Интернет: Ваши личные дела, которые сразу становятся публичными

Рад приветствовать наших читателей! Значительная часть информации была взята из открытых источников, очень помог в этом Telegram-канал @devicelock_ru.

22207
Как в прошлый раз было обещано, в этой части рассмотрим, где же чаще всего компании хранят наши данные. Хотя, к сожалению, я бы сказал, что делают вид, что хранят. Большинство крупных сервисов хранят данные в облачных сервисах крупных компаний Amazon, Microsoft, в сервисах типа Dropbox, Яндекс.Диск, Box и базы данных MongoDB и Elasticsearch.

Кто-то может решить, что такое происходит только в России. К счастью, или к сожалению, это глобально. И беда при работе со всеми этими сервисами одна и та же. Безответственность и невнимательность сотрудников, которые должны наполнять, работать с этими базами. Если объяснить и упростить ответ, то они оставляют открытой базу для доступа всем желающим по определенной ссылке.

Были обнаружены около 90 компаний, у которых на сервисе Box находились свободно доступные файлы со сканами паспортов, номерами социального страхования (SSN), номерами банковских счетов, паролями, списками сотрудников и т.п.

Для поиска использовался скрипт, перебирающий аккаунты на Box.com, с применением словаря английских слов и набором шаблонов. URL для расшаренных файлов на Box имеет вид: https://<company>.app.box.com/v/<file/folder>, сначала по словарю подбирается имя компании, затем подбирается имя файла или папки.

Вот небольшой список компаний, в чьих Box-аккаунтах были найдены чувствительные данные:
  • Apple,
  • система бронирования авиабилетов Amadeus,
  • телеканал Discovery,
  • Herbalife,
  • сама компания Box.
Также совсем недавно китайский онлайн-магазин Gearbest оставил в открытом доступе базы данных Elasticsearch с миллионами записей. В обнаруженных базах содержаться данные заказов, адреса доставки, адреса электронной почты, имена, даты рождения, IP-адреса, также присутствует платежная информация, паспорта, пароли. База, как говорят исследователи, живая и постоянно пополняется новыми данными.

Ещё один интересный случай, это инцидент с компанией DOC+, оказывающей услуги в области телемедицины и вызова врача на дом. Из базы логов можно узнать информацию о местоположении некоторых пользователей, их IP-адреса, информацию об устройствах, с которых они подключались к сервису DOC+, и т.п.

Но это не самое интересное. Самое интересное дальше. В логах также можно найти персональные данные сотрудников ООО «Новая Медицина», а именно: ФИО, даты рождения, пол, ИНН, адреса прописки и фактического места проживания, телефоны, должности, адреса электронной почты и многое другое.

22208

Что интересно, компания опубликовала свой официальный ответ, намеренно занизив риск и количество объёма информации, попавшей в открытый доступ.

«В открытом доступе временно оказался незначительный объём данных, который не может привести к негативным последствиям для сотрудников и пользователей сервиса Doc+. На
момент инцидента в ClickHouse были данные в основном из тестовой среды. Медицинские данные клиентов, оказавшиеся в открытом доступе, являются обезличенными, идентифицировать субъект персональных данных по ним можно было бы только при получении всей базы данных целиком», —
Руслан Зайдуллин, гендиректор Doc+

Банки, которые ДОЛЖНЫ хранить в тайне всю информацию, также не заботятся о сохранности данных. Так в открытый доступ попала база данных MongoDB с персональными данными заемщиков из Южного, Уральского и Приволжского федеральных округов. Допустила утечку информации компания Финсервис, которая является финансовым брокером в сфере POS-кредитования (выдача кредитов на различные товары в торговых точках). Базу обнаружил исследователь безопасности Bob Diachenko (securitydiscovery.com). Открытой база данных MongoDB была с 10 марта 2019 года до 21 марта 2019.

