случаев задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными в России: 👇
https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html
На торговле этими данными он заработал более 900 тысяч рублей. Деньги переводились ему на банковскую карту. ФИО, дата рождения и смерти, местонахождение умершего - сообщались сотрудникам ритуальных служб через мессенджер.
Суд признал 43-летнего бывшего полицейского виновным в совершении двух эпизодов преступлений, предусмотренных п. "в" ч. 5 ст. 290 УК РФ (получение должностным лицом лично взятки в виде денег, за незаконные действия, в крупном размере). И приговорил его к 7 годам 5 месяцам лишения свободы.
Обзор случаев задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными в России: 👇
https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html
Киберпротект
Кибер Протего | Киберпротект
DLP-система Кибер Протего предотвращает утечку конфиденциальной информации, контролирует передачу данных и позволяет обнаруживать нарушения политики их хранения.
В открытом доступе был обнаружен кластер из четырех серверов Elasticsearch, предназначенный для хранения логов IoT-платформы «InOne», разрабатываемой компанией HeadPoint (https://head-point.ru/ru/solution/iot/).
Из логов можно было получить:
- ссылки на видеофайлы (само видео расположено на серверах Amazon) с записями камер-наблюдения (например, из ЦСКА Арены)
- тексты СМС-оповещений (например, «В зоне Выход судей 1 в локации ЦСКА Арена/Подтрибунное пространство произошло событие Движение в запрещённой зоне»)
- номера телефонов для отправки СМС-оповещений.
В данный момент все 4 сервера закрыты.
Из логов можно было получить:
- ссылки на видеофайлы (само видео расположено на серверах Amazon) с записями камер-наблюдения (например, из ЦСКА Арены)
- тексты СМС-оповещений (например, «В зоне Выход судей 1 в локации ЦСКА Арена/Подтрибунное пространство произошло событие Движение в запрещённой зоне»)
- номера телефонов для отправки СМС-оповещений.
В данный момент все 4 сервера закрыты.
Больше двух дней потребовалось, чтобы закрыть доступ к последнему (5-му) открытому серверу ИС «Сетевой Город. Образование» (про это тут: https://t.iss.one/dataleak/931).
Данный сервер, помимо всего прочего, содержал фотографии учеников (на остальных 4-х серверах фотографий в документах не было).
Данный сервер, помимо всего прочего, содержал фотографии учеников (на остальных 4-х серверах фотографий в документах не было).
Коммерсантъ пишет:
Данные клиентов банков из черного списка ЦБ отказников по антиотмывочному законодательству оказались в интернете. Речь идет примерно о 120 тыс. граждан и компаний.
Большую часть базы составляют физлица и индивидуальные предприниматели (ИП), часть — юридические лица. Про физических лиц в базе содержится информация об их ФИО, дате рождения, серии и номере паспорта. Про ИП — ФИО и ИНН, про компании — наименование, ИНН, ОГРН.
Записи датируются периодом с 26 июня 2017 года по 6 декабря 2017 года.
https://www.kommersant.ru/doc/3940264
Данные клиентов банков из черного списка ЦБ отказников по антиотмывочному законодательству оказались в интернете. Речь идет примерно о 120 тыс. граждан и компаний.
Большую часть базы составляют физлица и индивидуальные предприниматели (ИП), часть — юридические лица. Про физических лиц в базе содержится информация об их ФИО, дате рождения, серии и номере паспорта. Про ИП — ФИО и ИНН, про компании — наименование, ИНН, ОГРН.
Записи датируются периодом с 26 июня 2017 года по 6 декабря 2017 года.
https://www.kommersant.ru/doc/3940264
Компания ИРТех связалась с нами и дала разъяснение относительно ситуации с 5 «школьными» серверами:
«Сетевой Город. Образование" (СГО) - это тиражируемое и отчуждаемое решение. Экземпляры этой системы находятся под управлением муниципальных или региональных органов управления образования и (иногда) на серверах отдельных школ. Компания "ИРТех" НЕ управляет серверами заказчиков и НЕ имеет доступа к ним. Настройки безопасности, и в частности настройка брэндмауэра, - находятся в зоне ответственности администратора заказчика. Во всех перечисленных 5 случаях на площадках "СГО" был выключен файрволл.
