DeviceLock
Компания DeviceLock, российский производитель систем борьбы с утечками данных, провела исследование уровня безопасности облачных баз данных, расположенных в российском сегменте интернета.
В процессе исследования аналитиками компании было обнаружено и обследовано более 1900 серверов, использующих платформы MongoDB, Elasticsearch и Yandex ClickHouse, более половины которых (52%) предоставляли возможность неавторизованного доступа, а 10% при этом содержали персональные данные россиян или коммерческую информацию компаний. Еще 4% уже были до этого взломаны хакерами и уже имели требования о выкупе.
Среди обнаруженных идентифицированных баз данных, в частности, оказались: база клиентов финансового брокера «Финсервис» объемом 157 Гб, содержащая имена, адреса, контактные и паспортные данные, кредитные истории и информацию по выданным займам; база сервиса автообзвона «Звонок» объемом 21 Гб, содержащая телефонные номера и записи звонков; данные московских станций скорой медицинской помощи объемом более 17 Гб, содержащие всю информацию по вызовам бригад скорой помощи, включая имена, адреса и телефоны пациентов, база российского телемедицинского сервиса DOC+ объемом более 3 Гб, содержащая данные сотрудников и некоторых пользователей (включая диагнозы), базы данных информационной системы «Сетевой Город. Образование», содержащие персональные данные учеников и учителей школ Екатеринбурга, Ингушетии, Свердловской области и Якутии, а также большое число клиентских баз различных e-commerce проектов.
Аналитики DeviceLock утверждают, что, ключевой причиной столь вопиющей ситуации с неавторизованным доступом к облачным базам данных являются ошибки конфигурации, вызванные крайне низкой квалификацией их пользователей и отсутствием в компаниях процедур аудита информационной безопасности. Еще большую проблему представляет идентификация владельца «открытой» базы данных, которая не всегда возможна по ее содержимому. Так, хостеры не выдают данные владельцев, да и в принципе часто считают, что «...пользовательские ошибки конфигурации не их проблема».
Кроме того, владельцы таких баз крайне медленно реагируют на оповещения. А когда компания связывается с владельцами и сообщает им о необходимости закрыть доступ к данным, подавляющее большинство из них реагируют слишком медленно или не реагирует вовсе. Известны не единичные случаи, когда обнаруженные открытые базы данных находились и скачивались хакерами уже после оповещения компанией.
В компании планируют обратиться в Роскомнадзор, в чью сферу ответственности входит контроль за соблюдением 152-ФЗ («О персональных данных»), с предложением выработать процедуру блокировки открытых баз, содержащих персональные данные. «Необязательно сразу же блокировать доступ, но можно создать процедуру, в рамках которой Роскомнадзор получает информацию о наличии такой базы и направляет предписание хостинг-провайдеру. Хостер уведомляет владельца базы и тот в установленный срок либо устраняет нарушение, либо доступ к базе блокируется».