En MongoDB-database som ikke krevde autentisering ble oppdaget i det offentlige domene, som inneholdt informasjon fra Moskva akuttmedisinske stasjoner (EMS).
Dessverre er ikke dette det eneste problemet: for det første lekket dataene denne gangen, og for det andre ble all sensitiv informasjon lagret på en server i Tyskland (Jeg vil spørre om dette bryter med noen lov eller avdelingsinstrukser?).
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
En server med en database kalt "ssmp", ligger på siden til den kjente hostingleverandøren Hetzner i Tyskland.
Basert på indirekte bevis var det mulig å identifisere den påståtte eieren av serveren og databasen - et russisk selskap LLC "Computer Intelligent Systems".
På siden ci-systems.com/solutions/programs-smp/ forteller selskapet oss:
EMS CIS er et programvareprodukt utviklet for å automatisere driften av nødstasjoner (spesialiserte) medisinske pleie (EMS) innenfor grensene til en konstituerende enhet i den russiske føderasjonen og gir:
- motta samtaler;
- samtaleregistrering og omdirigering;
- dannelse, overvåking og styring av mobile team av EMS-stasjoner;
- masseomdisponering av akuttmedisinske team under nødrespons;
- drift av et enkelt EMS-anropsbehandlingssenter;
- datautveksling med eksterne informasjonssystemer.
Databasen var 17.3 GB stor og inneholdt:
- dato/klokkeslett for nødanrop
- Fullt navn på ambulansebesetningen (inkludert sjåføren)
- nummerskilt på ambulansen
- status for ambulansekjøretøy (for eksempel "ankommer ved en samtale")
- ringeadresse
- Fullt navn, fødselsdato, pasientens kjønn
- beskrivelse av pasientens tilstand (for eksempel "temperatur >39, svakt synkende, voksen")
- Fullt navn på personen som ringte ambulansen
- kontakt nummer
- и многое другое ...
Dataene i databasen ligner på loggen til et slags overvåkings-/sporingssystem for prosessen med å fullføre en oppgave. Av interesse er feltet "dato" i bordet "assign_data_history'.
(Selvfølgelig, på bildet ovenfor prøvde jeg å skjule alle personlige data.)
Som det ble skrevet helt i begynnelsen, er ikke mangelen på autentisering det eneste problemet denne gangen.
Det viktigste er at denne databasen først ble oppdaget av ukrainske hackere fra gruppen THack3forU, som legger igjen forskjellige meldinger i den funnet MongoDB og ødelegger informasjon. Denne gangen utmerket guttene seg med dette:
“Hacket av THack3forU! Chanel.nPutin er en pikk,nMeddvédeva er en skurk,nStrelkov er en jævel,nRussland er BOTTOM!»
og selvfølgelig det faktum at, etter å ha lastet ned alle 17 GB, la de dem ut i CSV-format på filhosting Mega.nz. Om hvordan åpne MongoDB-databaser oppdages - .
Så snart eieren av databasen ble identifisert, sendte jeg ham et varsel med et forslag om å fortsatt stenge tilgangen til databasen, selv om det allerede var for sent - dataene var "borte".
Første gangs søkemotor Shodan registrerte denne databasen 28.06.2018, og tilgangen til den ble endelig stengt 08.04.2019, et sted mellom 17:20 og 18:05 (Moskva-tid). Litt mindre enn 6 timer har gått siden varselet.
Nyheter om informasjonslekkasjer og innsidere kan alltid finnes på min Telegram-kanal "'.
Kilde: www.habr.com