На «Госуслугах» масштабная утечка. Скомпрометированы данные десятков тысяч россиян

Согласно информации издания «Коммерсантъ», в публичном доступе оказались выложены персональные данные пользователей портала государственных услуг одного из российских регионов. Утечка данных стала возможна из-за ошибочной настройки программного обеспечения одного из серверов портала, в результате чего данные оказались доступными для свободного скачивания. По данным издания РБК, всего в утекшей базе оказались данные двадцати восьми тыс. пользователей, включая: ФИО, даты рождения, паспортные данные, ИНН, СНИЛС, номера телефонов, адреса электронной почты, информацию о детях, токены авторизации для доступа в личные кабинеты граждан с мобильных устройств (нет информации, можно ли войти в личные кабинеты пользователей с их помощью). На данный момент настройки сервера, с которого произошла утечка, изменены таким образом, чтобы доступ к данным оказался закрыт. По предварительной версии специалистов по информационной безопасности, утечка данной базы данных стала возможна из-за ошибки конфигурирования сервера, расположенного на площадке «Ростелекома». Как рассказал Ашот Оганесян, основатель и технический директор компании DeviceLock, поисковая система Shodan проиндексировала оказавшуюся без защиты базу на сервере еще 3 декабря 2019 года, а закрыть доступ к данным сетевые специалисты обслуживающей организации стали пытаться только двадцать дней спустя. Изначально на сервере, откуда была утечка данных, был выставлен нестандартный порт для системы Elasticsearch (9201 вместо 9200). Кстати, поисковая система BinaryEdge не распознала сервер Elasticsearch на этом порту. «В процессе мониторинга теневых форумов, где распространяют базы данных, был выявлен тестовый пример дампа сервера с логами доступа, к предположительно сервису Госуслуг для Ханты-Мансийского автономного округа. В ходе анализа тестового экземпляра, было установлено, что он получен из открытого индекса Elasticsearch-сервера, оставленного в свободном доступе из-за ошибки конфигурирования», — разъяснил Ашот Оганесян изданию «Коммерсантъ».Elasticsearch — это масштабируемый полнотекстовый поисковый и аналитический движок с открытым исходным кодом, позволяющий хранить большие объемы данных, проводить среди них быстрый поиск и аналитику. Таким образом, база персональных данных пользователей портала госуслуг в Ханты-Мансийском автономном округе с начала декабря 2019 года была открыто доступна в сети Интернет, причем часть этих данных успели скачать с сервера и эта информация даже оказалось выложена на одном из специализированных форумов, специализирующихся на утечках баз данных. Фактически, необходимые для закрытия канала утечки изменения в настройке сервера, расположенного на площадке «Ростелекома», были выполнены только 29 декабря 2019 года в 15.30 по МСК. Журналисты издания РБК обратились за комментариями в «Ростелеком» и Минкомсвязь, а также направили официальный запрос в пресс-службу администрации Ханты-Мансийска. На данный момент поступили такие ответы по данной ситуации от Минкомсвязи и «Ростелекома»: 1. В Министерстве цифрового развития, связи и массовых коммуникаций (Минкомсвязь) сообщили, что в настоящий момент все системы госуслуг данного региона работают в штатном режиме, а также начата проверка по факту выявления персональных данных пользователей вне защищенного периметра. 2. В «Ростелекоме» сообщили, что инцидентов, связанных с утечкой персональных данных пользователей единого портала госуслуг и единой системы идентификации и аутентификации, не выявлено. «Все подсистемы инфраструктуры электронного правительства функционируют в штатном режиме, данные пользователей надежно защищены», — заявили в «Ростелекоме». Представители «Ростелекома» также считают, что данный инцидент может быть связан с работой регионального мобильного приложения «Госуслуги Югры», разрабатываемого по заказу департамента информационных технологий и цифрового развития ХМАО и функционирующего автономно от портала госуслуг. Приложение размещается на технической инфраструктуре, предоставляемой ПАО «Ростелеком».

Информация о мобильном приложении «Госуслуги Югры»

«Госуслуги Югры» — это приложение для устройств под управлением Anrdoid, которое позволяет жителям Ханты-Мансийского автономного округа пользоваться государственными и муниципальными услугами в режиме онлайн. Приложение содержит в себе множество различных функциональных модулей, каждый из которых отвечает за определенный характер предоставляемых услуг. На данный момент приложение находится в стадии промышленного тестирования. Перечень доступных для получения услуг будет расширяться. Причем адрес службы технической поддержки данного приложения такой же, что и у региональной службы поддержки Портала госуслуг — [email protected]. Также ранее была опубликована информация, что подобное мобильное приложение, но немного с другим названием («Госуслуги ХМАО») в 2017 году было разработано компанией «Ростелеком» совместно с Депинформтехнологий Югры.Доверять свои персональные данные небезопасно даже «Госуслугам»

Сам сервер находится на площадке «Ростелекома». Оганесян отметил, что попытки закрыть уязвимость начали предприниматься лишь 28 декабря 2019 г. На 30 декабря 2019 г. брешь была устранена, но в итоге доступ к персональным данным мог получить кто угодно в течение практически целого месяца.

