Утечки дня: СОРМ, ядерный Саров, РЖД

Опубликовано at 16:12
228 0

Базы данных в России продолжают протекать, причем на самом глобальном и высшем уровне. Один из ярких примеров такого инцидента представил 25 августа российский программист Леонид Евдокимов на IT-конференции Chaos Constructions в Санкт-Петербурге.

Доклад под названием «Проруха на СОРМ», который программист также опубликовал на своем сайте, был посвящен появлению в открытом доступе персональных данных российских интернет-пользователей. В апреле 2018 года знакомый Евдокимва обратил его внимание на IP-адрес в сети «Ростелекома», на котором в открытом доступе находилась некая статистика пользовательского трафика. Сначала он предположил, что это адрес сниффера, который пытается отследить способы обхода мессенджером Telegram блокировок Роскомнадзора.

По характерному распределению трафика в зависимости от времени суток он предположил, что это «часть живого оборудования, которое занимается прослушкой». После чего с помощью сканера Zmap программист нашел 30 подобных «подозрительных снифферов» в сетях как минимум 20 российских провайдеров. Далее, по словам Евдокимова, он обнаружил открытые FTP-сервера, а также некое подобие «прямого эфира» трафика, где — в числе прочих данных — нашлось «что-то очень похожее» на мобильные телефоны клиентов провайдеров, их логины, адреса имейлов, сетевые адреса, номера мессенджеров — и даже GPS-координаты.

«Как честный человек, я перво-наперво отправил сообщения об этом провайдерам, чтобы разобрались, что это такое. Мне ответили, что это стандартная „коробка“ от разработчика СОРМ-ов и системы „Ревизор“», — заявил Евдокимов.

На презентации программист показал, как с помощью опубликованных данных смог с высокой степенью вероятности вычислить MAC-адреса роутеров и даже географические координаты десятков жителей дагестанского села Новосельское. Затем презентация приняла более серьезный (с точки зрения безопасности) оборот: выяснилось, что таким образом были опубликованы даже данные жителей закрытого города Саров.

В логах московского оборудования Евдокимов нашел более 300 тысяч GPS-координат, которые устройства пользователей отправляли на различные трекинговые сервисы. Отсеяв повторы и округлив цифры, программист обнаружил, что девять из десяти тысяч координат «были сосредоточены в ядерной столице нашей Родины городе Сарове». Координаты были распределены по Сарову равномерно — как и в случае с дагестанским селом, это говорит о том, что речь идет о координатах частных, а не корпоративных пользователей провайдеров, подчеркнул Евдокимов. Впрочем, там же программист обнаружил темы имейл-сообщений, предположительно, отправленных подрядчиками Российского федерального ядерного центра и других научных организаций Сарова.

В июне 2018 года, после сообщений от Евдокимова, провайдеры начали закрывать страницы со статистикой. Тем не менее, по состоянию на 25 августа 2019 года незакрытыми оставались шесть IP-адресов. Закрыли их только 26 августа, после публикации презентации c конференции Chaos Constructions.

Другая важная новость дня: персональные данные 703 тысяч сотрудников Российских железных дорог попали в открытый доступ. Об утечке сообщил в блоге Habr.com специалист по информационной безопасности, технический директор DeviceLock Ашот Оганесян.

В открытом доступен оказались такие данные сотрудников РЖД, как ФИО, номер СНИЛС, адрес, фотография и должность. Учитывая размер утекших данных, речь идет о почти всех сотрудниках Российских железных дорог (всего в компании работают около 735 тысяч человек).

РЖД объявила, что проводит расследование утечки и «готовит материалы для передачи в правоохранительные органы», цитирует ТАСС сообщение пресс-службы компании. Речь идет об одной из крупнейших в 2019 году утечек данных в России.

Ранее в августе «Коммерсант» сообщал, что в интернете продается база данных клиентов Бинбанка, состоящая примерно из 70 тысяч записей. До апреля у Бинбанка была уязвимость, позволяющая методом подбора получить доступ к ФИО, паспортным данным, телефону и адресу клиентов, оставлявших заявку на кредитную карту. Эксперты, опрошенные изданием, считают, что вина за утечку частично лежит на Центробанке, занимающимся финансовым оздоровлением Бинбанка: по их мнению, временная администрация, которую ЦБ назначает в санируемые банки, не уделяет должного внимания информационной безопасности.

Читайте также на АКБ:

8 миллиардов аккаунтов спустя: Have I Been Pwned выставлен на продажу

Оператор сайта для проверки данных на слив признался в сливе данных за деньги

Робин Гуд Gnosticplayers украл еще 26 млн учеток – чтобы компании серьезней относились к КБ

Подписываемся, следим @CyberAgency

Related Post

Миллионы пользователей загрузили вредоносное программное обеспечение ExpensiveWall через Google Play

Опубликовано - 18.09.2017 0
Недавно обнаруженное вредоносное ПО для Android, который создали, чтобы заразить около 50 приложений в Google Play, было скачано в диапазоне…