Упоминание бренда «Сетевой Город. Образование» в контексте нарушения безопасности админиистраторами серверов вводит в заблуждение некоторых читателей, заставляя усомниться в качестве конкретного программного продукта. СГО работает в 25 регионах, общее количество экземпляров её установки - более 200. СГО имеет все необходимые уровни защиты, включая защиту от НСД. Соответствующий модуль имеет сертификат ФСТЭК.»
«Сетевой Город. Образование" (СГО) - это тиражируемое и отчуждаемое решение. Экземпляры этой системы находятся под управлением муниципальных или региональных органов управления образования и (иногда) на серверах отдельных школ. Компания "ИРТех" НЕ управляет серверами заказчиков и НЕ имеет доступа к ним. Настройки безопасности, и в частности настройка брэндмауэра, - находятся в зоне ответственности администратора заказчика. Во всех перечисленных 5 случаях на площадках "СГО" был выключен файрволл.
Упоминание бренда «Сетевой Город. Образование» в контексте нарушения безопасности админиистраторами серверов вводит в заблуждение некоторых читателей, заставляя усомниться в качестве конкретного программного продукта. СГО работает в 25 регионах, общее количество экземпляров её установки - более 200. СГО имеет все необходимые уровни защиты, включая защиту от НСД. Соответствующий модуль имеет сертификат ФСТЭК.»
В 13:40 (МСК) оповестили компанию Navigine (nvgn.ru, navigine.com) о том, что нашелся их сервер с общедоступной базой данных Elasticsearch. В данный момент сервер уже недоступен.
Navigine является поставщиком технологий навигации внутри и вне помещений. В общедостопных индексах Elasticsearch находились логи доступа к различным серверам сервиса: rio.net.ru, api.navigine.com, rzd-api.navigine.com, locators.navigine.com.
В логах можно было найти вызовы API для определения местоположения, IP-адреса, API-ключи сервиса и т.п.
Navigine является поставщиком технологий навигации внутри и вне помещений. В общедостопных индексах Elasticsearch находились логи доступа к различным серверам сервиса: rio.net.ru, api.navigine.com, rzd-api.navigine.com, locators.navigine.com.
В логах можно было найти вызовы API для определения местоположения, IP-адреса, API-ключи сервиса и т.п.
Хакеры из группировки THack3forU взломали (ну как взломали – нашли, слили и уничтожили) очередную открытую базу данных MongoDB.
На этот раз с данными Лабораторной Информационной Системы «Ариадна» (www.bregis.ru).
Мы обнаруживали базы данных этой ИС на IP-адресах 195.16.123.158 и 195.16.123.159 еще в феврале. На данный момент эти базы закрыты.
Хакеры заявляют, что они не пользуются поисковиком Shodan и приводят доказательства, что IP-адреса 193.124.177.13 в нем нет. Мы подтверждаем, что его там нет, но данная база прекрасно ищется в другом поисковике – Binaryedge (см. скриншот).
Данные (7 Гб json-файлов) киберпреступники снова (как и в случае с базой вызовов скорой помощи, которую мы нашли и про которую написали первыми https://t.iss.one/dataleak/916) выложили в публичный доступ.
На этот раз с данными Лабораторной Информационной Системы «Ариадна» (www.bregis.ru).
Мы обнаруживали базы данных этой ИС на IP-адресах 195.16.123.158 и 195.16.123.159 еще в феврале. На данный момент эти базы закрыты.
Хакеры заявляют, что они не пользуются поисковиком Shodan и приводят доказательства, что IP-адреса 193.124.177.13 в нем нет. Мы подтверждаем, что его там нет, но данная база прекрасно ищется в другом поисковике – Binaryedge (см. скриншот).
Данные (7 Гб json-файлов) киберпреступники снова (как и в случае с базой вызовов скорой помощи, которую мы нашли и про которую написали первыми https://t.iss.one/dataleak/916) выложили в публичный доступ.
