Утечки данных добрались до госуслуг: под ударом 30 тысяч ханты-мансийцев

2020-01-02 20:11

Персональные данные россиян в эпоху тотальной цифровизации невозможно защитить на 100 процентов даже на ключевом сервисе госуслуг. Свидетельство тому – очередная утечка, произошедшая из-за ошибок в настройке ПО сервера «Госуслуги Югры», в результате чего личные сведения 30 тысяч жителей Ханты-Мансийского АО стали достоянием в т.ч. сомнительной интернет-общественности. Что примечательно – оператор большинства государственных баз ПД «Ростелеком» заявил, что утечки вообще не было, хотя власти региона ранее заявили об обратном. Нулевая ответственность при очень слабой защите – характерная черта эпохи «сквозных идентификаторов» граждан и глобальных информационных реестров.

О том, что персональные данные пользователей портала госуслуг оказались выложены в свободном доступе, сообщил «Коммерсант» со ссылкой на основателя компании DeviceLock Ашот Оганесян. Данные можно скачать с сервера, расположенного на площадке «Ростелекома», который был проиндексирован поисковиком Shodan 3 декабря 2019 года, что указывает на нахождение ПД в открытом доступе как минимум с этой даты. Структура обнародованных данных граждан разнится – среди них, например, есть ФИО, дата рождения, СНИЛС и ИНН, номер телефона, электронная почта, информация о детях и много других сведений из личного кабинета на портале госуслуг.

«В процессе мониторинга теневых форумов, где распространяют базы данных, был выявлен тестовый пример дампа сервера с логами доступа, к предположительно сервису госуслуг для Ханты-Мансийского автономного округа. В ходе анализа тестового экземпляра, было установлено, что он получен из открытого индекса Elasticsearch-сервера, оставленного в свободном доступе из-за ошибки конфигурирования», – сообщил Оганесян.

«Действительно, 28 декабря выявлена утечка данных. По итогам предварительного расследования, проведенного центром информационной безопасности ЮНИИТ, это была утечка технических данных, так называемых «логов» прокси-сервера. В данных, к которым был получен доступ, содержится информация технического характера, необходимая для отладки взаимодействия информационных систем», – сообщили ТАСС в департаменте информационных технологий и цифрового развития Югры.

Действительно, «логи» сервера являются легкой мишенью для различных алгоритмов хакеров – о том, как взламывать логины и пароли через доступы к логам, можно узнать очень много через простой поиск видеороликов на том же YouTube. При этом в отличие от тех персональных данных пользователей госуслуг, что успели скачать и выложить в свободный доступ, на сервере есть и другие, имеющие существенное значение – например, токены авторизации для доступа в личные кабинеты с мобильных устройств. Пока достоверно не известно, можно ли с помощью этих токенов получить доступ в личные кабинеты граждан, но на сегодняшний момент эта уязвимость закрыта. Если, конечно, верить официальному представителю Минкомсвязи.

А вот реакция «Ростелекома» на произошедшее сильно удивляет. Там не мудрствуя лукаво заявили, что вообще не выявили утечек данных пользователей портала госуслуг, связав все с работой регионального мобильного приложения, которое работает автономно от портала госуслуг, но размещается на технической инфраструктуре, предоставляемой госкорпорацией. Ну да, утечка, непосредственно обнаруженная на сервере «Ростелекома», не имеет к конторе никакого отношения. Кто бы сомневался?

Будет уместно бегло оценить масштабы утечек персональных данных россиян за последнее время – только самые известные громкие случаи, ставшие достоянием СМИ. В июле 2018 г. стало известно, что данные миллионов россиян-клиентов Сбербанка, ВТБ, РЖД ежедневно утекают в сеть по незащищенным интернет-каналам. В конце сентября 2019 г. выяснилось, что сведения 20 млн. налогоплательщиков утекли в сеть перед вторым чтением по законопроекту о едином реестре населения. В октябре 2019 г. была обнародована информация о появлении на черном рынке сведений о десятках миллионов карточек клиентов Сбербанка. Наконец, в ноябре 2019 г. произошла утечка около сведений 6,5 тыс. граждан – клиентов Альфа-банка и «АльфаСтрахования». В подавляющем большинстве подобных историй виновники потери ПД не торопятся признавать свою вину, либо по максимуму принижают масштабы потерь личных сведений населения.

