Взломщики крадутся незаметно
12 апреля 2019
Не так давно специалисты «Доктор Веб» проанализировали одну из утекших баз паролей и логинов – и обнаружили там (к сожалению) множество паролей, совпадающих с паролями наших пользователей. Собственно, ничего странного – огромное количество пользователей использует одни и те же пароли для доступа к самым разным ресурсам. По итогам анализа тем пользователям, данные которых были найдены в проанализированной базе, мы направили уведомления. Результат стал для нас неожиданным.
Так, мы встречали мнение, что утечка произошла на нашей стороне. Аргументом служило то, что конкретный пароль и логин были использованы только для доступа к нашим ресурсам.
Может ли быть такое? Маловероятно, но да. Скажем, автор этого выпуска с недавних пор получает рассылку от Instagram на имя совершенно другого человека – ошибка регистрации или просто решили указать «левый» адрес. А пароли очень часто используются простейшие.
Голландский исследователь безопасности Victor Gevers заявил, что он обнаружил административную учетную запись Admin@kremlin.ru в более чем 2000 открытых базах данных MongoDB, принадлежащих российским и даже украинским организациям.
Среди обнаруженных открытых баз MongoDB были базы Walt Disney Russia, Столото, ТТК-Северо-Запад и даже МВД Украины.
После нашей новости базы продолжали утекать.
Госорганы:
Сотрудники Федерального агентства по управлению в чрезвычайных ситуациях США (Federal Emergency Management Agency, FEMA) предоставили одной из компаний-подрядчиков личную и финансовую информацию более 2,3 млн жителей, пострадавших от стихийных бедствий.
Компании:
Исследователи безопасности Боб Дяченко (Bob Diachenko) и Винни Троя (Vinny Troia) обнаружили в открытом доступе установку MongoDB. База данных размером 150 ГБ содержит четыре отдельных набора данных, в общей ложности содержащих 808 539 939 записей.
Компании, которые сами занимаются слежкой:
Производитель приложений для слежки потребительского класса, позволяющих перехватывать чужие телефонные звонки и сообщения, хранит более 95 тыс. изображений и 25 тыс. аудиозаписей в незащищенной базе данных. Получить доступ к БД через интернет может любой желающий.
Данные россиян, кстати, тоже утекали:
Обнаружена база MongoDB, не требующая аутентификации, с персональными данными и фотографиями заемщиков из Южного, Уральского и Приволжского федеральных округов и всеми их заявками на кредиты.
В базе данных содержалось:
Более 294 тыс. заемщиков: ФИО, место рождения, дата рождения, количество детей, количество иждивенцев, девичья фамилия матери, состоит в браке или нет, образование, номер мобильного телефона, номер стационарного телефона, адрес электронной почты, адрес регистрации, адрес фактического места жительства, полные паспортные данные.
Все заемщики были из Южного, Уральского и Приволжского федеральных округов (адреса проживания).
И медицинские данные тоже:
Российский медицинский онлайн-сервис DOC+, судя по всему, умудрился оставить в открытом доступе базу данных ClickHouse с логами доступа.
Кстати, найти данные базы можно с помощью известного поисковика: «Для обнаружения сервера ClickHouse использовался поисковик Shodan.io».
Список утечек на этом прекратим – его можно продолжать до бесконечности.
Интересен комментарий к последней ссылке:
Скорее всего:
- владелец сайта объявляет себя обработчиком ПД красиво юридически на бумаге, не вдаваясь в технические подробности безопасного хранения тех самых ПД.
- скорее всего использование облачных сервисов (настрогали виртуалок с реальниками) и «стандартеых решений» без должного контроля
- межсерверный firewall и разделение периметров? Что вы, мы же стартап, а не «кровавый энтэрпрайз»!
- нормальный отдел эксплуатации с бородатыми админами, бьющими по рукам за странные подходы? Не, у нас несколько разработчиков на модном языке, девопс на полставки и горят сроки.
Сложно ли найти открытые базы? Не особо.
Усложним запрос, используя поисковые фильтры «all:"mongodb server information" all:"metrics"»:
Результат выглядит уже намного лучше. Все найденные базы были свободно доступными на момент, когда их проиндексировал поисковик. С большой долей вероятности к ним можно будет подключиться по указанным IP-адресам, используя какой-либо менеджер для MongoDB (например, NoSQL Manager for MongoDB или Studio 3T for MongoDB).
Накладывать более сложные фильтры (ограничения по размеру базы, дата попадания сервера в индекс и т.п.) на поисковую выдачу можно с помощью специализированных скриптов и программ.
Антивирусная правДА! рекомендует
Практика показывает, что об утечке очередной базы вы можете и не узнать, и взлом вашего доступа станет для вас неприятным сюрпризом.
Мы еще раз советуем использовать различные пароли (по возможности сложные) к разным ресурсам. Или хотя бы сложные пароли для доступа к важным ресурсам. И регулярно их менять – ведь, напоминаем, об утечке вы, скорее всего, узнаете уже по факту взлома.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
zitkss
22:04:22 2019-04-29
Шалтай Александр Болтай
15:30:52 2019-04-14
Александр
09:22:59 2019-04-13
7S#UAgaPTergB~fx#l%F{J1*4Y80evbap|{1~izQRNNoOy|~l~FehO98ka$MN}YDjYHGiH.
achemolganskiy
08:06:01 2019-04-13
razgen
00:28:49 2019-04-13
Не факт, что при смене, новый пароль окажется более надёжен, чем старый.
Rider
22:46:54 2019-04-12
Dvakota
22:38:07 2019-04-12
Неуёмный Обыватель
22:26:48 2019-04-12
Lia00
21:53:33 2019-04-12
Andromeda
21:47:31 2019-04-12
Альфа
21:44:13 2019-04-12
Serg07
21:27:05 2019-04-12
orw_mikle
21:10:40 2019-04-12
robot
20:41:56 2019-04-12
tigra
19:57:13 2019-04-12
anatol
19:50:57 2019-04-12
I23
19:45:53 2019-04-12
I46
19:39:44 2019-04-12
Zserg
19:18:15 2019-04-12
Lenba
19:11:59 2019-04-12
matt1954
18:44:36 2019-04-12
Геральт
17:23:21 2019-04-12
Татьяна
16:28:40 2019-04-12
kozinka.ru
16:06:37 2019-04-12
Toma
14:48:01 2019-04-12
sgolden
14:23:02 2019-04-12
blade79
14:00:11 2019-04-12
SGES
13:34:04 2019-04-12
Masha
12:25:26 2019-04-12
maestro431
12:02:07 2019-04-12
vinnetou
11:35:28 2019-04-12
vkor
11:08:07 2019-04-12
Совет использовать различные сложные пароли можно повторять хоть ежедневно. Хуже не будет.
Денисенко Павел Андреевич
10:58:24 2019-04-12
sanek-xf
10:46:50 2019-04-12
Natalya_2017
10:40:30 2019-04-12
cpp
10:30:28 2019-04-12
Dmur
10:17:42 2019-04-12
Вячeслaв
10:01:53 2019-04-12
О сложности паролей. Доступ могут перехватить в нескольких местах. Естественно взломать ресурс. Если взломают ресурс и уведут базу, то для того, чтобы она не принесла пользу взломщикам пароли не должны храниться в открытом виде и не должны быть простыми. Если они будут простыми, то их просто подберут перебором. Вот чтобы не подобрали перебором после кражи - пароль и должен быть сложным
Alexander
09:53:54 2019-04-12
Поэтому любая информация о факте подобного несанкционированного "разоблачения" наших личных (и не очень) данных заслуживает того, чтобы её принять во внимание, и действовать сообразно своему здравому размышлению...
Спасибо за информацию, намёк, сигнал, предупреждение и, по сути, требование настоящего Друга Dr.Web о необходимости срочно!!! обновить пароли наших аккаунтов... хотя бы, тех, о которых мы ещё помним...
Вячeслaв
09:43:12 2019-04-12
Сами пароли мы не храним и увидеть для каких либо исследований не можем Фраза из новости неудачная, но тут обычная проблема. Если мы напишем в новости - при анализе оказалось, что хеш суммы паролей совпали... - подумает ли пользователь, что есть опасность его паролям?
eaglebuk
09:23:29 2019-04-12
А у меня всегда вопрос в таких темах - зачем пользователю менять и усложнять пароль, если ломают не твою учётку, а базу данных?
И с паролями на учётки DrWeb - вы их всё-таки видите? Тогда тот же вопрос - чем сложность пароля ab123cd отличается от Ch3Ck_=0Fr_!Gn8?\'n12@az, если они просто хранятся в открытом виде в парах с логинами?
EvgenyZ
08:45:32 2019-04-12
marisha-san
08:41:23 2019-04-12
dyadya_Sasha
08:15:31 2019-04-12
Rinat_64
07:53:11 2019-04-12
Rinat_64
07:53:06 2019-04-12
Oleg
07:40:53 2019-04-12
Vlad X
07:26:35 2019-04-12
логины и пароли,то сложность не поможет,ведь их уже
знают.Поэтому надо чаще менять пароли.
ka_s
06:59:56 2019-04-12
Пaвeл
06:10:13 2019-04-12