Рад приветствовать наших читателей! Значительная часть информации была взята из открытых источников, очень помог в этом Telegram-канал @devicelock_ru.
Как в прошлый раз было обещано, в этой части рассмотрим, где же чаще всего компании хранят наши данные. Хотя, к сожалению, я бы сказал, что делают вид, что хранят. Большинство крупных сервисов хранят данные в облачных сервисах крупных компаний Amazon, Microsoft, в сервисах типа Dropbox, Яндекс.Диск, Box и базы данных MongoDB и Elasticsearch.
Кто-то может решить, что такое происходит только в России. К счастью, или к сожалению, это глобально. И беда при работе со всеми этими сервисами одна и та же. Безответственность и невнимательность сотрудников, которые должны наполнять, работать с этими базами. Если объяснить и упростить ответ, то они оставляют открытой базу для доступа всем желающим по определенной ссылке.
Были обнаружены около 90 компаний, у которых на сервисе Box находились свободно доступные файлы со сканами паспортов, номерами социального страхования (SSN), номерами банковских счетов, паролями, списками сотрудников и т.п.
Для поиска использовался скрипт, перебирающий аккаунты на Box.com, с применением словаря английских слов и набором шаблонов. URL для расшаренных файлов на Box имеет вид: https://<company>.app.box.com/v/<file/folder>, сначала по словарю подбирается имя компании, затем подбирается имя файла или папки.
Вот небольшой список компаний, в чьих Box-аккаунтах были найдены чувствительные данные:
Ещё один интересный случай, это инцидент с компанией DOC+, оказывающей услуги в области телемедицины и вызова врача на дом. Из базы логов можно узнать информацию о местоположении некоторых пользователей, их IP-адреса, информацию об устройствах, с которых они подключались к сервису DOC+, и т.п.
Но это не самое интересное. Самое интересное дальше. В логах также можно найти персональные данные сотрудников ООО «Новая Медицина», а именно: ФИО, даты рождения, пол, ИНН, адреса прописки и фактического места проживания, телефоны, должности, адреса электронной почты и многое другое.
Что интересно, компания опубликовала свой официальный ответ, намеренно занизив риск и количество объёма информации, попавшей в открытый доступ.
«В открытом доступе временно оказался незначительный объём данных, который не может привести к негативным последствиям для сотрудников и пользователей сервиса Doc+. На
момент инцидента в ClickHouse были данные в основном из тестовой среды. Медицинские данные клиентов, оказавшиеся в открытом доступе, являются обезличенными, идентифицировать субъект персональных данных по ним можно было бы только при получении всей базы данных целиком», — Руслан Зайдуллин, гендиректор Doc+
Банки, которые ДОЛЖНЫ хранить в тайне всю информацию, также не заботятся о сохранности данных. Так в открытый доступ попала база данных MongoDB с персональными данными заемщиков из Южного, Уральского и Приволжского федеральных округов. Допустила утечку информации компания Финсервис, которая является финансовым брокером в сфере POS-кредитования (выдача кредитов на различные товары в торговых точках). Базу обнаружил исследователь безопасности Bob Diachenko (securitydiscovery.com). Открытой база данных MongoDB была с 10 марта 2019 года до 21 марта 2019.
В обнаруженной базе данных содержались:
Может показаться, что ситуация совсем плачевна. Отчасти так и есть, но и тут бывают исключения. Например, широко распиаренная
Рассмотрим работу мобильных приложений и сервисов, которые были в своё время многообещающими (а может и бесполезными), но по каким-то причинам были заброшены создателем-разработчиком. Даже если они сейчас работают, пользоваться этими приложения небезопасно. Ведь, кроме того, что разработчик может поддерживать работоспособность сервиса, он также должен и хранить информацию. А если ресурс заброшен, то и хранить ваши данные элементарно некому. На скрине пример того, как различные «мусорные» бесполезные программы, спрашивали доступ к вашему смартфону, собирали эту информацию, и впоследствии оказывались заброшенными. Вы самостоятельно можете посмотреть в Google Play последние обновления таких программ. Многие из них неактивны более года, а часть и вовсе удалена.
Еще пример.
В далеком, холодном феврале 2013 года, в пору «дикого роуминга» резко начало набирать популярность приложение Roamer (
Кто-то может решить, что такое происходит только в России. К счастью, или к сожалению, это глобально. И беда при работе со всеми этими сервисами одна и та же. Безответственность и невнимательность сотрудников, которые должны наполнять, работать с этими базами. Если объяснить и упростить ответ, то они оставляют открытой базу для доступа всем желающим по определенной ссылке.
Были обнаружены около 90 компаний, у которых на сервисе Box находились свободно доступные файлы со сканами паспортов, номерами социального страхования (SSN), номерами банковских счетов, паролями, списками сотрудников и т.п.
Для поиска использовался скрипт, перебирающий аккаунты на Box.com, с применением словаря английских слов и набором шаблонов. URL для расшаренных файлов на Box имеет вид: https://<company>.app.box.com/v/<file/folder>, сначала по словарю подбирается имя компании, затем подбирается имя файла или папки.
Вот небольшой список компаний, в чьих Box-аккаунтах были найдены чувствительные данные:
- Apple,
- система бронирования авиабилетов Amadeus,
- телеканал Discovery,
- Herbalife,
- сама компания Box.
