15 май 15:32Экономика

MongoDB, Elastic, кривые руки программистов госструктур и законы открывают данные россиян злоумышленникам

Иван Бегтин, председатель Ассоциации участников рынков данных, и Ашот Оганесян, технический директор DeviceLock DLP, показали массовую информационную дырявость, как сайтов государственных структур, так и частного бизнеса. Самым существенным недостатком выявленных уязвимостей является то, что никто не реагирует на выявляемые проблемы до тех пор, пока они не становятся публичными. Более того, Роскомнадзор, как регулятор, в ряде случаев (см. ниже) просто констатирует, что формального нарушения закона нет и то или иное раскрытие ПД правомерно.

Основных вариантов утечек два:


Тупость разработчиков, оставляющих дефолтные пароли на базы MongoDB и Elastic. При этом MongoDB открывается ещё и на запись, таких баз более половины. DeviceLock исследовал 1900 серверов на платформах MongoDB, Elasticsearch и Yandex ClickHouse — 52% предоставляли возможность неавторизованного доступа.
"Добросовестность" разработчиков, выполняющих законы, но лишь формально. "Причина — в нежелании официальных лиц что-либо делать, хотя они знают о ситуации и непрофессионализме при разработке ИТ-систем", — говорит Иван Бегтин. Особенности регулирования описаны законодателем не исчерпывающе. В результате, формально не нарушая закон, госструктуры могут раскрывать огромные реестры с персональными данными россиян.

После совершения утечек их устранению мешает, как нежелание лечить проблемы с безопасностью у самих разработчиков, так и пассивность госорганов. По идее регуляторы, должны контролировать распространение персональных данных россиян. Но ни Роскомнадзор, ни сами разработчики чаще всего не реагируют на частные сигналы о том, что у них есть проблемы с безопасностью. Видимая активность возможна лишь после освещение проблем в прессе.

Среди самых шумных утечек:


2,24 млн записей с паспортными данными, СНИЛС и сведениями о трудоустройстве россиян, утекшие с электронных торговых площадок.
База данных пациентов подмосковной скорой помощи
360 000 записей из государственных систем, подконтрольных Минфину, Минюсту, Роструду, ФАС России, Федеральному казначейству и мэрии Москвы.

В упомянутых выше базах РБК прочёл персональные данные российских знаменитостей и чиновников: Дворковича, Чубайса, первого зама председателя Госдумы Жукова, топ-менеджеров "Роснано", персональные данные банкиров, губернаторов, телеведущих.

В начале мая выяснилось, что хакеры группировки Unistellar уничтожили данные нескольких тысяч "открытых" баз MongoDB и потребовали выкуп за восстановление данных, оставив запись "hacked_by_unistellar" и сообщение "Restore? Contact". В России находится более 230 серверов с MongoDB, подвергшихся "нападению", а всего по миру их более 12,5 тысяч, рассказал Ашот Оганесян. "Для поиска "открытых" баз данных используются автоматизированные сканеры. Вопрос уже стоит не в форме "найти и устранить уязвимость", а в форме "сделать это до того, как ее найдут хакеры", — подчеркнул технический директор.

Роскомнадзор, на исследование об утечках из госсистем, ответил Ивану Бегтину отдельным пресс-релизом. Регулятор подтвердил, что раскрытие персональных данных допустимо в рамках действующего законодательства:

В связи с публикациями в СМИ специалистами Роскомнадзора проведена оценка правомерности нахождения в открытом интернет-доступе порядка 360 тысяч записей с личными данными россиян, размещенных в информационных государственных системах. Анализ ситуации показал, что такое опубликование персональных данных подпадает под правовые основания, предусмотренные статьей 6 Федерального закона «О персональных данных».

Роскомнадзор: В работе операторов информационных государственных систем не найдено нарушений закона о персональных данных.


По материалам: roem
Загрузка...

Эксперты выявили базу данных с более чем 800 млн электронных адресов и других записей

Эксперты выявили базу данных с более чем 800 млн электронных адресов и других записей
Эксперты организации Security Discovery накануне выявили в Сети общедоступную базу данных, содержащую около 808 млн адресов электронной почты и прочих текстовых записей. Данная утечка контактов связана с ошибкой проверки почты, подключившей сайт к Сети. Общедоступная база данных MongoDB была выявлена 25 февраля, а содержала она в сети 798 млн записей адресов электронной почты, 4 млн номеров телефонов, а также ... ПОДРОБНЕЕ →

В Роскомнадзоре сообщили о нарушении закона каждой 10-ой точкой публичного доступа Wi-Fi

В Роскомнадзоре сообщили о нарушении закона каждой 10-ой точкой публичного доступа Wi-Fi
В Роскомнадзоре рассказали о нарушении закона об идентификации пользователей каждой 10-ой точкой публичного доступа Wi-Fi. Сообщение было опубликовано на официальном сайте ведомства. По итогам первого полугодия 2017 года было проверено более 7?000 точек беспроводного доступа в сеть в общественных местах. Наибольшее количество нарушений выявили на территории Центрального и Южного федеральных ... ПОДРОБНЕЕ →

Роскомнадзор заблокировал 275 000 сайтов за пять лет

Роскомнадзор заблокировал 275 000 сайтов за пять лет
За пять лет действия закона об ограничении доступа к ресурсам с запрещенной в РФ информацией Роскомнадзор заблокировал примерно 275?000 сайтов. Об этом сообщил ТАСС со ссылкой на пресс-службу ведомства. Более 97?000 сайтов внесены в реестр на основании судебных решений о признании информации запрещенной к распространению в стране. Более 70?000 заблокированных ресурсов были замечены ... ПОДРОБНЕЕ →

Глава Роскомнадзора требует персональные данные Telegram

Глава Роскомнадзора требует персональные данные Telegram
Как отмечают СМИ – регулятор никак не может получить данные от Telegram. «На протяжении 7 дней я лично обращусь к Дурову», - заявляет глава Роскомнадзора Александр Жаров. На протяжении двух месяцев Роскомнадзор требует Дурова предоставить данные Telegram: почту, электронный адрес компании и хостинга, о местонахождении сервиса, о геолокации. Со слов Дурова, мессенджер Telegram уже пытались получить персональные ... ПОДРОБНЕЕ →

InfoWatch назвали фейком вброшенную базу с данными воображаемых «клиентов» InfoWatch

InfoWatch назвали фейком вброшенную базу с данными воображаемых «клиентов» InfoWatch
Компания InfoWatch заявила, что у нее не происходило утечек данных клиентов, а информацию о якобы имевшем место похищении базы данных компании рассылают недоброжелатели и в InfoWatch уже понимют кто это делают. В компании говорят, что содержащиеся в письме данные — фейк. InfoWatch зафиксировала информационную атаку, которая была осуществлена централизованно из анонимного источника путем размещения ... ПОДРОБНЕЕ →
Добавить комментарий
Ваше Имя:
Ваш E-Mail:
Введите два слова, показанных на изображении: *