Разделы

Безопасность Пользователю Стратегия безопасности ИТ в госсекторе

В открытый доступ в Сети утекла база данных по сотням тысяч штрафов ГИБДД

Личная информация граждан России, оплачивающих штрафы ГИБДД через популярные сервисы, стала доступна миллиардам людей со всей планеты. Сведения лежали в открытом доступе месяцами и содержали информацию о сотнях тысяч платежей и лицах, их совершивших.

Очередная утечка

Специалисты компании Devicelock, занимающейся предотвращением утечек информации, обнаружили в открытом доступе базу данных, содержащую сведения о пользователях ряда сайтов по оплате штрафов ГИБДД. По данным компании, массив информации содержал, в том числе, и конфиденциальную данную по каждому плательщику, воспользовавшемуся сервисами оплатагибдд.рф, paygibdd.ru, gos-oplata.ru, штрафов.net и oplata-fssp.ru

На запрос CNews основатель Devicelock Ашот Оганесян ответил, что база данных содержит полный перечень сведений о каждом пользователе – государственный номер его автомобиля, номер постановления о штрафе, номер исполнительного производства при оплате через сайт ФССП, а также первые и последние цифры банковских карт и номера документов, удостоверяющих личность. В список также входят название платежного сервиса, принявшего оплату, и другие личные данные.

Кто виноват

В случившемся, в отличие от произошедшей 9 апреля 2019 г. утечки базы данных пациентов подмосковной скорой помощи, виноваты вовсе не хакеры. Здесь, как сказал CNews основатель Devicelock, вина целиком и полностью лежит на казанской компании ООО «Простые платежи», разработавшей специализированное ПО для приема онлайн-платежей.

По информации экспертов Devicelock, программа фиксирует в своих логах все без исключения личные сведения по каждому плательщику, вне зависимости от того, состоялся сам факт платежа, или же он был отменен по тем или иным причинам. Всю эту информацию детище девелоперов из «Простых платежей» хранило на серверах компании в незащищенном виде – буквально в текстовой форме, абсолютно без каких-либо средств дополнительной защиты.

Фактически, получить доступ к скомпрометированной базе данных мог каждый гражданин любой страны – для этого ему потребовались бы лишь IP-адреса серверов казанского разработчика ПО.

Масштабы случившегося

Ашот Оганесян затруднился назвать CNews точное количество записей о платежах, оказавшихся в открытом доступе. По его словам, информация исчисляется сотнями тысяч платежей – только за один произвольный день апреля 2019 г. зафиксировано свыше 40 тыс. платежей, и все они отражены в БД. Данные в базе охватывали период с 28 февраля 2019 г. по 13 апреля 2019 г.

gib601.jpg
Сведения о десятках и даже сотнях тысяч российских водителей, исправно оплачивающих штрафы ГИБДД, оказались в открытом доступе

Основатель Devicelock не уточнил CNews, какие регионы России больше всего пострадали от утечки, и насколько широка география проживания граждан России, чьи персональные данные были скомпрометированы.

Нарушение устранено?

Ашот Оганесян сообщил CNews, что Devicelock уже проинформировала ООО «Простые платежи» о случившемся. Виновные в утечке, по словам основателя Devicelock, убрали всю информацию о клиентах платежных сервисов из открытого доступа в течение суток после получения уведомления. Оповещать общественность об утечке казанская компания не стала.

Данные россиян больше не защищены

Утечка БД ООО «Простые платежи» – не единственная, обнаруженная Devicelock в 2019 г. 11 апреля 2019 г. компания сообщила, что проанализировала 1900 серверов, использующих платформы MongoDB, Elasticsearch и Yandex ClickHouse, из которых 52% на момент проведения исследования хранили информацию в открытом доступе. 190 этих серверов содержали коммерческую информацию российских компаний и персональные данные граждан России.

В частности, любой желающий без особого труда мог подключиться к этим серверам и скачать базу данных финансового брокера «Финсервис» объемом 157 ГБ, в которой хранятся ФИО, адреса, паспортные данные, кредитная история и другие сведения о клиентах организации. База данных сервиса автообзвона «Звонок», тоже доступная каждому, может пригодиться колл-центрам по всей России, так как содержит десятки тысяч телефонных номеров россиян и «весит» приблизительно 21 ГБ. По информации Devicelock, это далеко не все доступные базы данных, которые при желании можно скачать и разместить на файлообменниках или продать на черном рынке.

Эльяс Касми