Не важно, человеческий фактор «на местах», либо коварные вездесущие хакеры воруют жизненно важные сведения населения – пора признать одну простую вещь. Для цифровой экономики, т.е. «экономики данных», основным товаром становится непосредственно человек – его «цифровой след», «цифровой профиль» и т.п. Она полностью исключает приватность и стремится к созданию огромных сводных реестров, в рамках которых одним кликом мышки можно увидеть всю подноготную гражданина, все его предпочтения, увлечения, личные характеристики, образование, болячки и т.д. Но на любой товар, особенно такой сверхприбыльный в наше время, всегда найдется свой вор. Так что совершенно очевидно, что из соображений национальной и персональной безопасности, никакие единые реестры населения, «цифровые профили», электронные паспорта и т.д. вводить недопустимо. Что, вероятно, дойдет до нашей компрадорской оцифрованной «элиты» только тогда, когда будет уже слишком поздно.

РИА Катюша

Источник: m.vk.com



		Утечки данных добрались до госуслуг: под ударом 30 тысяч ханты-мансийцев
МЕНЮ Искусственный интеллект Поиск Регистрация на сайте Помощь проекту ТЕМЫ Новости ИИ Искусственный интеллект Голосовой помощник Городские сумасшедшие ИИ в медицине ИИ проекты Искусственные нейросети Слежка за людьми Угроза ИИ Разработка ИИ ИИ теория Компьютерные науки Машинное обуч. (Ошибки) Машинное обучение Машинный перевод Нейронные сети начинающим Реализация ИИ Реализация нейросетей Создание беспилотных авто Трезво про ИИ Философия ИИ Внедрение ИИ Big data Генетические алгоритмы Капсульные нейросети Основы нейронных сетей Распознавание лиц Распознавание образов Распознавание речи Техническое зрение Чат-боты Работа разума и сознание Изучение сна Изучение сознания Нейроинтерфейс Психология Работа мозга Работа памяти Работа разума Модель мозга Модель мозга Робототехника, БПЛА Беспилотные автомобили БПЛА Робототехника Трансгуманизм Трансгуманизм Обработка текста Анализ социальных сетей Компьютерная лингвистика Лингвистика Поисковые алгоритмы Теория эволюции Головной мозг Нейронные сети Поведение животных Теория эволюции Дополненная реальность Виртулаьная реальность Дополненная реальность Железо Интернет вещей Квантовые компьютеры Нейронные процессоры облачные вычисления Суперкомпьютеры Киберугрозы Кибербезопасность Научный мир Методы исследования Наука и образование Семинары ИТ индустрия ИТ-гиганты Новости ит Разработка ПО Разработка ПО Теория алгоритмов Теория информации Кластеризация Математика Актуальная математика Статистика Теория вероятности Теория информации Теория хаоса Цифровая экономика Технология блокчейн Цифровая экономика Авторизация RSS RSS новости		2020-01-02 20:11 кибер безопасность, цифровая экономика Персональные данные россиян в эпоху тотальной цифровизации невозможно защитить на 100 процентов даже на ключевом сервисе госуслуг. Свидетельство тому – очередная утечка, произошедшая из-за ошибок в настройке ПО сервера «Госуслуги Югры», в результате чего личные сведения 30 тысяч жителей Ханты-Мансийского АО стали достоянием в т.ч. сомнительной интернет-общественности. Что примечательно – оператор большинства государственных баз ПД «Ростелеком» заявил, что утечки вообще не было, хотя власти региона ранее заявили об обратном. Нулевая ответственность при очень слабой защите – характерная черта эпохи «сквозных идентификаторов» граждан и глобальных информационных реестров. О том, что персональные данные пользователей портала госуслуг оказались выложены в свободном доступе, сообщил «Коммерсант» со ссылкой на основателя компании DeviceLock Ашот Оганесян. Данные можно скачать с сервера, расположенного на площадке «Ростелекома», который был проиндексирован поисковиком Shodan 3 декабря 2019 года, что указывает на нахождение ПД в открытом доступе как минимум с этой даты. Структура обнародованных данных граждан разнится – среди них, например, есть ФИО, дата рождения, СНИЛС и ИНН, номер телефона, электронная почта, информация о детях и много других сведений из личного кабинета на портале