Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Более половины российских облачных баз данных уязвимы к неавторизованному доступу

12/04/19

cloud storage hackingКомпания DeviceLock проверила облачные базы данных российского интернета на безопасность. Аналитики компании исследовали более 1900 серверов, которые используют платформы MongoDB, Elasticsearch и Yandex ClickHouse. Более половины из них (52%) предоставляли возможность неавторизованного доступа, 10% содержали персональные данные россиян или коммерческую информацию компаний, а 4% из них уже взломали хакеры и потребовали выкуп.

Среди обнаруженных и идентифицированных баз данных оказались база клиентов финансового брокера "Финсервис" объемом 157 Гб, содержащая имена, адреса, контактные и паспортные данные, кредитные истории и информацию по выданным займам; база сервиса автообзвона "Звонок" объемом 21 Гб, содержащая телефонные номера и записи звонков; данные московских станций скорой медицинской помощи объемом более 17 Гб (содержала всю информацию по вызовам бригад скорой помощи, включая имена, адреса и телефоны пациентов), база российского телемедицинского сервиса DOC+ объемом более 3 Гб; базы данных информационной системы "Сетевой Город. Образование", содержащие персональные данные учеников и учителей школ Екатеринбурга, Ингушетии, Свердловской области и Якутии, а также клиентские базы различных e-commerce-проектов.

По мнению основателя и технического директора DeviceLock Ашота Оганесяна большую проблему представляет идентификация владельца "открытой" базы данных, которая не всегда возможна по ее содержимому. "Мы обнаруживаем открытую базу, содержащую персональные данные, и не понимаем, кому сообщить о том, что доступ к ней нужно закрыть. Хостеры не выдают данные владельцев, да и в принципе часто считают, что пользовательские ошибки конфигурации - не их проблема", - рассказал Ашот Оганесян.

Кроме того, владельцы таких баз крайне медленно реагируют на оповещения. "К сожалению, когда мы связываемся с владельцами, сообщаем им о необходимости закрыть доступ к данным, подавляющее большинство из них реагирует слишком медленно или не реагирует вовсе. И мне известно несколько случаев, когда обнаруженные нами открытые базы данных находились и скачивались хакерами уже после нашего оповещения", - добавил он.

В разговоре с корреспондентом ComNews Ашот Оганесян сообщил, что вскоре компания обратиться в Роскомнадзор с предложением выработать процедуру блокировки открытых баз, содержащих персональные данные. "Точный срок пока не определили. Сейчас мы готовим письмо. Безусловно, решать проблему нужно срочно. В Рунете тысячи открытых баз, и неизвестно, сколько их еще не обнаружено. Практически каждый день открывается очередная крупная утечка, а никакой системы реагирования на такие инциденты нет", - сказал Ашот Оганесян.

Количество неправильно сконфигурированных баз данных будет расти, уверен он, так как усредненная квалификация ИТ-персонала падает, а число проектов, использующих ту же MongoDB, растет.

Темы:статистикаОблачные технологииDeviceLockУгрозы
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...