На «Госуслугах» масштабная утечка. Скомпрометированы данные десятков тысяч россиян

На «Госуслугах» масштабная утечка. Скомпрометированы данные десятков тысяч россиян

Эксперты обнаружили в свободном доступе базу данных с информацией о клиентах «Госуслуг». В числе пострадавших почти 30 тыс. человек, однако «Ростелеком», на площадке которого и находился скомпрометированный сервер, отрицает факт утечки. Минкомсвязи инициировало проверку инцидента.

Очередная утечка в России

В свободном доступе в интернете оказалась информация десятков тысяч пользователей портала «Госуслуги». Персональные данные стали доступны всем желающим в результате утечки.

Ашот Оганесян сказал, что база данных содержала сведения о 28 тыс. клиентов «Госуслуг», проживающих, предположительно, в Ханты-Мансийском автономном округе. В базе, оказавшейся в свободном доступе в результате ошибки в конфигурации Elasticsearch-сервера, на котором она располагалась, содержались ФИО клиентов, их ИНН, номера телефонов СНИЛС, адреса электронной почты и другая персональная информация, включая сведения о наличии детей. В дополнение к этому, по словам Оганесяна, в Сеть утекли еще и токены авторизации этих пользователей на портале, которые могли обеспечить третьим лицам несанкционированный доступ к личным кабинетам этих людей. На момент публикации материала информация о пригодности токенов для доступа к аккаунтам не была подтверждена.

Технические детали

Ашот Оганесян подчеркнул, что персональная информация почти 30 тыс. россиян находилась в свободном доступе продолжительное время. Он утверждает, что скомпрометированный сервер был проиндексирован поисковиком Shodan 3 декабря 2019 г.

Доверять свои персональные данные небезопасно даже «Госуслугам»

Сам сервер находится на площадке «Ростелекома». Оганесян отметил, что попытки закрыть уязвимость начали предприниматься лишь 28 декабря 2019 г. На 30 декабря 2019 г. брешь была устранена, но в итоге доступ к персональным данным мог получить кто угодно в течение практически целого месяца.

Минкомсвязи России осведомлено о произошедшем. Представители ведомства подтвердили факт устранения уязвимости и добавили, что по факту возможной утечки персональных данных ведется проверка.

Кто виноват

На момент публикации материала виновные в утечке информации установлены не были. «Ростелеком», по информации РБК, отрицает сам факт утечки, утверждая, что не было выявлено никаких инцидентов, имеющих отношение к единой системе идентификации и аутентификации.

В компании отметили, что все системы «электронного правительства» работают в обычном режиме, и что персональные данные пользователей в безопасности. В то же время представители «Ростелекома» полагают, что инцидент мог иметь отношение к региональному приложению «Госуслуги Югры». Оно было разработано по заказу департамента информационных технологий и цифрового развития ХМАО, и в настоящее время оно работает отдельно от портала госуслуг. Отметим, что приложение «Госуслуги Югры» имеет определенное отношение к «Ростелекому»: оно размещается на технической инфраструктуре компании.

Не самая крупная утечка

В 2019 г. в России произошло значительное количество утечек персональных данных, и случай с «Госуслугами» – далеко не самый серьезный. К примеру, в начале октября 2019 г. Ашот Оганесян обнаружил в Сети данные о 60 млн клиентах Сбербанка.

Константин Лопаткин, Айтеко.Cloud: «На базе нашего импортонезависимого облака можно создать гибкую ИТ-инфраструктуру любой конфигурации»

База данных предлагалась всем желающим за определенную плату и содержала подробные персональные данные владельцев кредитных карт, включая ФИО, паспортные данные, а также всю информацию о кредитных картах клиента и операциях по ним, включая кредитный лимит и неиспользованный лимит. Данная утечка была признана крупнейшей в истории российского банковского сектора

В конце октября 2019 г. произошла еще одна утечка, и снова в Сбербанке. На этот раз архив состоял из 1 млн строк, по одной на каждого клиента, но в дополнение к базовой банковской информации он содержал еще и последние записи разговора клиентов с техподдержкой банка. Это означает, что Сбербанк допустил утечку биометрии, образцов голоса, своих пользователей. К слову, банк отрицал факт утечки, но подлинность части содержащейся в БД информации была подтверждена независимыми специалистами.

