Обнаружена возможность утечки персональных данных из территориальных фондов ОМС

Обнаружена возможность утечки персональных данных из территориальных фондов ОМС

Как стало известно Digital Russia, конфигурационный файл программы, обеспечивающей пересылку данных из территориальных фондов обязательного медицинского страхования в место их централизованного хранения, содержит общедоступные сведения, обеспечивающие доступ к FTP-серверу с персональными данными, принадлежащими, по всей видимости, владельцам полисов ОМС.

Программа, о которой идет речь, используется во всех территориальных фондах обязательного медицинского страхования с 2012 года. Конфигурационный файл доступен техническим сотрудникам IT-подразделений. В файле можно найти строку, содержащую адрес FTP-сервера, а также действующие логин и пароль для доступа к нему.

«Внутри каталога находятся файлы с расширением .uprmes. Скорее всего, это специфический формат, который используется в софте для территориальных фондов обязательного медицинского страхования. На самом деле это .xml, и файл можно открыть даже блокнотом. Мы видим структуру файла, которая похожа на записи базы данных по выдаче полисов. Например, есть начало блока <ADT_A01.INSURANCE>. Внутри – персональные данные: ФИО, дата рождения, место жительства, и различные цифры, вероятно, номера паспортов. Сейчас доступны сведения о 500 гражданах.

Нужно обратить внимание, как конфигурационный файл попал в доступ; почему данные находятся в незашифрованном виде; почему на сервере aplana.com я могу видеть другие папки? Имея доступ на этот сервер, можно попробовать его заразить вредоносным ПО, чтобы получить доступ и к остальным каталогам. Названия там интересные: minzdrav, beeline и другие», — говорит аналитик компании SearchInform (специализация – информационная безопасность) Роман Идов.

Print Friendly

2 комментария

  1. А еще есть возможность утечки совсекретной информации. Берется совсекретный файл, выносится за пределы соответствующего VPN и передается аналитику компании SearchInform.

    • Неназванные источники — на нашей совести, это верно. Они захотели остаться неназванными. Так что если это неправда, отвечать редакции

Условия использования
При цитировании и использовании любых материалов ссылка на сайт Экспертного центра электронного государства d-russia.ru обязательна.
Партнеры