Утечки дня: СОРМ, ядерный Саров, РЖД

Опубликовано at 16:12
333 0

Базы данных в России продолжают протекать, причем на самом глобальном и высшем уровне. Один из ярких примеров такого инцидента представил 25 августа российский программист Леонид Евдокимов на IT-конференции Chaos Constructions в Санкт-Петербурге.

Доклад под названием «Проруха на СОРМ», который программист также опубликовал на своем сайте, был посвящен появлению в открытом доступе персональных данных российских интернет-пользователей. В апреле 2018 года знакомый Евдокимва обратил его внимание на IP-адрес в сети «Ростелекома», на котором в открытом доступе находилась некая статистика пользовательского трафика. Сначала он предположил, что это адрес сниффера, который пытается отследить способы обхода мессенджером Telegram блокировок Роскомнадзора.

По характерному распределению трафика в зависимости от времени суток он предположил, что это «часть живого оборудования, которое занимается прослушкой». После чего с помощью сканера Zmap программист нашел 30 подобных «подозрительных снифферов» в сетях как минимум 20 российских провайдеров. Далее, по словам Евдокимова, он обнаружил открытые FTP-сервера, а также некое подобие «прямого эфира» трафика, где — в числе прочих данных — нашлось «что-то очень похожее» на мобильные телефоны клиентов провайдеров, их логины, адреса имейлов, сетевые адреса, номера мессенджеров — и даже GPS-координаты.

«Как честный человек, я перво-наперво отправил сообщения об этом провайдерам, чтобы разобрались, что это такое. Мне ответили, что это стандартная „коробка“ от разработчика СОРМ-ов и системы „Ревизор“», — заявил Евдокимов.

На презентации программист показал, как с помощью опубликованных данных смог с высокой степенью вероятности вычислить MAC-адреса роутеров и даже географические координаты десятков жителей дагестанского села Новосельское. Затем презентация приняла более серьезный (с точки зрения безопасности) оборот: выяснилось, что таким образом были опубликованы даже данные жителей закрытого города Саров.

В логах московского оборудования Евдокимов нашел более 300 тысяч GPS-координат, которые устройства пользователей отправляли на различные трекинговые сервисы. Отсеяв повторы и округлив цифры, программист обнаружил, что девять из десяти тысяч координат «были сосредоточены в ядерной столице нашей Родины городе Сарове». Координаты были распределены по Сарову равномерно — как и в случае с дагестанским селом, это говорит о том, что речь идет о координатах частных, а не корпоративных пользователей провайдеров, подчеркнул Евдокимов. Впрочем, там же программист обнаружил темы имейл-сообщений, предположительно, отправленных подрядчиками Российского федерального ядерного центра и других научных организаций Сарова.

В июне 2018 года, после сообщений от Евдокимова, провайдеры начали закрывать страницы со статистикой. Тем не менее, по состоянию на 25 августа 2019 года незакрытыми оставались шесть IP-адресов. Закрыли их только 26 августа, после публикации презентации c конференции Chaos Constructions.

Другая важная новость дня: персональные данные 703 тысяч сотрудников Российских железных дорог попали в открытый доступ. Об утечке сообщил в блоге Habr.com специалист по информационной безопасности, технический директор DeviceLock Ашот Оганесян.

В открытом доступен оказались такие данные сотрудников РЖД, как ФИО, номер СНИЛС, адрес, фотография и должность. Учитывая размер утекших данных, речь идет о почти всех сотрудниках Российских железных дорог (всего в компании работают около 735 тысяч человек).

РЖД объявила, что проводит расследование утечки и «готовит материалы для передачи в правоохранительные органы», цитирует ТАСС сообщение пресс-службы компании. Речь идет об одной из крупнейших в 2019 году утечек данных в России.

Ранее в августе «Коммерсант» сообщал, что в интернете продается база данных клиентов Бинбанка, состоящая примерно из 70 тысяч записей. До апреля у Бинбанка была уязвимость, позволяющая методом подбора получить доступ к ФИО, паспортным данным, телефону и адресу клиентов, оставлявших заявку на кредитную карту. Эксперты, опрошенные изданием, считают, что вина за утечку частично лежит на Центробанке, занимающимся финансовым оздоровлением Бинбанка: по их мнению, временная администрация, которую ЦБ назначает в санируемые банки, не уделяет должного внимания информационной безопасности.

Читайте также на АКБ:

8 миллиардов аккаунтов спустя: Have I Been Pwned выставлен на продажу

Оператор сайта для проверки данных на слив признался в сливе данных за деньги

Робин Гуд Gnosticplayers украл еще 26 млн учеток – чтобы компании серьезней относились к КБ

Подписываемся, следим @CyberAgency

Related Post

Несанкционированный выход из Матрицы: 0-day в ПО Oracle позволял сбежать из виртуальной машины

Опубликовано - 09.11.2018 0
Некий Сергей Зеленюк, независимый эксперт по кибербезопасности, обнаружил уязвимость нулевого дня в кроссплатформенной программе для виртуализации Oracle VirtualBox. По данным…

Создавать мозги умных устройств со смартфона: Google готова представить Android Things

Опубликовано - 08.05.2018 0
Корпорация Google объявила о завершении стадии бета-тестирования платформы Android Things, среды для создания программной части умных устройств. Всего было выпущено…

Последние камни в Паноптикум: российские автобусы научат распознавать лица

Опубликовано - 01.10.2018 0
В Петербурге тестируют новую систему видеоконтроля, которую будут применять на общественном транспорте. Разработал его холдинг «Росэлектроника» и его дочерняя компания…