У відкритому доступі було виявлено базу даних MongoDB, яка потребує аутентифікації, у якій перебувала інформація московських станцій швидкої медичної допомоги (ССМП).
На жаль, це не єдина проблема: по-перше, цього разу дані справді втекли, а по-друге – вся чутлива інформація зберігалася на сервері, що знаходиться в Німеччині.хотілося б поцікавитися – чи це не порушує ніякий закон чи відомчі інструкції?).
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Сервер з базою, яка називається «ssmp», Розташовується на майданчику відомого хостинг-провайдера Hetzner в Німеччині.
За непрямими ознаками вдалося встановити передбачуваного власника сервера та бази – російська компанія ТОВ «Комп'ютерні інтелектуальні системи».
На сторінці ci-systems.com/solutions/programs-smp/ компанія нам повідомляє:
КІС ШМД - програмний продукт, призначений для автоматизації роботи станцій швидкої (спеціалізованої) медичної допомоги (ШМД) в межах суб'єкта РФ і забезпечує:
- прийом дзвінків;
- реєстрацію та перенаправлення викликів;
- формування, моніторинг та управління виїзними бригадами станцій ШМД;
- масове перепідпорядкування бригад ШМД при ліквідації надзвичайних ситуацій;
- роботу єдиного центру обробки викликів ШМД;
- обмін даними із зовнішніми інформаційними системами.
База мала розмір 17.3 Гб та містила:
- дата/час виклику бригади швидкої допомоги
- ПІБ членів бригади швидкої допомоги (включаючи водія)
- держномір автомобіля бригади швидкої допомоги
- статус автомобіля бригади швидкої допомоги (наприклад, "прибуття на виклик")
- адреса виклику
- ПІБ, дата народження, стать пацієнта
- опис стану пацієнта (наприклад, “температура >39, погано знижується, дорослий”)
- ПІБ, що викликало швидку допомогу
- контактний телефон
- і багато іншого…
Дані в основі схожі на лог якоїсь системи моніторингу / відстеження процесу виконання завдання. Інтерес представляє поле «дані" в таблиці "assign_data_history».
(Зрозуміло, на картинці вище я постарався приховати всі персональні дані.)
Як було написано на початку — відсутність аутентифікації цього разу не є єдиною проблемою.
Найголовніше – цю базу першими виявили українські хакери з угруповання. THack3forU, які залишають у знайдених MongoDB різні послання та знищують інформацію. На цей раз хлопці відзначилися цим:
«Hacked by THack3forU! Chanel.nПутін хуйло,nМедвєдєв чмо,nСтрілків гамно ,nРосія ДНО!»
і звичайно тим, що, завантаживши всі 17 Гб, виклали їх у форматі CSV на файлхостинг Мега.нз. Про те, як виявляють відкриті бази даних MongoDB -
Як тільки власник бази був встановлений, я надіслав йому сповіщення з пропозицією все-таки закрити доступ до бази, хоча вже й було пізно – дані «пішли».
Вперше пошуковик Шодан зафіксував цю базу 28.06.2018, а доступ до неї був нарешті закритий 08.04.2019, десь між 17:20 та 18:05 (МСК). З моменту оповіщення минуло трохи менше ніж 6 годин.
Новини про виток інформації та інсайдерів завжди можна знайти на моєму Telegram-каналі «
Джерело: habr.com