Базы данных в России продолжают протекать, причем на самом глобальном и высшем уровне. Один из ярких примеров такого инцидента представил 25 августа российский программист Леонид Евдокимов на IT-конференции Chaos Constructions в Санкт-Петербурге.
Доклад под названием «Проруха на СОРМ», который программист также опубликовал на своем сайте, был посвящен появлению в открытом доступе персональных данных российских интернет-пользователей. В апреле 2018 года знакомый Евдокимва обратил его внимание на IP-адрес в сети «Ростелекома», на котором в открытом доступе находилась некая статистика пользовательского трафика. Сначала он предположил, что это адрес сниффера, который пытается отследить способы обхода мессенджером Telegram блокировок Роскомнадзора.
По характерному распределению трафика в зависимости от времени суток он предположил, что это «часть живого оборудования, которое занимается прослушкой». После чего с помощью сканера Zmap программист нашел 30 подобных «подозрительных снифферов» в сетях как минимум 20 российских провайдеров. Далее, по словам Евдокимова, он обнаружил открытые FTP-сервера, а также некое подобие «прямого эфира» трафика, где — в числе прочих данных — нашлось «что-то очень похожее» на мобильные телефоны клиентов провайдеров, их логины, адреса имейлов, сетевые адреса, номера мессенджеров — и даже GPS-координаты.
«Как честный человек, я перво-наперво отправил сообщения об этом провайдерам, чтобы разобрались, что это такое. Мне ответили, что это стандартная „коробка“ от разработчика СОРМ-ов и системы „Ревизор“», — заявил Евдокимов.
На презентации программист показал, как с помощью опубликованных данных смог с высокой степенью вероятности вычислить MAC-адреса роутеров и даже географические координаты десятков жителей дагестанского села Новосельское. Затем презентация приняла более серьезный (с точки зрения безопасности) оборот: выяснилось, что таким образом были опубликованы даже данные жителей закрытого города Саров.
В логах московского оборудования Евдокимов нашел более 300 тысяч GPS-координат, которые устройства пользователей отправляли на различные трекинговые сервисы. Отсеяв повторы и округлив цифры, программист обнаружил, что девять из десяти тысяч координат «были сосредоточены в ядерной столице нашей Родины городе Сарове». Координаты были распределены по Сарову равномерно — как и в случае с дагестанским селом, это говорит о том, что речь идет о координатах частных, а не корпоративных пользователей провайдеров, подчеркнул Евдокимов. Впрочем, там же программист обнаружил темы имейл-сообщений, предположительно, отправленных подрядчиками Российского федерального ядерного центра и других научных организаций Сарова.
В июне 2018 года, после сообщений от Евдокимова, провайдеры начали закрывать страницы со статистикой. Тем не менее, по состоянию на 25 августа 2019 года незакрытыми оставались шесть IP-адресов. Закрыли их только 26 августа, после публикации презентации c конференции Chaos Constructions.
Другая важная новость дня: персональные данные 703 тысяч сотрудников Российских железных дорог попали в открытый доступ. Об утечке сообщил в блоге Habr.com специалист по информационной безопасности, технический директор DeviceLock Ашот Оганесян.
В открытом доступен оказались такие данные сотрудников РЖД, как ФИО, номер СНИЛС, адрес, фотография и должность. Учитывая размер утекших данных, речь идет о почти всех сотрудниках Российских железных дорог (всего в компании работают около 735 тысяч человек).
РЖД объявила, что проводит расследование утечки и «готовит материалы для передачи в правоохранительные органы», цитирует ТАСС сообщение пресс-службы компании. Речь идет об одной из крупнейших в 2019 году утечек данных в России.
Ранее в августе «Коммерсант» сообщал, что в интернете продается база данных клиентов Бинбанка, состоящая примерно из 70 тысяч записей. До апреля у Бинбанка была уязвимость, позволяющая методом подбора получить доступ к ФИО, паспортным данным, телефону и адресу клиентов, оставлявших заявку на кредитную карту. Эксперты, опрошенные изданием, считают, что вина за утечку частично лежит на Центробанке, занимающимся финансовым оздоровлением Бинбанка: по их мнению, временная администрация, которую ЦБ назначает в санируемые банки, не уделяет должного внимания информационной безопасности.
Читайте также на АКБ:
8 миллиардов аккаунтов спустя: Have I Been Pwned выставлен на продажу
Оператор сайта для проверки данных на слив признался в сливе данных за деньги
Робин Гуд Gnosticplayers украл еще 26 млн учеток – чтобы компании серьезней относились к КБ