В середине октября 2019 г. CNews сообщал о том, что в течение нескольких месяцев в свободном доступе находились данные о кредитных историях россиян. Утекшая в интернет база данных предположительно принадлежала микрофинансовой организации «ГринМани» и содержала сведения, предоставленные бюро кредитных историй «Эквифакс» и «Объединенным кредитным бюро». Также утечке подверглись сведения об абонентах операторов «Мегафон» и МТС, что стало дополнением к глобальному распространению информации о клиентах «Билайна».

Утечка в «Билайне» произошла 7 октября 2019 г. В свободном доступе оказалась БД с адресами, телефонами и ФИО абонентов проводного интернета этого оператора. Были скомпрометированы персональные данные 2 млн россиян, и сотрудники редакции CNews подтвердили подлинность некоторых из них.

Сайт перенаправляет пользователей к мошенникам

На портале «Госуслуг» обнаружили уязвимость, через которую мошенник может перенаправить пользователя на сторонний.

Уязвимость «Госуслуг»

Уязвимость была обнаружена подписчиком канала Бедерова, «Госуслуги» уже осведомлены о проблеме.

«Пользователь попадает на страницу ввода «капчи» (определяющей человек или робот запрашивает доступ – ред.) на сайте «Госуслуги». После ее введения пользователь может быть переадресован на любой другой сетевой ресурс, в том числе содержащий вредоносное программное обеспечение, которое будет автоматически установлено на устройство “жертвы”», — рассказал Игорь Бедеров.

Что это такое

На портале «Госуслуг» эксперты обнаружили уязвимость в виде скрытого редиректа (covert redirect). Редирект — это автоматическая переадресация пользователя с одного адреса страницы на другой. Он используется для перенаправления пользователя на главную страницу сайта, обработки повторяющихся страниц или при переходе сайта на другой домен, когда он не хочет терять аудиторию. Кроме того, редирект активно используют киберзлоумышленники.

В большинстве случаев посетитель сайта не замечает процесс перенаправления. Пользователь чаще всего может видеть только первую часть ссылки, которая указывает на портал «Госуслуг», а вторая, перенаправляющая, часть ссылки будет обрезана социальной сетью или мессенджером.

Как защититься

Для защиты своих данных и устройств эксперт рекомендует пользователям обязательно проверять адрес ссылки перед тем, как по ней перейти. Сделать проверку можно при помощи антивирусов и расшифровщиков гиперссылок. Так пользователь сможет заранее увидеть, на какой ресурс он попадет в итоге, не скачает ли нечаянно что-то вредоносное. Помимо этого Бедеров​ советует своевременно обновлять используемое ПО, таким образом можно защититься от уязвимостей ещё до того, как ими успеют воспользоваться злоумышленники».

Кроме самостоятельного отслеживания пользователем адреса ссылки, должен быть контроль со стороны портала: «Предполагаю, что сами порталы должны информировать пользователей о переходе по внешней ссылке, а также осуществлять проверку ресурса, находящегося за ней, на предмет наличия фишинга или опасного программного обеспечения», — рассказал​ CNews​ Игорь Бедеров.

Минцифры опровергло информацию об утечке данных “Госуслуг”

федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (роскомнадзор)

министерство цифрового развития, связи и массовых коммуникаций рф (минцифры россии)

7 495 645-6601

ФГУП МИА «Россия сегодня»

технологии, максут шадаев, почта россии, федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (роскомнадзор), министерство цифрового развития, связи и массовых коммуникаций рф (минцифры россии), госуслуги, кибератаки, кибербезопасность

Утечки у “Госуслуг” нет, в сеть попали украденные летом данные “Почты России”

Ранее в понедельник в телеграм-каналах появилась информация о том, что украинские хакеры опять выложили данные, полученные, по их словам, из Единой Системы Идентификации и Аутентификации (ЕСИА) “Госуслуг”. Опубликованные данные включают в себя ФИО, адрес электронной почты почты, паспортные данные (серия, номер, кем и когда выдан), а также ИНН, телефон, дату рождения и адрес.

