In het publieke domein werd een MongoDB-database ontdekt waarvoor geen authenticatie nodig was, die informatie bevatte van medische noodstations (EMS) in Moskou.
Helaas is dit niet het enige probleem: ten eerste lekten de gegevens deze keer echt, en ten tweede werd alle gevoelige informatie opgeslagen op een server in Duitsland (Ik zou willen vragen of dit in strijd is met de wet of instructies van de afdeling?).
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Een server met een database genaamd "ssmp", staat op de site van de bekende hostingprovider Hetzner in Duitsland.
Op basis van indirect bewijs was het mogelijk om de vermeende eigenaar van de server en database te identificeren: een Russisch bedrijf LLC "Computer-intelligente systemen".
Op de pagina ci-systems.com/solutions/programs-smp/ vertelt het bedrijf ons:
EMS CIS is een softwareproduct dat is ontworpen om de werking van noodstations (gespecialiseerde) medische zorg (EMS) binnen de grenzen van een samenstellende entiteit van de Russische Federatie te automatiseren en biedt:
- oproepen ontvangen;
- oproepregistratie en omleiding;
- vorming, monitoring en beheer van mobiele teams van EMS-stations;
- massale herschikking van medische noodhulpteams tijdens noodhulp;
- exploitatie van één enkel EMS-oproepverwerkingscentrum;
- gegevensuitwisseling met externe informatiesystemen.
De database was 17.3 GB groot en bevatte:
- datum/tijd van de noodoproep
- Volledige naam van de ambulancepersoneelsleden (inclusief de chauffeur)
- kenteken van de ambulance
- status van ambulancevoertuig (bijvoorbeeld 'aangekomen bij een oproep')
- adres bellen
- Volledige naam, geboortedatum, geslacht van de patiënt
- beschrijving van de toestand van de patiënt (bijvoorbeeld “temperatuur >39, slecht dalend, volwassen”)
- Volledige naam van de persoon die de ambulance heeft gebeld
- contact nummer
- en огое ое…
De gegevens in de database lijken op het logboek van een soort monitoring-/volgsysteem voor het proces van het voltooien van een taak. Van belang is het veld "gegevens" in de tafel "wijs_data_geschiedenis toe.
(Uiteraard heb ik op de foto hierboven geprobeerd alle persoonlijke gegevens te verbergen.)
Zoals helemaal aan het begin werd geschreven, is het gebrek aan authenticatie deze keer niet het enige probleem.
Het belangrijkste is dat deze database voor het eerst werd ontdekt door Oekraïense hackers uit de groep THack3voorU, die verschillende berichten achterlaten in de gevonden MongoDB en informatie vernietigen. Dit keer onderscheidden de jongens zich hiermee:
“Gehackt door THack3forU! Chanel.nPoetin is een lul,nMeddvédeva is een klootzak,nStrelkov is een klootzak,nRusland is BODEM!”
en natuurlijk het feit dat ze, nadat ze alle 17 GB hadden gedownload, deze in CSV-formaat op bestandshosting plaatsten Mega.nz. Over hoe open MongoDB-databases worden gedetecteerd - .
Zodra de eigenaar van de database werd geïdentificeerd, stuurde ik hem een melding met het voorstel om de toegang tot de database alsnog te sluiten, hoewel het al te laat was: de gegevens waren ‘verdwenen’.
Eerste keer zoekmachine Shodan heeft deze database op 28.06.2018-08.04.2019-17 geregistreerd en de toegang daartoe werd uiteindelijk gesloten op 20-18-05, ergens tussen 6 en XNUMX uur (Moskou-tijd). Er zijn iets minder dan XNUMX uur verstreken sinds de melding.
Nieuws over informatielekken en insiders vind je altijd op mijn Telegram-kanaal".
Bron: www.habr.com