Официальный ответ Doc+ на вчерашнюю новость о случившейся утечке персональных данных (https://t.me/dataleak/841):

Компания ООО "Новая Медицина" (DOC+) является оператором персональных данных, в связи с чем принимает все требуемые законодательством меры защиты. В компании внедрены современные средства защиты, прошедшие необходимые процедуры сертификации со стороны ФСБ, ФСТЭК. Выстроены внутренние процессы управления и контроля за состоянием защищенности информационных систем, в которых обрабатываются персональные данные. Политика защиты и обработки персональных данных доступна к изучению на нашем сайте.

DOC+ использует сервис ClickHouse для отладки функционала доработок клиентских продуктов. В ClickHouse загружаются данные из тестовой и продуктивной среды. Сервис ClickHouse функционирует на серверах компании, доступ к которым жестко регламентирован и ограничен. Появление данных из ClickHouse в открытом доступе произошло из-за ошибки, связанной с человеческим фактором. Доступ к данным был оперативно закрыт 17.03.19 сразу после публикации об уязвимости. В компании регулярно проводится  анализ уязвимостей системы защиты персональных данных, и данная ошибка была бы обязательно обнаружена и исправлена. К сожалению, мы не успели это сделать до обнаружения ошибки другими специалистами.

В открытом доступе временно оказался незначительный объем данных, который не может привести к негативным последствиям для сотрудников и пользователей сервиса DOC+. На момент инцидента в ClickHouse были данные в основном из тестовой среды. Медицинские данные клиентов, оказавшиеся в открытом доступе, являются обезличенными, идентифицировать субъект персональных данных по ним можно было бы только при получении всей базы данных целиком. Анализ истории обращений к базе данных и исходящего трафика с наших серверов позволяет утверждать, что утечка могла коснуться <1% всей информации.

По факту инцидента ведутся внутренние разбирательства. Мы разрабатываем и уже начали внедрять дополнительные меры, ещё более ужесточающие защиту данных. Мы сожалеем о произошедшем инциденте, но ещё раз подчеркиваем отсутствие негативных последствий для наших клиентов. Ваша безопасность и конфиденциальность являются приоритетом всей команды DOC+ с первых дней работы компании.

🤦🏼‍♂️🤦🏻‍♀️🙈

В астраханской области неудачно попытались сжечь архив документов с судебными решениями. Документы разлетелись по степи.

Чилийская компания Yu-Track оставила в открытом доступе базу данных MongoDB с персональными данными пользователей. 🤦‍♂️

Yu-Track производит специализированное ПО и мобильное приложение для компаний с разъездными менеджерами по продажам. Yu-Track использует GPS-координаты для процесса автоматического отслеживания перемещений менеджеров.

В открытой базе данных найдено более 1 тыс. зарегистрированных пользователей и более 9.2 млн. записей с местоположениями пользователей. Последняя запись в базе относится к 8 марта 2019 года. Размер базы 3.4 Гб и в ней всего около 15 млн. записей.

Среди данных пользователей такая информация, как: полное имя, адрес электронной почты, хеш пароля и соль, дата последнего входа в систему, дата последнего отслеживания местоположения, идентификатор пользователя и является ли пользователь верифицированным или нет.

В записях с местоположением пользователей содержится: координаты (широта и долгота), время, состояние батареи смартфона (% заряда и состояние – заряжается или нет), идентификатор пользователя.

Есть также 567 записей с информацией о мобильных устройствах пользователей: ОС, идентификатор устройства, модель.

И много чего еще… 😂

Список пользователей Yu-Track. Всего 1010.

Местоположения пользователей Yu-Track. Всего 9,226,980.

Yu-Track ответили на сообщение об открытой базе и закрыли к ней доступ 👍:

Thanks for your information, we have restricted access.

Elsevier - голландская компания-издатель научных журналов (таких как The Lancet, Cell и др.) допустила утечку пользовательских адресов электронной почты и паролей, оставив незащищенным сервер, доступ к которому мог получить любой.

Большинство адресов эл. почты находятся в доменной зоне .edu, т.е. принадлежат образовательным учреждениям по всему миру.