Минцифры назвало возможный размер штрафа за утечку данных пользователей

“Почта России” в конце июля подтвердила частичную утечку данных пользователей у своего подрядчика. Однако, как отмечала компания, банковские данные клиентов не пострадали, а у взломщиков нет доступа к другим записям.

После этого Роскомнадзор направил в “Почту России” запрос с требованием предоставить детальную информацию об утечке персональных данных клиентов.

Налоговые уведомления можно будет получать на “Госуслугах”

“Ростелеком” опроверг информацию об утечке данных пользователей “Госуслуг”

общество, ростелеком, технологии

В “Ростелекоме” назвали информацию об утечке данных пользователей “Госуслуг” фейком

Ранее в понедельник в Telegram-каналах появилась информация о том, что хакеры выложили в открытый доступ данные из единой системы идентификации и аутентификации (ЕСИА) “Госуслуг”.

“В некоторых Telegram-каналах распространяются скриншоты якобы утекшей базы данных пользователей портала Госуслуг. Сообщаем, что эти публикации – очередной фейк”, – говорится в сообщении.

Отмечается, что анализ опубликованных списков показывает, что они не имеют отношения к учётным записям на федеральных “Госуслугах”. “Похоже, что это сведения одного из региональных порталов, появившиеся в открытом доступе в конце прошлого года. Об этом свидетельствует и состав полей, и региональная принадлежность данных на скриншотах. Федеральный портал “Госуслуг” работает в штатном режиме, несмотря на усиление в 2022 году хакерских атак из-за рубежа”, – добавили в компании.

РКН передал в суд протокол об утечке данных “Яндекс. Еды”

Минцифры опровергло информацию об утечке данных пользователей “Госуслуг”

россия, общество, технологии, министерство цифрового развития, связи и массовых коммуникаций рф (минцифры россии), персональные данные, происшествия

Минцифры опровергло информацию об утечке данных пользователей портала “Госуслуги”

Скидку на оплату госпошлин через “Госуслуги” отменят

Ранее в СМИ появилась информация о том, что в открытый доступ были выложены ровно 5 тысяч строк, полученных, со слов выложивших эти данные, из базы портала “Госуслуги”. Отмечалось, что, возможно, эти данные были получены благодаря утекшим ключам к сертификатам, используемым для доступа к Единой системе идентификации и аутентификации (ЕСИА).

“Мы проверили этот файл и выяснили, что в нем нет того набора параметров, которые обязательно присутствуют в стандартных учетных записях “Госуслуг”, – также отмечается в сообщении министерства.

Уточняется, что по данным службы безопасности, эта база относится к одной из внешних онлайн-систем, использующих упрощенную идентификацию пользователей через “Госуслуги”. “Эта система не имеет прямого доступа к полному набору данных пользователей”, – добавляется в сообщении.

Министерство также напомнило, что сообщения об утечках могут спровоцировать всплеск мошенничества, а также, что личную информацию никогда не следует сообщать незнакомцам, а адреса, с которых приходят якобы “официальные” письма, нужно тщательно проверять.

Уведомления о необходимости ремонта машины будут приходить на “Госуслуги”

В конце декабря в открытом доступе оказался исходный код сайта госуслуг Пензы. Утечка произошла через сайт Фонда реновации Москвы, который использует совместный репозитарий с пензенским ресурсом, рассказал Forbes нашедший уязвимость основатель компании Cybersec Владислав Хорохорин. Теперь злоумышленникам будет проще взломать федеральные «Госуслуги», говорят эксперты

В субботу, 25 декабря, исходный код сайта пензенских госуслуг оказался в открытом доступе, сообщила компания в сфере кибербезопасности Cybersec, которая также опубликовала архив с этого сайта. По данным компании, «Госуслуги» никто не взламывал — Cybersec обнаружила открытый репозиторий (хранилище данных), который стал доступен из-за неверных настроек безопасности.

