Хакер #305. Многошаговые SQL-инъекции
19 декабря эксперты Data Leakage & Breach Intelligence (DLBI) сообщили, что проукраинские хакеры опубликовали уже пятый по счету дамп на 1 067 034 строк с информацией, якобы полученной из Единой Системы Идентификации и Аутентификации (ЕСИА) «Госуслуг».
Напомню, что ранее сообщалось уже о четырех похожих случаях. Об этих инцидентах (1, 2, 3, 4) так же писали эксперты DLBI, и тогда речь шла о дампах размером 5000, 2000, 22 000, 37 500 и даже 2,5 млн строк. Факт этих утечек опровергали в Минцифры и «Ростелекоме».
Теперь в DLBI рассказывают, что на этот раз текстовый файл с 1 067 034 строками датирован периодом с 01.01.2022 по 30.11.2022 и содержит:
- ФИО;
- Email-адреса (около 890 000 уникальных адресов);
- Телефоны (около 1 млн уникальных номеров);
- пол;
- даты рождения;
- адреса;
- паспорта (серия, номер, кем и когда выдан);
- ИНН.
«Насколько источник этой информации соответствует заявленному, мы сказать не можем, но то, что сами выложенные хакерами данные реальные — можно утверждать с очень высокой долей вероятности (выборочная проверка случайных записей это подтверждает), несмотря на все опровержения в СМИ различных структур», — писали специалисты в своем Telegram-канале.
После публикации информации об этой утечке, глава Минцифры Максут Шадаев заявил СМИ, что утечка собрана из старых данных, ранее уже попадавших в сеть:
«Это опять база "Почты России", та утечка, которая в четвертый раз под этим видом [новой утечки] выдается. Компиляция [данных]. Это точно абсолютно».
Также в Минцифры заявили, что «информация об утечке с Госуслуг – фейк», а специалисты Ростелекома, которые отвечают за безопасность портала «Госуслуг», уже проверили опубликованный файл и пришли к выводу, что «он не имеет отношения к Госуслугам»
«В нем [в файле] нет тех параметров, которые обязательно есть в настоящих учетных записях. Проще говоря, это очередная компиляция, выданная за результат взлома, — сообщал официальный Telegram-канал ведомства. — Это старая утечка с одного из сторонних порталов. Портал использует вход через Единую систему идентификации и аутентификации (ЕСИА), а для пользователей это выглядит как “вход через Госуслуги”, но без ввода логина и пароля. Система получает от ЕСИА подтверждение личности и разрешает вход на портал, однако не имеет прямого доступа к набору данных пользователя».
В ответ на это специалисты DLBI писали, что некоторое время назад в сеть действительно «слили» часть базы данных предположительно принадлежащей «Почте России». Однако, сравнив два дампа, специалисты пришли к выводу, что новые данные точно не связаны с публичными утечками «Почты России».
Сегодня, 20 декабря 2022 года, в Telegram-канале Минцифры и вовсе появился «отчет об анализе цикла выгрузок информации в украинских телеграм-каналах, относящихся к данным “Почты России”», произведенный специалистами «Ростелеком-Солар».
В отчете, который ниже мы цитируем полностью, сообщается, что новая утечка данных произошла из одной из информационных систем АО «Почта России». Несовпадение с другими утечками «Почты России», ранее опубликованными в открытом доступе, эксперты объясняют тем, что этот «слив» относится «к другой информационной системе почтового оператора, не появлявшейся ранее в публичном поле».
Отчет об анализе цикла выгрузок информации в украинских Telegram-каналах, относящихся к данным «Почты России»
19.12.2022 в 10:17 в телеграм-канале DumpForums выложен файл (esia.097.csv), содержащий 1 миллион строк и следующие данные:
- Наименование информационной системы (ЕСИА)
- Токен
- Дата
- Наименование информационной системы (erl-portal)
- ФИО
- Пол
- Дата рождения
- СНИЛС
- ИНН
- Адрес
- Паспортные данные
- Статус проверки паспорта (предположительно)
- Телефон
- OID ЕСИА (идентификатор пользователя в базе ЕСИА)
Это стало очередной публикацией так называемой утечки из ЕСИА, первая из которых была выложена 11.10.2022 в том же телеграм-канале. После этого было осуществлено последовательное малое дополнение утечки в 3 итерации до общего объема данных около 30 тысяч строк и две большие выгрузки, выставленные на различных форумах – публикация от 18 октября, содержащая более 2,5 миллионов строк, и от 19 декабря, описанная выше в отчете. Совокупный объем опубликованной уникальной информации на текущий момент превышает 3 млн строк. Даты на записях в файле явным образом перебиты (не совпадают между утечками и не совпадают с датой формирования части данных внутри систем) с целью продемонстрировать актуальность полученной базы, поэтому на текущий момент дата утечки атрибутируется во вторую половину 2021 года.
Поскольку речь идет о персональных данных, в выгрузке отсутствуют пароли или хэши паролей и по существенной части учетных записей включен второй фактор, версия по получения данной информации из системы ЕСИА посредством брутфорс (перебора паролей) считается технически невозможной.
В результате проверки установлено:
1. Источником утечки информации не являются информационные системы ИЭП, в том числе ЕПГУ(ЕСИА):
a. Информация о проверке паспорта в указанном виде не содержится в БД ЕСИА;
b. OID ЕСИА содержится лишь в небольшой части строк. Значения OID остальных строк не содержат данных;
c. Несмотря на то, что OID действительно используется в рамках взаимодействия между компонентами ЕПГУ и некоторыми внешними системами, в частности СМЭВ, эта утечка не является утечкой из ЕСИА, поскольку в последней отсутствуют данные о статусе проверки паспорта (п12). OID ЕСИА могли оказаться в наборе данных вследствие утечки из сторонней системы, взаимодействующей со СМЭВ;
d. Наименование информационной системы (erl-portal) отсутствует в данных БД ЕСИА и иных БД ЕПГУ.
2. Согласно проведенной аналитике, утечка произошла из одной из информационных систем АО «Почта России»:
a. Выгрузка данных по запросам согласий на передачу данных показала, что подавляющее количество указанных OID давали согласие на передачу данных из ЕСИА в адрес ИС «Почты России» (ввиду отсутствия историчности данных, на момент проверки часть пользователей могли отозвать свое согласие на передачу данных в сторону «Почты России»).
b. В справочниках по ВС СМЭВ выявлено несколько ресурсов на стороне «Почты России» для межведомственного взаимодействия, имеющих название, схожее по написанию с указанной в файле информационной системой erl-portal.
c. Структура данных совпадает с передаваемой со стороны Госуслуг в сторону «Почты России»
3. Информация от 19.12.2022 не совпадает с другими утечками из «Почты России», ранее опубликованными в открытом доступе, поскольку относится к другой информационной системе почтового оператора, не появлявшейся ранее в публичном поле. Целями злоумышленников можно считать желание расширить формируемую в публичном поле область компрометации инфраструктуры РФ за счет выдачи данных утечки из одной организации за данные другой.