Как стало известно D-Russia.ru в субботу, подробные данные о пользователях сайта uslugi.tatar.ru, включая номера СНИЛС, ИНН, номера телефонов, имена, хронологию действий на сайте и пр. попали в открытый доступ.
Утечка произошла из базы данных под управлением свободно распространяемой СУБД MongoDB, использованной разработчиками uslugi.tatar.ru. Первым уязвимость обнаружил известный украинский специалист по защите данных Боб Дьяченко (Bob Diachenko). Он в субботу сообщил об этом (с целью как можно скорее предотвратить хищение данных злоумышленниками) российскому коллеге Ашоту Оганесяну, техническому директору DeviceLock, который поверил и подтвердил достоверность сведений об утечке.
На предупреждающее письмо, отправленное Оганесяном по общедоступному адресу электронной почты министерства цифрового развития госуправления, информационных технологий и связи Республики Татарстан, министерство ответило в понедельник, поблагодарив и пообещав принять немедленные меры. На деле открытый доступ к данным прекратился не позже воскресенья.
«18 декабря в 15:30 была зафиксирована попытка несанкционированного доступа к серверу разработчиков портала госуслуг Республики Татарстан. В результате попытки злоумышленники могли получить доступ к части данных портала госуслуг РТ. Специалисты Центра информационных технологий РТ оперативно провели ряд мероприятий, благодаря которым возможные пути несанкционированного доступа были заблокированы. По факту инцидента направлено заявление в управление ФСБ РФ по Республике Татарстан. Работа по выявлению возможных уязвимостей продолжается», — сообщили D-Russia.ru в министерстве цифрового развития госуправления, информационных технологий и связи Республик Татарстан.
Оганесян подтверждает, что данные, оказавшиеся в открытом доступе, находились, вероятно, не на «боевом» ресурсе, а на сервере разработчиков, причём по двум IP-адресам.
Попали ли данные к злоумышленникам, неизвестно. Такая возможность существует, но не факт, что она реализовалась. Во всяком случае, эксперты нашли их не на чёрном рынке.
Напомним, что в конце декабря «Коммерсант» со ссылкой на Ашота Оганесяна написал об утечке персональных данных граждан, являющихся пользователями мобильного приложения «Госуслуги Югры». Департамент информационных технологий и цифрового развития региона утечку признал, утверждая, однако, что персональные данные пользователей не пострадали.
По данным InfoWatch, в 2018 году в мире 13,9% выявленных случаев утечек данных пришлось на госструктуры. В России этот показатель равен 23,3%.
«По российскому закону о безопасности критической информационной инфраструктуры организация, допустившая утечку, обязана незамедлительно информировать об инциденте соответствующий федеральный орган исполнительной власти. Это неприятно, и часто этого пытаются избежать, скрывая факт утечки. Претензии к обнаружившему утечку эксперту справедливы только если он не оповещает о ней владельца информационной инфраструктуры, не обеспечившей сохранность данных», — сказал D-Russia.ru эксперт по информационной безопасности Дмитрий Скляров (Positive Technologies).
