MongoDB, Elastic, кривые руки программистов госструктур и законы открывают данные россиян злоумышленникам

Все блоги / Про интернет 15 мая 2019 12   

Иван Бегтин, председатель Ассоциации участников рынков данных, и Ашот Оганесян, технический директор DeviceLock DLP, показали массовую информационную дырявость, как сайтов государственных структур, так и частного бизнеса. Самым существенным недостатком выявленных уязвимостей является то, что никто не реагирует на выявляемые проблемы до тех пор, пока они не становятся публичными. Более того, Роскомнадзор, как регулятор, в ряде случаев (см. ниже) просто констатирует, что формального нарушения закона нет и то или иное раскрытие ПД правомерно.

Основных вариантов утечек два:



Тупость разработчиков, оставляющих дефолтные пароли на базы MongoDB и Elastic. При этом MongoDB открывается ещё и на запись, таких баз более половины. DeviceLock исследовал 1900 серверов на платформах MongoDB, Elasticsearch и Yandex ClickHouse — 52% предоставляли возможность неавторизованного доступа.

"Добросовестность" разработчиков, выполняющих законы, но лишь формально. "Причина — в нежелании официальных лиц что-либо делать, хотя они знают о ситуации и непрофессионализме при разработке ИТ-систем", — говорит Иван Бегтин. Особенности регулирования описаны законодателем не исчерпывающе. В результате, формально не нарушая закон, госструктуры могут раскрывать огромные реестры с персональными данными россиян.

После совершения утечек их устранению мешает, как нежелание лечить проблемы с безопасностью у самих разработчиков, так и пассивность госорганов. По идее регуляторы, должны контролировать распространение персональных данных россиян. Но ни Роскомнадзор, ни сами разработчики чаще всего не реагируют на частные сигналы о том, что у них есть проблемы с безопасностью. Видимая активность возможна лишь после освещение проблем в прессе.

Среди самых шумных утечек:



2,24 млн записей с паспортными данными, СНИЛС и сведениями о трудоустройстве россиян, утекшие с электронных торговых площадок.

База данных пациентов подмосковной скорой помощи

360 000 записей из государственных систем, подконтрольных Минфину, Минюсту, Роструду, ФАС России, Федеральному казначейству и мэрии Москвы.

В упомянутых выше базах РБК прочёл персональные данные российских знаменитостей и чиновников: Дворковича, Чубайса, первого зама председателя Госдумы Жукова, топ-менеджеров "Роснано", персональные данные банкиров, губернаторов, телеведущих.

В начале мая выяснилось, что хакеры группировки Unistellar уничтожили данные нескольких тысяч "открытых" баз MongoDB и потребовали выкуп за восстановление данных, оставив запись "hacked_by_unistellar" и сообщение "Restore? Contact". В России находится более 230 серверов с MongoDB, подвергшихся "нападению", а всего по миру их более 12,5 тысяч, рассказал Ашот Оганесян. "Для поиска "открытых" баз данных используются автоматизированные сканеры. Вопрос уже стоит не в форме "найти и устранить уязвимость", а в форме "сделать это до того, как ее найдут хакеры", — подчеркнул технический директор.

https://roem.ru/13-07-2018/272427/robot-txt-pyatnica-13/

Роскомнадзор, на исследование об утечках из госсистем, ответил Ивану Бегтину отдельным пресс-релизом. Регулятор подтвердил, что раскрытие персональных данных допустимо в рамках действующего законодательства:

В связи с публикациями в СМИ специалистами Роскомнадзора проведена оценка правомерности нахождения в открытом интернет-доступе порядка 360 тысяч записей с личными данными россиян, размещенных в информационных государственных системах. Анализ ситуации показал, что такое опубликование персональных данных подпадает под правовые основания, предусмотренные статьей 6 Федерального закона «О персональных данных».

Роскомнадзор: В работе операторов информационных государственных систем не найдено нарушений закона о персональных данных.

1 комментарий | Подписаться на комментарии | Комментировать

  • Оцените публикацию
  • 0

Похожие публикации

@
  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent