Помните я писал на Хабре и у себя в Telegram-канале, как в открытом доступе оказались подробности платежей в пользу ГИБДД и ФССП пользователей сайтов оплатагибдд.рф, paygibdd.ru, gos-oplata.ru, штрафов.net и oplata-fssp.ru?
Только не надо смеяться, это вовсе не шутка — тот же самый сервер с данными той же самой системы снова оказался открытым для всего мира.
Ну что, поехали разбираться…
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Для начала немного напомню хронологию событий:
- 12.04.2019 (ночью) был обнаружен сервер Elasticsearch, не требующий аутентификации для подключения.
- 13.04.2019 (утром) было отправлено оповещение владельцам сервера.
- 13.04.2019 (днем) сервер «тихо» был убран из открытого доступа.
На момент первого закрытия сервера, индексы Elasticsearch выглядели так:
И вот 21.05.2019 около 16:00 (МСК) тот же самый сервер Elasticsearch, с теми же самыми (плюс новые) индексами снова появляется в открытом доступе:
Я не поверил своим глазам, когда увидел (сразу после выступления на PHDays на тему обнаружения открытых баз) в почте нотификацию от нашей DeviceLock Data Breach Intelligence. Если честно, то первая мысль была, что это какой-то глюк системы.
Однако, нет это был не глюк и перепроверив все вручную, в 01:25 уже 22.05.2019 я снова отправил оповещение по тем же самым адресам, что и в первый раз.
С момента первого закрытия, данный сервер сканировался Shodan’ом 11 раз и вплоть до 21-го мая Elasticsearch на нем был прикрыт.
Только 24.05.2019 утром этот Elasticsearch исчез из открытого доступа второй раз. За это время индексы солидно подросли:
А если посмотреть на данные (только значимая информация, содержащая персональные данные граждан) в индексах за промежуток с 1-го по 22-е мая, то картина такая:
- 127,525 записей в индексе paygibdd
- 49,627 записей в индексе shtrafov-net
- 162,282 записей в индексе oplata-fssp
- 220,201 записей в индексе gosoplata
Пример данных из индекса gosoplata:
Пример данных из индекса paygibdd:
Ну а вишенкой на торте стало письмо с одного из адресов, на которые я отправлял оповещения:
Получили Ваше письмо про открытый ElasticSearch — спасибо за информацию, базу данных закрыли. Системный администратор, повторно открывший доступ, уволен. Также юрслужба готовит к направлению в МВД по Республике Татарстан Заявление о признаках наличия в действиях системного администратора состава по 272 и 273 статьям УК РФ.
Новости про утечки информации и инсайдеров всегда можно найти на моем Telegram-канале «Утечки информации»: https://t.me/dataleak.
