Спомни си аз
Само не се смейте, това изобщо не е шега - същият сървър с данни от същата система отново се оказа отворен за целия свят.
Е, да отидем да разберем...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Първо, нека ви напомня малко за хронологията на събитията:
- На 12.04.2019 април XNUMX г. (през нощта) беше открит сървър на Elasticsearch, който не изискваше удостоверяване за свързване.
- На 13.04.2019 г. (сутринта) е изпратено известие до собствениците на сървъра.
- На 13.04.2019 април XNUMX г. (следобед) сървърът беше „тихо“ премахнат от публичен достъп.
По време на първото изключване на сървъра индексите на Elasticsearch изглеждаха така:
И сега на 21.05.2019 г. около 16:00 (московско време) същият сървър Elasticsearch със същите (плюс нови) индекси отново се появява в публичното пространство:
Не можах да повярвам на очите си, когато го видях (веднага след представлението в PHDays по темата за откриване на отворени бази данни) в известието по пощата от нашия
Но не, не беше проблем и след като проверих всичко ръчно, в 01:25 на 22.05.2019 май XNUMX г. отново изпратих сигнал на същите адреси като първия път.
От първото затваряне този сървър беше сканиран от Shodan 11 пъти и до 21 май Elasticsearch беше затворен на него.
Едва сутринта на 24.05.2019 май XNUMX г. този Elasticsearch изчезна от публичния достъп за втори път. През това време индексите са нараснали значително:
И ако погледнете данните (само значима информация, съдържаща лични данни на граждани) в индексите за периода от 1 май до 22 май, тогава картината е следната:
- 127,525 XNUMX записа в индекса paygibdd
- 49,627 XNUMX записа в индекса shtrafov-net
- 162,282 XNUMX записа в индекса oplata-fssp
- 220,201 XNUMX записа в индекса госоплата
Примерни данни от индекс госоплата:
Примерни данни от индекс paygibdd:
Е, черешката на тортата беше писмо от един от адресите, на които изпратих известия:
Получихме вашето писмо за отворения ElasticSearch - благодаря за информацията, базата данни беше затворена. Системният администратор, който възобнови достъпа, е уволнен. Правната служба също се подготвя да изпрати до Министерството на вътрешните работи на Република Татарстан Декларация за признаци на наличие в действията на системния администратор на елементи по членове 272 и 273 от Наказателния кодекс на Руската федерация.
Новини за изтичане на информация и вътрешни лица винаги можете да намерите в моя канал в Telegram "
Източник: www.habr.com