È stato scoperto di pubblico dominio un database MongoDB che non richiedeva autenticazione e che conteneva informazioni provenienti dalle stazioni mediche di emergenza di Mosca (EMS).
Sfortunatamente, questo non è l'unico problema: in primo luogo, questa volta i dati sono effettivamente trapelati e, in secondo luogo, tutte le informazioni sensibili sono state archiviate su un server situato in Germania (Vorrei chiedere se questo viola qualche legge o istruzione dipartimentale?).
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Un server con un database chiamato "smp", si trova sul sito del famoso hosting provider Hetzner in Germania.
Sulla base di prove indirette è stato possibile identificare il presunto proprietario del server e del database: una società russa LLC "Sistemi intelligenti informatici".
Nella pagina ci-systems.com/solutions/programs-smp/, l'azienda ci dice:
EMS CIS è un prodotto software progettato per automatizzare il funzionamento delle stazioni di assistenza medica di emergenza (specializzata) (EMS) all'interno dei confini di un'entità costituente della Federazione Russa e fornisce:
- ricevere chiamate;
- registrazione e reindirizzamento delle chiamate;
- formazione, monitoraggio e gestione delle squadre mobili delle stazioni EMS;
- riassegnazione di massa delle squadre dei servizi medici di emergenza durante la risposta alle emergenze;
- funzionamento di un unico centro di elaborazione delle chiamate EMS;
- scambio dati con sistemi informativi esterni.
Il database aveva una dimensione di 17.3 GB e conteneva:
- data/ora della chiamata di emergenza
- Nome completo dei membri dell'equipaggio dell'ambulanza (compreso l'autista)
- numero di targa dell'ambulanza
- stato del veicolo ambulanza (ad esempio, "arrivo a una chiamata")
- indirizzo di chiamata
- Nome completo, data di nascita, sesso del paziente
- descrizione delle condizioni del paziente (ad esempio, “temperatura >39, in leggera diminuzione, adulto”)
- Nome completo della persona che ha chiamato l'ambulanza
- numero di contatto
- и ногое другое…
I dati nel database sono simili al registro di una sorta di sistema di monitoraggio/tracciamento del processo di completamento di un'attività. Di interesse è il campo "dati" sul tavolo "assegnare_data_history'.
(Naturalmente, nella foto sopra ho cercato di nascondere tutti i dati personali.)
Come scritto all'inizio, questa volta la mancanza di autenticazione non è l'unico problema.
La cosa più importante è che questo database è stato scoperto per la prima volta dagli hacker ucraini del gruppo THack3forU, che lasciano messaggi diversi nel MongoDB trovato e distruggono le informazioni. Questa volta i ragazzi si sono distinti con questo:
“Hackerato da THack3forU! Chanel.nPutin è uno stronzo,nMeddvédeva è uno stronzo,nStrelkov è un bastardo,nLa Russia è FONDO!”
e ovviamente il fatto che, dopo aver scaricato tutti i 17 GB, li abbiano pubblicati in formato CSV sul file hosting Mega.nz. Informazioni su come vengono rilevati i database MongoDB aperti: .
Non appena è stato identificato il proprietario del database, gli ho inviato una notifica con la proposta di chiudere comunque l'accesso al database, anche se era già troppo tardi: i dati erano "andati".
Motore di ricerca per la prima volta Shodan ha registrato questo database il 28.06.2018/08.04.2019/17 e l'accesso ad esso è stato definitivamente chiuso il 20/18/05, tra le 6:XNUMX e le XNUMX:XNUMX (ora di Mosca). Sono trascorse poco meno di XNUMX ore dalla notifica.
Notizie su fughe di informazioni e addetti ai lavori possono sempre essere trovate sul mio canale Telegram "'.
Fonte: habr.com