Российский производитель систем борьбы с утечками данных DeviceLock провел исследование уровня безопасности облачных баз данных, расположенных в российском сегменте Интернета. В ходе исследования было обнаружено около 1 тыс. открытых баз, в том числе и с персональными данными граждан.
Аналитики DeviceLock обследовали более 1 900 серверов, использующих платформы MongoDB, Elasticsearch и Yandex ClickHouse. Выяснилось, что более половины из них (52%) предоставляли возможность неавторизованного доступа, а 10% содержали персональные данные россиян или коммерческую информацию компаний. Еще 4% уже были до этого взломаны хакерами и получали требования о выкупе.
Среди обнаруженных идентифицированных баз данных, в частности, оказались: база клиентов финансового брокера «Финсервис» (finservice.pro), содержащая имена, адреса, контактные и паспортные данные, кредитные истории и информацию по выданным займам; база сервиса автообзвона «Звонок» (zvonok.com), содержащая телефонные номера и записи звонков; данные московских станций скорой медицинской помощи, содержащие всю информацию по вызовам бригад скорой помощи, включая имена, адреса и телефоны пациентов, база российского телемедицинского сервиса DOC+, содержащая данные сотрудников и некоторых пользователей (включая диагнозы), базы данных информационной системы «Сетевой Город. Образование», содержащие персональные данные учеников и учителей школ Екатеринбурга, Ингушетии, Свердловской области и Якутии, а также большое число клиентских баз различных e-commerce проектов.
По словам основателя и технического директора DeviceLock Ашота Оганесяна, ключевой причиной ситуации с неавторизованным доступом к облачным базам данных являются ошибки конфигурации, вызванные крайне низкой квалификацией их пользователей и отсутствием в компаниях процедур аудита информационной безопасности.
Еще большую проблему, по его словам, представляет идентификация владельца открытой базы данных, которая не всегда возможна по ее содержимому. Кроме того, владельцы таких баз крайне медленно реагируют на оповещения.
В компании планируют обратиться в Роскомнадзор, в чью сферу ответственности входит контроль за соблюдением 152-ФЗ («О персональных данных»), с предложением выработать процедуру блокировки открытых баз, содержащих персональные данные.
«Необязательно сразу же блокировать доступ, но можно создать процедуру, в рамках которой Роскомнадзор получает информацию о наличии такой базы и направляет предписание хостинг-провайдеру. Хостер уведомляет владельца базы, и тот в установленный срок либо устраняет нарушение, либо доступ к базе блокируется», — отметил Оганесян.
