31.12.2019 07:20
denis-19 8 7600 Источник


«Утечка данных, которая случилась в Ханты-Мансийском автономном округе 28 декабря 2019 года, произошла на прокси-сервере приложения „Госуслуги Югры“ и касалась не персональных, а технических данных,» — сообщили в Департаменте информационных технологий и цифрового развития Югры.

Информация по этой утечке из Telegram-канала "Утечки информации"

Дополнительно по этому инциденту в Департаменте информационных технологий и цифрового развития Югры рассказали, что:

  • утечка данных с прокси-сервера мобильного приложения «Госуслуги Югры» была выявлена 28 декабря 2019 года;
  • мобильное приложение «Госуслуги Югры» взломано не было;
  • по итогам предварительного расследования, проведенного центром информационной безопасности ЮНИИТ (Югорский НИИ информационных технологий), это была утечка технических данных, так называемых «логов» прокси-сервера. В данных, к которым был получен доступ, содержится информация технического характера, необходимая для отладки взаимодействия информационных систем;
  • данный инцидент произошел по вине субподрядчика ПАО «Ростелеком», к которому будут применены соответствующие санкции;
  • для дальнейшего расследования инцидента создана рабочая группа по расследованию инцидента с привлечением специалистов управления информационной безопасности ЮНИИТ, а также внешних независимых экспертов по расследованию инцидентов информационной безопасности;
  • все учетные данные жителей региона при этом находятся в безопасности в защищенном контуре. Данные, которые необходимы для оказания госуслуг, в том числе логины и пароли, необходимые для авторизации пользователей, платежные данные, другие идентификационные данные не были подвержены утечке, рисков для граждан в связи с данным инцидентом не возникает. Вся техническая инфраструктура, задействованная для оказания госуслуг, работает в штатном режиме;
  • в настоящее время население округа может в обычном режиме пользоваться всем спектром услуг в абсолютно всех сферах жизнедеятельности – банковской, социальной, туристической.

"Госуслуги Югры" — это приложение для устройств под управлением Anrdoid, которое позволяет жителям Ханты-Мансийского автономного округа пользоваться государственными и муниципальными услугами в режиме онлайн. Приложение содержит в себе множество различных функциональных модулей, каждый из которых отвечает за определенный характер предоставляемых услуг. На данный момент приложение находится в стадии промышленного тестирования. Перечень доступных для получения услуг будет расширяться. Причем адрес службы технической поддержки данного приложения такой же, что и у региональной службы поддержки Портала госуслуг — support86@gosuslugi.ru.

Также ранее была опубликована информация, что подобное мобильное приложение, но немного с другим названием («Госуслуги ХМАО») в 2017 году было разработано компанией «Ростелеком» совместно с Департаментом информационных технологий и цифрового развития Югры.

29 декабря 2019 года стало известно, что в публичном доступе возможно оказались выложены персональные данные пользователей портала государственных услуг одного из российских регионов. Утечка данных стала возможна из-за ошибочной настройки программного обеспечения одного из серверов портала, в результате чего данные оказались доступными для свободного скачивания.

По данным издания РБК, всего в утекшей базе возможно оказались данные двадцати восьми тыс. пользователей, включая: ФИО, даты рождения, паспортные данные, ИНН, СНИЛС, номера телефонов, адреса электронной почты, информацию о детях, токены авторизации для доступа в личные кабинеты граждан с мобильных устройств (нет информации, можно ли войти в личные кабинеты пользователей с их помощью). На данный момент настройки сервера, с которого произошла утечка, изменены таким образом, чтобы доступ к данным оказался закрыт.

По предварительной версии специалистов по информационной безопасности, утечка данной базы данных стала возможна из-за ошибки конфигурирования сервера, расположенного на площадке «Ростелекома». Как рассказал Ашот Оганесян, основатель и технический директор компании DeviceLock, поисковая система Shodan проиндексировала оказавшуюся без защиты базу на сервере еще 3 декабря 2019 года, а закрыть доступ к данным сетевые специалисты обслуживающей организации стали пытаться только двадцать дней спустя. Изначально на сервере, откуда была утечка данных, был выставлен нестандартный порт для системы Elasticsearch (9201 вместо 9200). Кстати, поисковая система BinaryEdge не распознала сервер Elasticsearch на этом порту.



Таким образом, определенные данные (технические, по информации Департамента информационных технологий и цифрового развития Югры) регионального портала госуслуг в Ханты-Мансийском автономном округе с начала декабря 2019 года были открыто доступны в сети Интернет, причем часть этих данных успели скачать с сервера. Эта информация даже оказалось выложена на одном из специализированных форумов, специализирующихся на утечках баз данных. Фактически, необходимые для закрытия канала утечки изменения в настройке сервера, расположенного на площадке «Ростелекома», были выполнены только 29 декабря 2019 года в 15.30 по МСК.

Комментарии от 29 декабря 2019 года по данному инциденту от Минкомсвязи и «Ростелекома»:

1. В Министерстве цифрового развития, связи и массовых коммуникаций (Минкомсвязь) сообщили, что в настоящий момент все системы госуслуг данного региона работают в штатном режиме, а также начата проверка по факту выявления персональных данных пользователей вне защищенного периметра.

2. В «Ростелекоме» сообщили, что инцидентов, связанных с утечкой персональных данных пользователей единого портала госуслуг и единой системы идентификации и аутентификации, не выявлено. «Все подсистемы инфраструктуры электронного правительства функционируют в штатном режиме, данные пользователей надежно защищены», — заявили в «Ростелекоме». Представители «Ростелекома» также считают, что данный инцидент мог быть связан с работой регионального мобильного приложения «Госуслуги Югры», разрабатываемого по заказу Департамента информационных технологий и цифрового развития ХМАО и функционирующего автономно от портала госуслуг. Приложение размещается на технической инфраструктуре, предоставляемой ПАО «Ростелеком».

Обновление публикации на 01.01.2020 (информацию предоставил Ашот Оганесян, технический директор компании DeviceLock): 31 декабря 2019 года снова на специализированных форумах, специализирующихся на утечках баз данных, появилась база персональных данных пользователей портала региональных госуслуг в Ханты-Мансийском автономном округе.



Сейчас раздачи «второго варианта» утекшей базы данных пользователей портала региональных госуслуг в Ханты-Мансийском автономном округе на англоязычных форумах заблокированы, как и «первый вариант» ранее, после которого и стало понятно о масштабе утечки. Блокировка распространения данной информации была выполнена после сообщения в компетентные органы о наличии на этих форумах информационных баз с персональными данными пользователей. Новая раздача на русскоязычном форуме еще не заблокирована.

Комментарии (8)


  1. Materializator
    31.12.2019 11:21
    #21080632

    Статья 3 закона о персональных данных:


    "персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);"


    1. stilic
      31.12.2019 19:37
      #21082034
      +1

      определенному или определяемому физическому лицу

      В данном случае «к кому именно относящиеся» вы можете определить?


  1. vanyaindigo
    31.12.2019 12:16
    #21080788
    +1

    Комментарии от 29 декабря 2019 года по данному инциденту от Минкомсвязи и «Ростелекома»

    А Роскомнадзор в рот воды набрал или там только могут щеки надувать по поводу очередных «успешных» попыток блокировки Телеграм?


    1. ukt
      01.01.2020 12:44
      #21082972
      +1

      Собственно
      image


  1. Sabubu
    31.12.2019 14:48
    #21081338

    Нестандартный порт 9201

    Он вполне себе стандартный. Открываем мануал:


    http.port

    Port to bind to for incoming HTTP requests. Accepts a single value or a range. If a range is specified, the node will bind to the first available port in the range.

    Defaults to 9200-9300

    Я подозреваю, сценарий мог быть такой: администратор, зная об Elastic, закрыл порт 9200 фаерволлом. Но на узле по каким-то причинам запустили не 1, а 2 инстанса Elastic. Второй инстанс, увидев, что порт 9200 занят, открыл порт 9201, который не был защищен фаерволлом. Также он соединился с первым инстансом и сделал реплику данных с него.


    Это особенность эластика, он "оптимизирован" под "кластеры" и с радостью позволяет запускать кучу инстансов, которые сами связываются между собой непонятным образом, многократно увеличивая поверхность атаки на радость хакерам. Это тоже описано в документации:


    Bootstrapping a cluster is required when an Elasticsearch cluster starts up for the very first time. In development mode, with no discovery settings configured, this is automatically performed by the nodes themselves. As this auto-bootstrapping is inherently unsafe, running a node in production mode requires bootstrapping to be explicitly configured via the cluster.initial_master_nodes setting.

    (зачем нужно авто-связывание в dev-режиме, я не очень понимаю, ведь в dev-режиме скорее всего будет использоваться единственный инстанс, а много инстансов нужно именно в продакшене, где авто-связывание отключено).


    Либо есть еще вариант, что на сервере запустили для надежности 2 инстанса, а администратор почему-то закрыл только один. Хотя, мне кажется, на узлах с такими важными данными в фаерволле правильнее применять "белый" список и закрывать все, что явно не разрешено.


    1. Wesha
      31.12.2019 20:45
      #21082176
      -1

      администратор, зная об Elastic, закрыл порт 9200 фаерволлом. [...] Второй инстанс, увидев, что порт 9200 занят, открыл порт 9201 [...] соединился с первым инстансом и сделал реплику данных с него.

      Очередное наглядное подтверждение того, что "умные" вещи/софт становятся "умнее" того, кто поставлен ими управлять.


      С учётом падающего уровня понимания, а чем именно человек поставлен управлять (много современных админов хотя бы ядро с нуля билдили?) — готов спорить, что придёт время, когда появится супер-мега-ИИ, посмотрит сверху на все эти пласты легаси, и решит, что проще всего сжечь всю эту х… рень в ядерном пламени и построить всё с чистого листа (а-ля Маск и его приземляющиеся ракеты).


      1. User2Qwer
        01.01.2020 16:26
        #21083398

        готов спорить, что придёт время, когда появится супер-мега-ИИ, посмотрит сверху на все эти пласты легаси, и решит, что проще всего сжечь всю эту х… рень в ядерном пламени и построить всё с чистого листа
        так это вроде уже есть, Богом называют, не?
        Тот же нетфликс нам весьма успешно изредка об этом демонстрирует, будто исходники палит. И не он один, но эта тема заслуживает дурки отдельной статьй.


        1. Wesha
          01.01.2020 20:50
          #21083806

          так это вроде уже есть, Богом называют, не?

          Бога, говорят, нет. А ИИ, говорят, есть. Ну, или будет.


          Кстати, касательно Бога — вспомнилась игрушка такая, Spore. Там игрок начинает в роли как бы Бога: управляет эволюцией одноклеточных — то им жгутик где прибавит, то реснички. Потом по мере превозмогания "его" одноклеточных они превращаются в многоклеточных, выходят на сушу, игрок получает возможность воздействовать на кусок земли, потом на планету в целом, потом развившиеся создания выходят в космос, и игрок уже правит целой галактикой...


          Так к чему это я? Сдаётся мне, что "наш" Бог на нас уже давно забил — неинтересно валандаться со жгутиками, когда уже можно ворочать метагалактиками :)