Минкомсвязи России осведомлено о произошедшем. Представители ведомства подтвердили факт устранения уязвимости и добавили, что по факту возможной утечки персональных данных ведется проверка.

Кто виноват

На момент публикации материала виновные в утечке информации установлены не были. «Ростелеком», по информации РБК, отрицает сам факт утечки, утверждая, что не было выявлено никаких инцидентов, имеющих отношение к единой системе идентификации и аутентификации.

В компании отметили, что все системы «электронного правительства» работают в обычном режиме, и что персональные данные пользователей в безопасности. В то же время представители «Ростелекома» полагают, что инцидент мог иметь отношение к региональному приложению «Госуслуги Югры». Оно было разработано по заказу департамента информационных технологий и цифрового развития ХМАО, и в настоящее время оно работает отдельно от портала госуслуг. Отметим, что приложение «Госуслуги Югры» имеет определенное отношение к «Ростелекому»: оно размещается на технической инфраструктуре компании.

Не самая крупная утечка

В 2019 г. в России произошло значительное количество утечек персональных данных, и случай с «Госуслугами» – далеко не самый серьезный. К примеру, в начале октября 2019 г. Ашот Оганесян обнаружил в Сети данные о 60 млн клиентах Сбербанка.

База данных предлагалась всем желающим за определенную плату и содержала подробные персональные данные владельцев кредитных карт, включая ФИО, паспортные данные, а также всю информацию о кредитных картах клиента и операциях по ним, включая кредитный лимит и неиспользованный лимит. Данная утечка была признана крупнейшей в истории российского банковского сектора

В конце октября 2019 г. произошла еще одна утечка, и снова в Сбербанке. На этот раз архив состоял из 1 млн строк, по одной на каждого клиента, но в дополнение к базовой банковской информации он содержал еще и последние записи разговора клиентов с техподдержкой банка. Это означает, что Сбербанк допустил утечку биометрии, образцов голоса, своих пользователей. К слову, банк отрицал факт утечки, но подлинность части содержащейся в БД информации была подтверждена независимыми специалистами.

В середине октября 2019 г. CNews сообщал о том, что в течение нескольких месяцев в свободном доступе находились данные о кредитных историях россиян. Утекшая в интернет база данных предположительно принадлежала микрофинансовой организации «ГринМани» и содержала сведения, предоставленные бюро кредитных историй «Эквифакс» и «Объединенным кредитным бюро». Также утечке подверглись сведения об абонентах операторов «Мегафон» и МТС, что стало дополнением к глобальному распространению информации о клиентах «Билайна».

Утечка в «Билайне» произошла 7 октября 2019 г. В свободном доступе оказалась БД с адресами, телефонами и ФИО абонентов проводного интернета этого оператора. Были скомпрометированы персональные данные 2 млн россиян, и сотрудники редакции CNews подтвердили подлинность некоторых из них.

Рекомендуем почитать:

Xakep #253. Сканеры уязвимостей

Издание «Коммерсант», со ссылкой на основателя компании DeviceLock Ашота Оганесяна, сообщило, что на хакерских форумах появилась база данных, содержащая персональные данные более чем 28 000 пользователей портала госуслуг. Тестовый пример дампа сервера с логами доступа, предположительно, относился к сервису госуслуг для Ханты-Мансийского автономного округа.

Этот дамп содержит ФИО, даты рождения, номера СНИЛС и ИНН, номера телефонов, email-адреса, информацию о детях и так далее. «Было установлено, что он получен из открытого индекса Elasticsearch-сервера, оставленного в свободном доступе из-за ошибки конфигурирования», — объясняет Оганесян.

По его словам, сервер был расположенный на площадке Ростелеком и проиндексирован поисковиком Shodan 3 декабря 2019 года, то есть данные могли находиться в открытом доступе как минимум с этой даты. Причем, в отличие от той информации, что успели скачать и выложить в свободный доступ, на сервере имелись и другие важные данные например, токены авторизации для доступа в личные кабинеты с мобильных устройств. В настоящее время проблема устранена.

РБК сообщает, что Ростелеком и Минкомсвязь уже прокомментировали происходящее. Так, Министерство цифрового развития, связи и массовых коммуникаций начало проверку после появившихся сообщений об утечке данных, но подчеркнуло, что в настоящее время все системы работают в штатном режиме. Представители Ростелекома, в свою очередь, информацию об утечке не подтвердили и заявили, что инцидентов, связанных с единой системой идентификации и аутентификации, выявлено не было, а данные пользователей надежно защищены.

В компании полагают, что возможный инцидент мог быть связан с работой регионального мобильного приложения «Госуслуги Югры», разрабатываемого по заказу департамента информационных технологий и цифрового развития ХМАО и функционирующего автономно от портала госуслуг. Приложение размещается на технической инфраструктуре, предоставляемой ПАО Ростелеком.

Используемые источники:

• https://habr.com/ru/news/t/482394/
• https://cnews.ru/news/top/2019-12-30_v_gosuslugah_masshtabnaya
• https://xakep.ru/2019/12/30/gosuslugy-leak/