В обнаруженной базе данных содержались:
  • более 294 тыс. записей о заемщиках: ФИО, место рождения, дата рождения, количество детей, количество иждивенцев, девичья фамилия матери, состоит в браке или нет, образование, номер мобильного телефона, номер стационарного телефона, адрес электронной почты, адрес регистрации, адрес фактического места жительства, полные паспортные данные;
  • более 183 тыс. записей о кредитах: размер кредита, статус кредита, дата выдачи, идентификатор банка, идентификатор заемщика, график платежей по кредиту и т. п.;
  • более 819 тыс. отсканированных документов: тип документа, название файла, ссылка на JPG-файл, статус, дата и т. п.;
  • более 246 тыс. фотографий людей, подававших заявки на кредиты, сделанных с веб-камер в точках продаж, в формате JPG;
  • более 5 тыс. «внутренних» (видимо, сотрудников компании) пользователей: ФИО, дата рождения, логин и хешированный пароль, мобильный телефон, адреса электронной почты на доменах @poslogic.pro и @finservice.pro;
  • более 2.5 тыс. партнеров (видимо, точек продаж товаров, на которые берутся кредиты): название, банковские реквизиты, фактический адрес, юридический адрес, контакты и т.п.
Общий размер данных в базе превышал 157 ГБ, база постоянно обновлялась и дополнялась новыми записями. Так за один день в ней появилось более 50 новых заявок на кредиты.

22209
22210

Может показаться, что ситуация совсем плачевна. Отчасти так и есть, но и тут бывают исключения. Например, широко распиаренная с очередным сливом из Facebook. В действительности в сети была выложена информация, которую пользователи итак добровольно о себе рассказали. Она лишь была систематизирована.

Рассмотрим работу мобильных приложений и сервисов, которые были в своё время многообещающими (а может и бесполезными), но по каким-то причинам были заброшены создателем-разработчиком. Даже если они сейчас работают, пользоваться этими приложения небезопасно. Ведь, кроме того, что разработчик может поддерживать работоспособность сервиса, он также должен и хранить информацию. А если ресурс заброшен, то и хранить ваши данные элементарно некому. На скрине пример того, как различные «мусорные» бесполезные программы, спрашивали доступ к вашему смартфону, собирали эту информацию, и впоследствии оказывались заброшенными. Вы самостоятельно можете посмотреть в Google Play последние обновления таких программ. Многие из них неактивны более года, а часть и вовсе удалена.

22264
Еще пример.
В далеком, холодном феврале 2013 года, в пору «дикого роуминга» резко начало набирать популярность приложение Roamer ( ). Приложение агрессивно развивалось, про него в ту пору не писал только ленивый блогер, но через пару лет оказалось заброшено, хотя и сейчас работает. Сайт сервиса не обновлялся с 2016 года. С Google Play приложение удалено, а ссылка на App Store и сейчас активна. База данных приложения находится в открытом доступе и так как приложением до сих пользуются, она постоянно обновляется. Вот сведения, которые из неё можно извлечь:
  • телефон пользователя;
  • история звонков (номера, входящий или исходящий звонок, стоимость звонка, продолжительность, время звонка);
  • IP-адреса пользователя;
  • модель телефона пользователя и версия ОС на нем;
  • адрес электронной почты пользователя;
  • баланс и валюта внутреннего счета пользователя;
  • текущее местоположение (страна) пользователя.
Теперь, я надеюсь, вы видите картину чуть полнее, с разных сторон и мы вплотную подошли к вопросу о способах сохранности и безопасности данных.
  • Во-первых, это надежный пароль, там, где это возможно;
  • во-вторых, это бережное обращение с личной, персональной информацией. Как со своей, так и с чужой;
  • в-третьих, использование защищенных (https) подключений к Интернету, браузеров, мессенджеров, сетей Wi-Fi;
  • в-четвертых, стоит обходить стороной непроверенные сайты, сайты и магазины, которые содержат ошибки и вызывают недоверие;
  • в-пятых, не стоит пользоваться устаревшими программами, которые забросили разработчики;
  • в-шестых, не лишним будет использование VPN.
Конечно, это всё не панацея, но однозначно безопасности вам добавит и в виртуальной, и в реальной жизни. Всем удачи! В следующих выпусках, начнём, наконец, детальный обзор, описанных выше методов защиты.

Мнение автора может не совпадать с мнением редакции.
 
Последнее редактирование:
  • Спасибо
Благодарности: Mark_fox, Agent K, Nemogood и 3 других
DDDTK

DDDTK

Местный филин
Вернуться к: Авторское