Провели беглый анализ данных, украденных киберпреступниками из открытой базы ИС «Ариадна. Мы не претендуем на 100% достоверность этого анализа, но…
Пока не видно ничего критичного. Информация по пациентам похожа на набор тестовых данных. 😎
Всего в таблице orders обнаружено 142 записи пациентов. Более половины из них — это явный мусор или пустые записи. Остальное выглядит похожим на данные реальных людей, но объём утекшей информации ничтожен (даже если предположить, что это данные реальных людей). 👍
Например, во всей этой «утечке» встретился только один единственный адрес электронной почты и тот оказался: [email protected]. Хотя поля email в базе присутствуют. Телефонные номера тоже все пустые. 🙈
Пока наш предварительный вердикт по этой «утечке» - шлак. 😂
Пока не видно ничего критичного. Информация по пациентам похожа на набор тестовых данных. 😎
Всего в таблице orders обнаружено 142 записи пациентов. Более половины из них — это явный мусор или пустые записи. Остальное выглядит похожим на данные реальных людей, но объём утекшей информации ничтожен (даже если предположить, что это данные реальных людей). 👍
Например, во всей этой «утечке» встретился только один единственный адрес электронной почты и тот оказался: [email protected]. Хотя поля email в базе присутствуют. Телефонные номера тоже все пустые. 🙈
Пока наш предварительный вердикт по этой «утечке» - шлак. 😂
Для "интересующихся" статистикой использования интернета в различных организациях, есть несколько полезных «дорков» для Google:
allinurl:"/squid-reports/"
allintitle:"SARG reports"
Среди прочего мусора, в выдачу попадут отчеты для Squid (Squid Analysis Report Generator), чаще всего имеющие вид:
[URL/IP ADDRESS]/squid-reports/
allinurl:"/squid-reports/"
allintitle:"SARG reports"
Среди прочего мусора, в выдачу попадут отчеты для Squid (Squid Analysis Report Generator), чаще всего имеющие вид:
[URL/IP ADDRESS]/squid-reports/
Специалисты из компании «Инфосекьюрити» провели анализ данных, украденных хакерами из базы скорой помощи (про это тут https://t.iss.one/dataleak/916).
С выводами солидарны… 👍
Приводим полный текст со страницы www.facebook.com/263287141145127/posts/443263199814186:
На этой неделе одной из самых громких новостей в сфере ИБ стало обнаружение в сети открытой базы данных подмосковной скорой помощи.
Впервые информация о ней была опубликована 7 апреля в Telegram-канале хакерской группы THack3forU. В сообщении говорилось о взломе базы данных MongoDB, содержащей сведения о 400 тысячах пациентов, обратившихся за экстренной помощью.
Злоумышленники выгрузили данные, а получившийся файл объемом порядка 17 гигабайт выложили на одном из файлообменных сервисов.
Специалисты «Инфосекьюрити» проанализировали громкую утечку: размещенный злоумышленниками файл действительно содержит персональные данные лиц, обращавшихся за помощью. Помимо имен в нем присутствуют сведения о возрасте пациентов, их контактные телефоны, адреса, причины вызова скорой и комментарии врачей.
Вот только из заявленных 400 000 записей уникальными являются всего 235 (!), включая несколько тестовых строк, не содержащих сведений о пациентах.
Содержимое базы охватывает данные за три дня: 26 марта, 2 и 4 апреля 2019 года, причем 231 запись была внесена в базу в течение одного дня, а из четырех оставшихся лишь 3 записи, датированные 4 апреля, содержат персональные данные.
Все остальные сведения, содержащиеся в размещенной злоумышленниками базе, представляют собой ни что иное, как многочисленные копии этих самых 235 записей. Это позволяет предположить, что утекшая база данных эксплуатировалась в тестовом режиме, например, в процессе настройки или интеграции информационной системы.
Таким образом, информация о крупномасштабной утечке персональных данных россиян в данном случае является явным преувеличением.
С выводами солидарны… 👍
Приводим полный текст со страницы www.facebook.com/263287141145127/posts/443263199814186:
На этой неделе одной из самых громких новостей в сфере ИБ стало обнаружение в сети открытой базы данных подмосковной скорой помощи.
Впервые информация о ней была опубликована 7 апреля в Telegram-канале хакерской группы THack3forU. В сообщении говорилось о взломе базы данных MongoDB, содержащей сведения о 400 тысячах пациентов, обратившихся за экстренной помощью.
Злоумышленники выгрузили данные, а получившийся файл объемом порядка 17 гигабайт выложили на одном из файлообменных сервисов.
Специалисты «Инфосекьюрити» проанализировали громкую утечку: размещенный злоумышленниками файл действительно содержит персональные данные лиц, обращавшихся за помощью. Помимо имен в нем присутствуют сведения о возрасте пациентов, их контактные телефоны, адреса, причины вызова скорой и комментарии врачей.
Вот только из заявленных 400 000 записей уникальными являются всего 235 (!), включая несколько тестовых строк, не содержащих сведений о пациентах.
Содержимое базы охватывает данные за три дня: 26 марта, 2 и 4 апреля 2019 года, причем 231 запись была внесена в базу в течение одного дня, а из четырех оставшихся лишь 3 записи, датированные 4 апреля, содержат персональные данные.
Все остальные сведения, содержащиеся в размещенной злоумышленниками базе, представляют собой ни что иное, как многочисленные копии этих самых 235 записей. Это позволяет предположить, что утекшая база данных эксплуатировалась в тестовом режиме, например, в процессе настройки или интеграции информационной системы.
Таким образом, информация о крупномасштабной утечке персональных данных россиян в данном случае является явным преувеличением.
Telegram
Утечки информации
В открытом доступе обнаружена незащищенная база данных MongoDB, в которой хранятся данные московских станций скорой медицинской помощи (ССМП). База называется «ssmp» и имеет размер 17.3 Гб. 🔥🔥🔥
В базе содержится:
✅ дата/время вызова
✅ ФИО членов бригады…
В базе содержится:
✅ дата/время вызова
✅ ФИО членов бригады…
Выслали нотификацию правительству Москвы (mos.ru) относительно открытой базы Elasticsearch с данными проекта «Московское долголетие» (www.mos.ru/city/projects/dolgoletie/).
Похоже на то, что проект переехал на другой сервер в середине февраля этого года, а про эту базу данных все забыли и оставили ее в открытом доступе.
В базе содержатся данные (более 75 тыс. строк) вплоть до 15-го февраля 2019 года включительно:
- ФИО жителей Москвы
- логин в систему
- должность
- тип активности (например, «Английский язык», «Изобразительное искусство», «Скандинавская ходьба» и т.п.)
- место (название учреждения, адрес и GPS-координаты) занятий
- и другие не очень критичные данные…
Похоже на то, что проект переехал на другой сервер в середине февраля этого года, а про эту базу данных все забыли и оставили ее в открытом доступе.
В базе содержатся данные (более 75 тыс. строк) вплоть до 15-го февраля 2019 года включительно:
- ФИО жителей Москвы
- логин в систему
- должность
- тип активности (например, «Английский язык», «Изобразительное искусство», «Скандинавская ходьба» и т.п.)
- место (название учреждения, адрес и GPS-координаты) занятий
- и другие не очень критичные данные…
Читательница канала под ником Fairy Wow прислала нам информацию по обнаруженной 11 апреля открытой базе данных MongoDB. 👇
В открытом доступе находилась база сервиса «Кивитакси» (kiwitaxi.ru) размером около 100 Мб, с данными о поездках по региону Сочи/Адлер и прилегающим городам.
Первые записи в базе датировались 2017 годом. Последняя запись - 10 апреля 2019.
Сообщение сервису «Кивитакси» было отправлено 11-го в 14:26 и около 17:30 база была закрыта.
В базе содержалось:
✅ информация по водителям (имя, идентификатор Telegram, город, номер телефона, модель/марка/номер автомобиля, когда присоединился к сервису, в штате или нет).
✅ информация по клиентам (имя, дата поездки, номер телефона, маршрут поездки). Для некоторых клиентов указана компания, которая им вызывает такси, номер рейса самолета, которым прилетает/улетает пассажир.
✅ рейтинги водителей, стоимости поездок, идентификаторы такси и т.п.
В открытом доступе находилась база сервиса «Кивитакси» (kiwitaxi.ru) размером около 100 Мб, с данными о поездках по региону Сочи/Адлер и прилегающим городам.
Первые записи в базе датировались 2017 годом. Последняя запись - 10 апреля 2019.
Сообщение сервису «Кивитакси» было отправлено 11-го в 14:26 и около 17:30 база была закрыта.
В базе содержалось:
✅ информация по водителям (имя, идентификатор Telegram, город, номер телефона, модель/марка/номер автомобиля, когда присоединился к сервису, в штате или нет).
✅ информация по клиентам (имя, дата поездки, номер телефона, маршрут поездки). Для некоторых клиентов указана компания, которая им вызывает такси, номер рейса самолета, которым прилетает/улетает пассажир.
✅ рейтинги водителей, стоимости поездок, идентификаторы такси и т.п.