Памятайце я
Толькі не трэба смяяцца, гэта зусім не жарт - той жа самы сервер з дадзенымі той жа самай сістэмы зноў аказаўся адкрытым для ўсяго свету.
Ну што, паехалі разбірацца...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Для пачатку крыху нагадаю храналогію падзей:
- 12.04.2019 (уначы) быў знойдзены сервер Elasticsearch, які не патрабуе аўтэнтыфікацыі для падлучэння.
- 13.04.2019/XNUMX/XNUMX (раніцай) было адпраўлена абвестка уладальнікам сервера.
- 13.04.2019 (днём) сервер "ціха" быў прыбраны з адкрытага доступу.
На момант першага зачынення сервера, азначнікі Elasticsearch выглядалі так:
І вось 21.05.2019 каля 16:00 (МСК) той жа самы сервер Elasticsearch, з тымі ж самымі (плюс новыя) індэксамі зноў з'яўляецца ў адкрытым доступе:
Я не паверыў сваім вачам, калі ўбачыў (адразу пасля выступу на PHDays на тэму выяўлення адкрытых баз) у пошце натыфікацыю ад нашай
Аднак, не гэта быў не глюк і пераправерыўшы ўсё ўручную, у 01:25 ужо 22.05.2019 я зноў адправіў апавяшчэнне па тых жа самых адрасах, што і ў першы раз.
З моманту першага зачынення, дадзены сервер сканаваўся Shodan'ом 11 разоў і аж да 21-го траўня Elasticsearch на ім быў прычынены.
Толькі 24.05.2019 раніцай гэты Elasticsearch знік з адчыненага доступу другі раз. За гэты час індэксы самавіта падраслі:
А калі паглядзець на дадзеныя (толькі значная інфармацыя, якая змяшчае персанальныя дадзеныя грамадзян) у індэксах за прамежак з 1-га па 22-га траўня, то карціна такая:
- 127,525 запісаў у індэксе paygibdd
- 49,627 запісаў у індэксе shtrafov-net
- 162,282 запісаў у індэксе oplata-fssp
- 220,201 запісаў у індэксе gosoplata
Прыклад дадзеных з азначніка gosoplata:
Прыклад дадзеных з азначніка paygibdd:
Ну а вішанькай на торце стаў ліст з аднаго з адрасоў, на якія я адпраўляў абвесткі:
Атрымалі Ваш ліст пра адчынены ElasticSearch — дзякуй за інфармацыю, базу дадзеных закрылі. Сістэмны адміністратар, паўторна які адкрыў доступ, звольнены. Таксама юрслужба рыхтуе да накіравання ў МУС па Рэспубліцы Татарстан Заяву аб прыкметах наяўнасці ў дзеяннях сістэмнага адміністратара складу па 272 і 273 артыкулах КК РФ.
Навіны пра ўцечкі інфармацыі і інсайдэраў заўсёды можна знайсці на маім Telegram-канале
Крыніца: habr.com