Pamiętaj ja
Tylko się nie śmiejcie, to wcale nie jest żart – ten sam serwer z danymi z tego samego systemu znów okazał się otwarty na cały świat.
No cóż, chodźmy się dowiedzieć...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Na początek przypomnę trochę o chronologii wydarzeń:
- 12.04.2019 kwietnia XNUMX (w nocy) odkryto serwer Elasticsearch, który nie wymagał uwierzytelniania do połączenia.
- W dniu 13.04.2019 (rano) zostało wysłane powiadomienie do właścicieli serwerów.
- W dniu 13.04.2019 kwietnia XNUMX roku (w godzinach popołudniowych) serwer został „po cichu” usunięty z publicznego dostępu.
W momencie pierwszego wyłączenia serwera indeksy Elasticsearch wyglądały następująco:
A teraz 21.05.2019 około godziny 16:00 (czasu moskiewskiego) ten sam serwer Elasticsearch z tymi samymi (plus nowymi) indeksami ponownie pojawia się w domenie publicznej:
Nie mogłam uwierzyć własnym oczom, gdy to zobaczyłam (zaraz po występie o godz Dni doktoranckie na temat wykrywania otwartych baz danych) w mailu z powiadomieniem od naszego
Jednak nie, nie była to pomyłka i po ręcznym sprawdzeniu wszystkiego, 01 maja 25 r. o godzinie 22.05.2019:XNUMX ponownie wysłałem alert na te same adresy, co za pierwszym razem.
Od pierwszego zamknięcia serwer ten został przeskanowany przez Shodan 11 razy i do 21 maja Elasticsearch był na nim zamknięty.
Dopiero rankiem 24.05.2019 maja XNUMX roku Elasticsearch po raz drugi zniknął z publicznego dostępu. W tym czasie indeksy znacząco wzrosły:
A jeśli spojrzeć na dane (tylko istotne informacje zawierające dane osobowe obywateli) w indeksach za okres od 1 do 22 maja, to obraz wygląda następująco:
- W indeksie znajduje się 127,525 XNUMX wpisów paygibdd
- W indeksie znajduje się 49,627 XNUMX wpisów shtrafov-net
- W indeksie znajduje się 162,282 XNUMX wpisów oplata-fssp
- W indeksie znajduje się 220,201 XNUMX wpisów gosoplata
Przykładowe dane z indeksu gosoplata:
Przykładowe dane z indeksu paygibdd:
Cóż, wisienką na torcie był list z jednego z adresów, na który wysyłałem powiadomienia:
Otrzymaliśmy Twój list w sprawie otwartego ElasticSearch - dziękujemy za informację, baza danych została zamknięta. Administrator systemu, który ponownie otworzył dostęp, został zwolniony. Służba prawna przygotowuje się również do przesłania do Ministerstwa Spraw Wewnętrznych Republiki Tatarstanu oświadczenia w sprawie oznak obecności w działaniach administratora systemu elementów określonych w art. 272 i 273 Kodeksu karnego Federacji Rosyjskiej.
Wiadomości o wyciekach informacji i osobach poufnych zawsze można znaleźć na moim kanale Telegram ”
Źródło: www.habr.com