Специалисты британской компании Comparitech, совместно с известным ИБ-экспертом Бобом Дьяченко, обнаружили в открытом доступе никак не защищенный кластер Elasticsearch Amazon Web Services, содержащий личную информацию о 20 млн россиян.

Исследователи рассказывают, что в кластере было несколько баз данных, и в двух из них содержалась личные данные людей и налоговая информация. Так, первая база содержала более 14 000 000 записей за период с 2010 по 2016 год, тогда как вторая БД содержала 6 000 000 записей за период с 2009 по 2015 год. В базах можно было найти имена, адреса, номера паспортов, данные о месте проживания, номера телефонов, номера ИНН, названия компаний-работодателей, а также информацию об уплаченных налогах.

Сообщается, что в основном информация в базах касалась жителей Москвы и Подмосковья. Хуже того, незащищенный кластер «светил» этими данными боле года: впервые БД была проиндексирована поисковиками еще в мае 2018 года. Боб Дьяченко обнаружил незащищенный сервер 17 сентября 2019 года, сумел выйти на контакт с его владельцем, и в итоге проблема была исправлена через три дня.

На какие-либо вопросы владелец кластера отвечать отказался, и исследователи пишут, что не знают о нем практически ничего, кроме того факта, что он находится на территории Украины. Также эксперты не берутся судить, успел ли кто-либо получить неавторизованный доступ к вышеперечисленным данным, пока они были публично доступны.

«Коммерсант» приводит комментарий технического директора компании DeviceLock Ашота Оганесяна, который считает, что «судя по налоговым данным и информации о работодателе не в формате ИНН, а с полным названием организации, это может быть либо компиляция из криминальных баз, похищенных из госорганов (например, ФНС и ПФР), либо же база, связанная с личным кабинетом физлица на одном из порталов государственных услуг».

В «Ростелекоме» журналистам сообщили, что для портала «Госуслуги» «обеспечивается необходимый комплекс защиты мер, проводятся периодические тестирования на наличие уязвимостей, а все критичные события ИБ подлежат круглосуточному анализу и корреляции с применением SIEM систем».

Представитель Минкомсвязи заявили, что «утечек данных нет и никогда не было», а «информационные системы надежно защищены: сертифицированы и аттестованы в соответствии с требованиями регуляторов».

В свою очередь в ФНС России заявили, что часть данных, упомянутых в статье Comparitech, вообще не собирается и не хранится в информационных ресурсах Налоговой службы, а формат и структура данных не соответствуют форматам хранения данных, применяемых в ведомстве.

«Проверить подлинность якобы утекших данных и существование ресурса, указанного в статье, невозможно в связи с отсутствием на него ссылки. Информация, изложенная в статье, может являться провокацией. ФНС России уже направила официальное письмо об инциденте в ОЭСР»,— сообщили в ФНС.

10 комментариев

  1. Аватар

    Jeffrey Davis

    03.10.2019 at 12:45

    Не новость, а пир_духа какая-то. Просто-таки шедевр. Возможно ли такое хоть как-то спокойно прокомментировать?

    По численности, это как раз почти всё население получается, уж работающее так точно. Значит, можно считать, база полная — это хорошо.

    На какие-либо вопросы владелец кластера отвечать отказался

    Зато послал куда подальше, навероне. И был совершенно прав. Но не будем о грустном.
    Хотелось бы сюда имя героя из минкомсвязи о том, что утечек у него нет, потому что «нѣтъ», потому что никогда не было и, следовательно, впредь тоже не дождётесь.
    А налоговая, которая, как оказывается, в таком формате ничего не собирает и не хранит — это на кого рассчитано вообще? Формат у них, видите ли, не такой. А проверять подлинность они не собираются, потому что не хотят, потому что не могут, потому что ссылку им не дали. Это «дурочку» они так включают что ли?
    А что там насчёт обязательного содержания персональных данных строго на родине-отечестве? Тут никаких «законов» случайно не нарушено?

    До полного днища, в статью не хватает лишь венчающей вишенки на торт в виде финишного абзаца на добивание сознания, в котором говорилось бы, что «роскомпозор» базу уже забанил, и таким образом, героически решил проблему окончательно.

    Важные государственные индюки на содержании налогоплательщиков оказались глупыми страусами, на вопросы об утечке попрятавшими голову в землю.

  2. Аватар

    dmitro_379

    07.10.2019 at 09:39

    Интересно то, что где именно не указано.
    На территории Украины, это в трех местах, а именно, ЮРИДИЧЕСКИ украинский Крым, ОРДЛО и остальная часть.
    Скорее речь идет о последних вариантах, если самый последний то фейк ибо не будет одно государство держать свои базы у другого, точнее не должно.
    Предыдущий, все возможно, если некоторые считают ОРДЛО частью России, если, все же, в Крыму то и так понятно…

    • Аватар

      mikelog

      07.10.2019 at 12:21

      не удивлюсь, если это сервер с данными был, которые используют телефонные мошенники украины, у меня телефонный номер уже лет 12 как не менялся и на авито и на юле висит, но мне не звонят, не были какие-то попытки, но после общения, видимо решили внести меня в свой ЧС =). А вот на номер жены постоянно названивают русскоговорящие операторы, с явно выраженным украинским акцентом, с предложениями «заработать»(читать отдать деньги дяде).

    • Аватар

      Night_ReDCaT

      08.10.2019 at 08:30

      Это может быть вполне база, которую используют либо телефонные мошенники, либо может кто-то из наших (украинских) служб используют данные так же добытой левым способом инфы. Тот же миротворец данные берет не с воздуха например.

  3. Аватар

    sergey-l

    07.10.2019 at 10:52

    владелец базы из Украины. А сервера — Amazon

  4. Аватар

    emw2006

    07.10.2019 at 14:44

    А собственно, если утечек ни у кого не было, почему бы не выложить базу на всеобщее обозрение, с тем, чтобы люди сами могли убедиться, что их в ней нет, либо данные по ним не соответствуют действительности.
    Тогда можно было бы снять обвинения со всех институтов гос.власти, либо, опять же активно искать, тех кто соврал. А пострадавшим срочно менять документы, данные которых были обнародованы без их ведома и согласия.

  5. Аватар

    Dimon90

    07.10.2019 at 22:50

    ну конечно, скажут они, что у них слили данные на 20 млн россиян. Что по телеку, что в инете — у нас все замечательно)

Оставить мнение