Ещё один интересный случай, это инцидент с компанией DOC+, оказывающей услуги в области телемедицины и вызова врача на дом. Из базы логов можно узнать информацию о местоположении некоторых пользователей, их IP-адреса, информацию об устройствах, с которых они подключались к сервису DOC+, и т.п.
Но это не самое интересное. Самое интересное дальше. В логах также можно найти персональные данные сотрудников ООО «Новая Медицина», а именно: ФИО, даты рождения, пол, ИНН, адреса прописки и фактического места проживания, телефоны, должности, адреса электронной почты и многое другое.
Что интересно, компания опубликовала свой официальный ответ, намеренно занизив риск и количество объёма информации, попавшей в открытый доступ.
«В открытом доступе временно оказался незначительный объём данных, который не может привести к негативным последствиям для сотрудников и пользователей сервиса Doc+. На
момент инцидента в ClickHouse были данные в основном из тестовой среды. Медицинские данные клиентов, оказавшиеся в открытом доступе, являются обезличенными, идентифицировать субъект персональных данных по ним можно было бы только при получении всей базы данных целиком», — Руслан Зайдуллин, гендиректор Doc+
Банки, которые ДОЛЖНЫ хранить в тайне всю информацию, также не заботятся о сохранности данных. Так в открытый доступ попала база данных MongoDB с персональными данными заемщиков из Южного, Уральского и Приволжского федеральных округов. Допустила утечку информации компания Финсервис, которая является финансовым брокером в сфере POS-кредитования (выдача кредитов на различные товары в торговых точках). Базу обнаружил исследователь безопасности Bob Diachenko (securitydiscovery.com). Открытой база данных MongoDB была с 10 марта 2019 года до 21 марта 2019.
В обнаруженной базе данных содержались:
- более 294 тыс. записей о заемщиках: ФИО, место рождения, дата рождения, количество детей, количество иждивенцев, девичья фамилия матери, состоит в браке или нет, образование, номер мобильного телефона, номер стационарного телефона, адрес электронной почты, адрес регистрации, адрес фактического места жительства, полные паспортные данные;
- более 183 тыс. записей о кредитах: размер кредита, статус кредита, дата выдачи, идентификатор банка, идентификатор заемщика, график платежей по кредиту и т. п.;
- более 819 тыс. отсканированных документов: тип документа, название файла, ссылка на JPG-файл, статус, дата и т. п.;
- более 246 тыс. фотографий людей, подававших заявки на кредиты, сделанных с веб-камер в точках продаж, в формате JPG;
- более 5 тыс. «внутренних» (видимо, сотрудников компании) пользователей: ФИО, дата рождения, логин и хешированный пароль, мобильный телефон, адреса электронной почты на доменах @poslogic.pro и @finservice.pro;
- более 2.5 тыс. партнеров (видимо, точек продаж товаров, на которые берутся кредиты): название, банковские реквизиты, фактический адрес, юридический адрес, контакты и т.п.
Может показаться, что ситуация совсем плачевна. Отчасти так и есть, но и тут бывают исключения. Например, широко распиаренная
чтобы видеть ссылку, вы должны быть зарегистрированы
с очередным сливом из Facebook. В действительности в сети была выложена информация, которую пользователи итак добровольно о себе рассказали. Она лишь была систематизирована.Рассмотрим работу мобильных приложений и сервисов, которые были в своё время многообещающими (а может и бесполезными), но по каким-то причинам были заброшены создателем-разработчиком. Даже если они сейчас работают, пользоваться этими приложения небезопасно. Ведь, кроме того, что разработчик может поддерживать работоспособность сервиса, он также должен и хранить информацию. А если ресурс заброшен, то и хранить ваши данные элементарно некому. На скрине пример того, как различные «мусорные» бесполезные программы, спрашивали доступ к вашему смартфону, собирали эту информацию, и впоследствии оказывались заброшенными. Вы самостоятельно можете посмотреть в Google Play последние обновления таких программ. Многие из них неактивны более года, а часть и вовсе удалена.
В далеком, холодном феврале 2013 года, в пору «дикого роуминга» резко начало набирать популярность приложение Roamer (
чтобы видеть ссылку, вы должны быть зарегистрированы
). Приложение агрессивно развивалось, про него в ту пору не писал только ленивый блогер, но через пару лет оказалось заброшено, хотя и сейчас работает. Сайт сервиса не обновлялся с 2016 года. С Google Play приложение удалено, а ссылка на App Store и сейчас активна. База данных приложения находится в открытом доступе и так как приложением до сих пользуются, она постоянно обновляется. Вот сведения, которые из неё можно извлечь:- телефон пользователя;
- история звонков (номера, входящий или исходящий звонок, стоимость звонка, продолжительность, время звонка);
- IP-адреса пользователя;
- модель телефона пользователя и версия ОС на нем;
- адрес электронной почты пользователя;
- баланс и валюта внутреннего счета пользователя;
- текущее местоположение (страна) пользователя.
- Во-первых, это надежный пароль, там, где это возможно;
- во-вторых, это бережное обращение с личной, персональной информацией. Как со своей, так и с чужой;
- в-третьих, использование защищенных (https) подключений к Интернету, браузеров, мессенджеров, сетей Wi-Fi;
- в-четвертых, стоит обходить стороной непроверенные сайты, сайты и магазины, которые содержат ошибки и вызывают недоверие;
- в-пятых, не стоит пользоваться устаревшими программами, которые забросили разработчики;
- в-шестых, не лишним будет использование VPN.
Мнение автора может не совпадать с мнением редакции.
Последнее редактирование:
