Персона «нон слита»: откуда и какие персданные утекали весной
31.05.2019

В последний день мая вспоминаем большие и маленькие ИБ-инциденты с персональной информацией в России и мире.

База сданных

Кажется, СМИ будут вечно писать на три темы: политика, экономика и утечки из баз данных ElasticSearch и MongoDB. Очередная открытая база нашлась в сети в марте. В 158 Гб уместились персданные заемщиков из Южного, Уральского и Приволжского федеральных округов – фото и заявки на кредиты.

Определить точного владельца базы не удалось. Она могла принадлежать финансовому брокеру, который выдает потребительские кредиты в торговых точках. На это указывает совпадение некоторых доменных имен с названием компании. И хотя сообщения об утечке фирма проигнорировала, вскоре после этого база из общего доступа пропала.

Утечка «с именем»

Если о первой утечке вы могли не знать, то новость о следующей быстро разлетелась по СМИ и соцсетям. Еще бы! Не каждый день в интернет выкладывают паспорта бывших вице-премьеров Аркадия Дворковича и Анатолия Чубайса. Кроме персданных известных политиков, в открытый доступ попали 360 тыс. записей с личной информацией россиян – ФИО, места работы, e-mail, СНИЛС, сведения о трудоустройстве.

Документы с персданными председатель Ассоциации участников рынков данных Иван Бегтин собрал с сайтов восьми информационных госсистем Минюста, Роструда, ФАС и других ведомств. Бегтин обратился в Роскомнадзор, где ему заявили, что «примут меры». Правда, какие – непонятно.

Аналитик считает, что утечки персданных в России происходят из-за ошибок в законодательстве, просчетов разработчиков и непродуманной работы регуляторов.

Отправка Telegram

В список Бегтина нужно включить и коррупцию. Полицейский из Краснодарского края 10 месяцев «сливал» паспортные данные россиян анонимному пользователю Telegram. За информационные услуги мужчина получил 1,3 млн рублей. Персданные полицейский копировал из закрытого сервиса, к которому имел доступ. Его взяли под стражу, а вот заказчика и IP простыл.

Штраф на публику

А вот классический просчет разработчиков. Весной по сети гуляла база с нарушителями дорожного движения, которые оплачивали штрафы ГИБДД через онлайн-сервисы оплатагибдд.рф, paygibdd.ru, gos-oplata.ru, штрафов.net и oplata-fssp.ru. В базе «хранились» сотни тысяч платежей с персданными плательщиков.

Утечка произошла из-за уязвимости в ПО для приема онлайн-платежей. Личные сведения оштрафованных водителей попадали на сервер компании-разработчика, где лежали в виде текста без всякой защиты. После сообщения об утечке фирма за день убрала все сведения о клиентах.

Рыбное место

Причиной утечки из Департамента социального обеспечения штата Орегон (США) стали девять невнимательных сотрудников, которые открыли фишинговые письма. В итоге злоумышленники выудили из информационной системы Департамента 2 млн e-mail адресов 350 тыс. американских граждан. Это открыло им доступ к именам и фамилиям, адресам, датам рождения, номерам социального страхования и другой личной информации орегонцев.

Департамент вину признал и пообещал, что бесплатно поможет пострадавшим восстановить и защитить украденные данные.

Глобальная семья

Не обошлась весна и без утечек из мобильных приложений. Австралийский Family Locator, с помощью которого можно отслеживать местоположение членов семьи, щедро делился GPS-данными юзеров со всем интернетом. Открытая база MongoDB также содержала имена пользователей, их электронную почту, фотографии профилей и пароли к учеткам.

Утечку нашел ИБ-исследователь Саньям Джейн (Sanyam Jain). Он сообщил об инциденте разработчику приложения React Apps, но компания спрятала голову в песок. Тогда Джейн обратился в Microsoft, которой принадлежит облачная платформа, где лежала база. Заход был удачным – и персданные из общего доступа убрали.

Краткий и честный вывод – главной причиной утечек по-прежнему остается человеческий фактор.  


Что скрывают ваши сотрудники, чего они боятся, о чем мечтают, способны ли на преступление? Закажите бесплатный тест «ProfileCenter СёрчИнформ», чтобы взглянуть на сотрудников без эмоций.


Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.