госуслуг. «В процессе мониторинга теневых форумов, где распространяют базы данных, был выявлен тестовый пример дампа сервера с логами доступа, к предположительно сервису госуслуг для Ханты-Мансийского автономного округа. В ходе анализа тестового экземпляра, было установлено, что он получен из открытого индекса Elasticsearch-сервера, оставленного в свободном доступе из-за ошибки конфигурирования», – сообщил Оганесян. «Действительно, 28 декабря выявлена утечка данных. По итогам предварительного расследования, проведенного центром информационной безопасности ЮНИИТ, это была утечка технических данных, так называемых «логов» прокси-сервера. В данных, к которым был получен доступ, содержится информация технического характера, необходимая для отладки взаимодействия информационных систем», – сообщили ТАСС в департаменте информационных технологий и цифрового развития Югры. Действительно, «логи» сервера являются легкой мишенью для различных алгоритмов хакеров – о том, как взламывать логины и пароли через доступы к логам, можно узнать очень много через простой поиск видеороликов на том же YouTube. При этом в отличие от тех персональных данных пользователей госуслуг, что успели скачать и выложить в свободный доступ, на сервере есть и другие, имеющие существенное значение – например, токены авторизации для доступа в личные кабинеты с мобильных устройств. Пока достоверно не известно, можно ли с помощью этих токенов получить доступ в личные кабинеты граждан, но на сегодняшний момент эта уязвимость закрыта. Если, конечно, верить официальному представителю Минкомсвязи. А вот реакция «Ростелекома» на произошедшее сильно удивляет. Там не мудрствуя лукаво заявили, что вообще не выявили утечек данных пользователей портала госуслуг, связав все с работой регионального мобильного приложения, которое работает автономно от портала госуслуг, но размещается на технической инфраструктуре, предоставляемой госкорпорацией. Ну да, утечка, непосредственно обнаруженная на сервере «Ростелекома», не имеет к конторе никакого отношения. Кто бы сомневался? Будет уместно бегло оценить масштабы утечек персональных данных россиян за последнее время – только самые известные громкие случаи, ставшие достоянием СМИ. В июле 2018 г. стало известно, что данные миллионов россиян-клиентов Сбербанка, ВТБ, РЖД ежедневно утекают в сеть по незащищенным интернет-каналам. В конце сентября 2019 г. выяснилось, что сведения 20 млн. налогоплательщиков утекли в сеть перед вторым чтением по законопроекту о едином реестре населения. В октябре 2019 г. была обнародована информация о появлении на черном рынке сведений о десятках миллионов карточек клиентов Сбербанка. Наконец, в ноябре 2019 г. произошла утечка около сведений 6,5 тыс. граждан – клиентов Альфа-банка и «АльфаСтрахования». В подавляющем большинстве подобных историй виновники потери ПД не торопятся признавать свою вину, либо по максимуму принижают масштабы потерь личных сведений населения. Не важно, человеческий фактор «на местах», либо коварные вездесущие хакеры воруют жизненно важные сведения населения – пора признать одну простую вещь. Для цифровой экономики, т.е. «экономики данных», основным товаром становится непосредственно человек – его «цифровой след», «цифровой профиль» и т.п. Она полностью исключает приватность и стремится к созданию огромных сводных реестров, в рамках которых одним кликом мышки можно увидеть всю подноготную гражданина, все его предпочтения, увлечения, личные характеристики, образование, болячки и т.д. Но на любой товар, особенно такой сверхприбыльный в наше время, всегда найдется свой вор. Так что совершенно очевидно, что из соображений национальной и персональной безопасности, никакие единые реестры населения, «цифровые профили», электронные паспорта и т.д. вводить недопустимо. Что, вероятно, дойдет до нашей компрадорской оцифрованной «элиты» только тогда, когда будет уже слишком поздно. РИА Катюша Источник: m.vk.com Комментарии:

Утечки данных добрались до госуслуг: под ударом 30 тысяч ханты-мансийцев

Комментарии: