Специалисты британской компании Comparitech, совместно с известным ИБ-экспертом Бобом Дьяченко, обнаружили в открытом доступе никак не защищенный кластер Elasticsearch Amazon Web Services, содержащий личную информацию о 20 млн россиян.

Исследователи рассказывают, что в кластере было несколько баз данных, и в двух из них содержалась личные данные людей и налоговая информация. Так, первая база содержала более 14 000 000 записей за период с 2010 по 2016 год, тогда как вторая БД содержала 6 000 000 записей за период с 2009 по 2015 год. В базах можно было найти имена, адреса, номера паспортов, данные о месте проживания, номера телефонов, номера ИНН, названия компаний-работодателей, а также информацию об уплаченных налогах.

Сообщается, что в основном информация в базах касалась жителей Москвы и Подмосковья. Хуже того, незащищенный кластер «светил» этими данными боле года: впервые БД была проиндексирована поисковиками еще в мае 2018 года. Боб Дьяченко обнаружил незащищенный сервер 17 сентября 2019 года, сумел выйти на контакт с его владельцем, и в итоге проблема была исправлена через три дня.

На какие-либо вопросы владелец кластера отвечать отказался, и исследователи пишут, что не знают о нем практически ничего, кроме того факта, что он находится на территории Украины. Также эксперты не берутся судить, успел ли кто-либо получить неавторизованный доступ к вышеперечисленным данным, пока они были публично доступны.

«Коммерсант» приводит комментарий технического директора компании DeviceLock Ашота Оганесяна, который считает, что «судя по налоговым данным и информации о работодателе не в формате ИНН, а с полным названием организации, это может быть либо компиляция из криминальных баз, похищенных из госорганов (например, ФНС и ПФР), либо же база, связанная с личным кабинетом физлица на одном из порталов государственных услуг».

В «Ростелекоме» журналистам сообщили, что для портала «Госуслуги» «обеспечивается необходимый комплекс защиты мер, проводятся периодические тестирования на наличие уязвимостей, а все критичные события ИБ подлежат круглосуточному анализу и корреляции с применением SIEM систем».

Представитель Минкомсвязи заявили, что «утечек данных нет и никогда не было», а «информационные системы надежно защищены: сертифицированы и аттестованы в соответствии с требованиями регуляторов».

В свою очередь в ФНС России заявили, что часть данных, упомянутых в статье Comparitech, вообще не собирается и не хранится в информационных ресурсах Налоговой службы, а формат и структура данных не соответствуют форматам хранения данных, применяемых в ведомстве.

«Проверить подлинность якобы утекших данных и существование ресурса, указанного в статье, невозможно в связи с отсутствием на него ссылки. Информация, изложенная в статье, может являться провокацией. ФНС России уже направила официальное письмо об инциденте в ОЭСР»,— сообщили в ФНС.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    10 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии