12/04/19
Компания DeviceLock проверила облачные базы данных российского интернета на безопасность. Аналитики компании исследовали более 1900 серверов, которые используют платформы MongoDB, Elasticsearch и Yandex ClickHouse. Более половины из них (52%) предоставляли возможность неавторизованного доступа, 10% содержали персональные данные россиян или коммерческую информацию компаний, а 4% из них уже взломали хакеры и потребовали выкуп.
Среди обнаруженных и идентифицированных баз данных оказались база клиентов финансового брокера "Финсервис" объемом 157 Гб, содержащая имена, адреса, контактные и паспортные данные, кредитные истории и информацию по выданным займам; база сервиса автообзвона "Звонок" объемом 21 Гб, содержащая телефонные номера и записи звонков; данные московских станций скорой медицинской помощи объемом более 17 Гб (содержала всю информацию по вызовам бригад скорой помощи, включая имена, адреса и телефоны пациентов), база российского телемедицинского сервиса DOC+ объемом более 3 Гб; базы данных информационной системы "Сетевой Город. Образование", содержащие персональные данные учеников и учителей школ Екатеринбурга, Ингушетии, Свердловской области и Якутии, а также клиентские базы различных e-commerce-проектов.
По мнению основателя и технического директора DeviceLock Ашота Оганесяна большую проблему представляет идентификация владельца "открытой" базы данных, которая не всегда возможна по ее содержимому. "Мы обнаруживаем открытую базу, содержащую персональные данные, и не понимаем, кому сообщить о том, что доступ к ней нужно закрыть. Хостеры не выдают данные владельцев, да и в принципе часто считают, что пользовательские ошибки конфигурации - не их проблема", - рассказал Ашот Оганесян.
Кроме того, владельцы таких баз крайне медленно реагируют на оповещения. "К сожалению, когда мы связываемся с владельцами, сообщаем им о необходимости закрыть доступ к данным, подавляющее большинство из них реагирует слишком медленно или не реагирует вовсе. И мне известно несколько случаев, когда обнаруженные нами открытые базы данных находились и скачивались хакерами уже после нашего оповещения", - добавил он.
В разговоре с корреспондентом ComNews Ашот Оганесян сообщил, что вскоре компания обратиться в Роскомнадзор с предложением выработать процедуру блокировки открытых баз, содержащих персональные данные. "Точный срок пока не определили. Сейчас мы готовим письмо. Безусловно, решать проблему нужно срочно. В Рунете тысячи открытых баз, и неизвестно, сколько их еще не обнаружено. Практически каждый день открывается очередная крупная утечка, а никакой системы реагирования на такие инциденты нет", - сказал Ашот Оганесян.
Количество неправильно сконфигурированных баз данных будет расти, уверен он, так как усредненная квалификация ИТ-персонала падает, а число проектов, использующих ту же MongoDB, растет.