Завтра будет новость про еще одну потенциальную утечку из медицинской клиники. 🔥🔥🔥

А пока наш небольшой комментарий к заявлению ООО «Новая Медицина» в прессе:

По нашему мнению, официальная реакция клиники DOC+ (ООО «Новая Медицина») мягко говоря была не очень правильная (https://t.me/dataleak/847).

Заявляя "В открытом доступе временно оказался незначительный объем данных, который не может привести к негативным последствиям для сотрудников и пользователей сервиса DOC+." они упускают из вида, что в нашем распоряжении есть данные "объективного контроля", а именно поисковик Shodan.

Согласно Shodan, дата первой фиксации открытого сервера ClickHouse на IP-адресе DOC+: 15.02.2019 03:08:00, дата последней фиксации:17.03.2019 09:52:00. Размер базы данных около 40 Гб.

А всего было 15 фиксаций:

15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00

Из заявления получается, что временно это чуть более месяца, а незначительный объем данных это примерно 40 гигабайт данных. 🤦‍♂️

Более того, у нас есть информация, что данные с открытого сервера ClickHouse успели попасть к третьим лицам (как минимум в Telegram-каналы).

И так, вчера вечером была анонсирована новость про еще одну утечку персональных данных из российского телемедицинского сервиса. К счастью, благодаря адекватности сотрудников этого сервиса, уязвимость была быстро (2 часа с момента уведомления) устранена и скорее всего утечки не случилось. 👍

После публикации новости об утечке из телемедицинского сервиса DOC+ на связь с нами вышел один из читателей канала и сообщил о потенциальной уязвимости на сайте еще одной клиники, предоставляющей онлайн-консультации с врачами – «Доктор рядом» (www.drclinics.ru).

Суть уязвимости заключалась в том, что, зная URL и находясь в системе под своей учетной записью, можно было просматривать данные других пациентов.

Для регистрации новой учетной записи в системе «Доктор рядом» фактически требуется только номер мобильного телефона, на который приходит подтверждающая СМС.

После того как пользователь заходил в систему он мог сразу, меняя URL в адресной строке своего браузера, просматривать отчеты, содержащие персональные данные пациентов и в некоторых случаях даже диагнозы.

Среди доступных для просмотра данных были: ФИО врача и пациента, даты рождения врача и пациента, телефоны врача и пациента, адреса электронной почты врача и пациента, специализация врача, дата консультации, стоимость консультации и в некоторых случаях даже диагноз (в виде комментария к отчету).

Существенная проблема заключалась в том, что сервис использует сквозную нумерацию отчетов и из этих номеров уже формирует URL:

https://[адрес сайта]/…/…/40261/

Поэтому достаточно было установить минимальное допустимое число (7911) и максимальное (42926), чтобы вычислить общее количество (35015) отчетов в системе и даже (при наличии злого умысла) выкачать их все простым скриптом.

Данная уязвимость очень похожа на ту, что была обнаружена в декабре 2017 года на сервере микрофинансовой организации «Займоград» (https://www.devicelock.com/ru/blog/mikrofinansovaya-organizatsiya-ostavila-pasportnye-dannye-desyatkov-tysyach-svoih-klientov-v-otkrytom-dostupe.html). Тогда перебором можно было получить 36763 договоров, содержащих полные паспортные данные клиентов организации.

Как написано выше, сотрудники «Доктор рядом» проявили реальный профессионализм и несмотря на то, что об уязвимости им было сообщено в 23:00 (Мск), сразу же сервис (доступ в личный кабинет) был остановлен, а к 1:00 (Мск) данная уязвимость была устранена. 👍👍

На данный момент профессиональная паранойя не дает покоя только по одной оставшейся мелкой проблеме - по ответу сервера можно узнать количество отчетов в системе. Когда пытаешься получить отчет по URL, к которому нет доступа (но сам отчет при этом есть), то сервер возвращает ACCESS_DENIED, а когда пытаешься получить отчет, которого нет, то возвращается NOT_FOUND. Следя за увеличением количества отчетов в системе в динамике (раз в неделю, месяц и т.п.) можно оценить загруженность сервиса и объёмы предоставляемых услуг. Это конечно не нарушает персональных данных пациентов и врачей, но может быть нарушением коммерческой тайной компании. 😎

Данные, которые были доступны для просмотра в системе drclinics.ru:

В законопроект о создании единой системы проверки сведений об абонентах мобильных операторов, принятый Госдумой в первом чтении 6 марта, будут внесены поправки.

