Обнаружена возможность утечки персональных данных из территориальных фондов ОМС

124

Как стало известно Digital Russia, конфигурационный файл программы, обеспечивающей пересылку данных из территориальных фондов обязательного медицинского страхования в место их централизованного хранения, содержит общедоступные сведения, обеспечивающие доступ к FTP-серверу с персональными данными, принадлежащими, по всей видимости, владельцам полисов ОМС.

Программа, о которой идет речь, используется во всех территориальных фондах обязательного медицинского страхования с 2012 года. Конфигурационный файл доступен техническим сотрудникам IT-подразделений. В файле можно найти строку, содержащую адрес FTP-сервера, а также действующие логин и пароль для доступа к нему.

«Внутри каталога находятся файлы с расширением .uprmes. Скорее всего, это специфический формат, который используется в софте для территориальных фондов обязательного медицинского страхования. На самом деле это .xml, и файл можно открыть даже блокнотом. Мы видим структуру файла, которая похожа на записи базы данных по выдаче полисов. Например, есть начало блока <ADT_A01.INSURANCE>. Внутри – персональные данные: ФИО, дата рождения, место жительства, и различные цифры, вероятно, номера паспортов. Сейчас доступны сведения о 500 гражданах.

Нужно обратить внимание, как конфигурационный файл попал в доступ; почему данные находятся в незашифрованном виде; почему на сервере aplana.com я могу видеть другие папки? Имея доступ на этот сервер, можно попробовать его заразить вредоносным ПО, чтобы получить доступ и к остальным каталогам. Названия там интересные: minzdrav, beeline и другие», — говорит аналитик компании SearchInform (специализация – информационная безопасность) Роман Идов.

2 КОММЕНТАРИИ

  1. А еще есть возможность утечки совсекретной информации. Берется совсекретный файл, выносится за пределы соответствующего VPN и передается аналитику компании SearchInform.

    • Неназванные источники — на нашей совести, это верно. Они захотели остаться неназванными. Так что если это неправда, отвечать редакции

Comments are closed.