Основатель и технический директор DeviceLock Ашот Оганесян объясняет, как новый закон может повлиять на рынок.

https://rb.ru/opinion/dannye-cherez-posrednikov/

География обращений пользователей к сервису DOC+, на основе утекших данных.

Альтернативный разбор утечки персональных данных врачей из DOC+ (ООО «Новая Медицина»), о которой впервые сообщил наш канал.

https://telegra.ph/Utechka-personalnyh-dannyh-iz-DOC-03-20

Компания Финсервис (https://finservice.pro) пока никак не реагирует на нотификации о том, что у них база данных MongoDB с информацией (персданные, фотографии людей, сведения о кредитных продуктах и много другое) о заемщиках из Южного Федерального Округа, находится в открытом доступе. 😱

Подождем еще перед тем как публиковать отчет об утечке…

В открытом доступе была обнаружена база данных MongoDB с персональными данными заемщиков из Южного, Уральского и Приволжского федеральных округов. 🔥🔥🔥

По косвенным признакам был идентифицирован возможный владелец базы -  Компания Финсервис (finservice.pro).

На сайте компании написано, что Финсервис является ведущим независимым финансовым брокером в сфере POS-кредитования на рынке России, а также является разработчиком платформы Poslogic. POS-кредитование — это разновидность банковского бизнеса, предусматривающая выдачу кредитов на товары непосредственно в торговых точках.

IP-адрес с открытой базой обнаружил исследователь безопасности Bob Diachenko (securitydiscovery.com) и попросил нас помочь с устранением потенциальной утечки.

Судя по данным поисковика BinaryEdge впервые открытая база данных MongoDB на этом IP-адресе была зафиксирована 10 марта 2019 года и оставалась свободно доступной вплоть до 21 марта 2019 (примерно 17:00 МСК). На наши сообщения по электронной почте, через Facebook Messenger, через публичный пост в Facebook компания не реагировала несколько дней. Однако, сегодня около 5 вечера по Москве база данных исчезла из свободного доступа. 🙈

В обнаруженной базе данных содержалось:

✅ Более 294 тыс. заемщиков: ФИО, место рождения, дата рождения, количество детей, количество иждивенцев, девичья фамилия матери, состоит в браке или нет, образование, номер мобильного телефона, номер стационарного телефона, адрес электронной почты, адрес регистрации, адрес фактического места жительства, полные паспортные данные.

✅ Более 183 тыс. данных о кредитах: размер кредита, статус кредита, дата выдачи, идентификатор банка, идентификатор заемщика, график платежей по кредиту и т.п.

✅ Более 819 тыс. отсканированных документов: тип документа, название файла, ссылка на JPG-файл, статус, дата и т.п.

✅ Более 246 тыс. фотографий людей, подававших заявки на кредиты, сделанных с веб-камер в точках продаж, в формате JPG.

✅ Более 5 тыс. «внутренних» (видимо сотрудников компании) пользователей: ФИО, дата рождения, логин и хешированный пароль, мобильный телефон, адреса электронной почты на доменах @poslogic.pro и @finservice.pro.

✅ Более 1 тыс. кредитных продуктов: название, идентификатор банка, размер комиссии и т.п.

✅ Более 2.5 тыс. партнеров (видимо точек продаж товаров, на которые берутся кредиты): название, банковские реквизиты, фактический адрес, юридический адрес, контакты и т.п.

✅ И многое другое…

Общий размер данных в базе превышал 157 Гб.

И самое главное – база постоянно обновлялась и дополнялась новыми записями. Например, за один день в ней появилось более 50 новых заявок на кредиты.

Про то, как исследователи обнаруживают открытые базы данных Elasticsearch и MongoDB читайте тут: https://www.devicelock.com/ru/blog/obnaruzhenie-otkrytyh-baz-dannyh-mongodb-i-elasticsearch.html

Список банков, чьи кредитные продукты были в открытой базе данных.

Заемщики, попавшие в черный список.

Список заемщиков, обнаруженных в открытой базе данных.