Вскоре после публикации архива Минцифры сообщило, что портал госуслуг работает в обычном режиме, а «данные пользователей надежно защищены». Во время проверки ведомство «выявило недостатки» в работе одного из региональных порталов, который «не имеет доступа к данным федерального портала госуслуг и пересечения исходных кодов с ним». В Минцифры добавили, что также проверили всю инфраструктуру электронного правительства и не выявили угрозы несанкционированного доступа к исходным кодам.

После утечки портал пензенских госуслуг стал недоступен для пользователей. Какие данные оказались в архиве и могут ли утечкой воспользоваться злоумышленники?

Масштаб утечки

Компанию Cybersec основал хакер Владислав Хорохорин, когда находился в американской тюрьме вместе с другими заключенными. Хорохорина, у которого есть гражданство России и Израиля, осудили на семь лет и четыре месяца по обвинению в торговле данными миллионов ворованных кредитных карт. О возможных утечках на сайтах мэрии Хорохорину сообщил один из коллег, сам Хорохорин опубликовал на сайте компании архив части данных, которые в результате уязвимости оказались в открытом доступе, рассказал эксперт Forbes.

Хорохорин обратился в службу безопасности сайта госуслуг, чтобы узнать о возможном вознаграждении за нахождение уязвимости, указано на сайте Cybersec. В своем сообщении он написал, что ему стало известно «о серьезной утечке данных портала госуслуг, а также других государственных сайтов». В этой утечке находятся цифровые сертификаты, с помощью которых можно получить доступ, в частности в Единую систему идентификации и аутентификации (ЕСИА), которая используется для доступа к «Госуслугам». Также Хорохорин обнаружил данные «множества ключевых ресурсов, которые могут представлять интерес для злоумышленников», писал он. Представитель «Госуслуг» ответил, что у портала нет программы вознаграждений за нахождение утечек. Тем не менее Хорохорин рассказал подробнее об утечке, но не получил никакого ответа, указано на сайте компании.

Утечка произошла не через сам сайт пензенских госуслуг, а через Фонд реновации Москвы, который использует совместный репозитарий с пензенским ресурсом «Госуслуг», рассказал Forbes Хорохорин. По его словам, в том же репозитории находились фрагменты или целый код других правительственных ресурсов (Хорохорин их не назвал), и если бы такие данные попали в открытый доступ, это привело бы к «многочисленным злоупотреблениям этой информацией». Хорохорин говорит, что «беглый анализ данных» показал, что правительственные ресурсы используют «архаичные библиотеки, что может привести к серьезным проблемам».

Cybersec опубликовал только часть кода пензенского сайта госуслуг, так как представители других правительственных ресурсов не ответили на письма компании. Хорохорин уверен, что он не первый, кто узнал об уязвимости на сайте госуслуг, и предполагает, что злоумышленники уже могли использовать ее для получениях данных о россиянах.

Сейчас доступ к данным через сайт Фонда реновации Москвы уже закрыт, подчеркнул Хорохорин. Он объяснил, что опубликовал исходный код для того, чтобы привлечь внимание к крупной проблеме низкого уровня кибербезопасности госресурсов.

Что в архиве

Утечка не содержит каких-либо критических данных пользователей в чистом виде, но в ней есть электронный сертификат, который позволял авторизоваться в Системе межведомственного электронного взаимодействия (используется федеральными и региональными органами власти, а также кредитными организациями для обмена данными для оказания госуслуг) от имени Пензенского филиала, говорит основатель и гендиректор компании по кибербезопасности Postuf Бекхан Гендаргеноевский. Таким образом, злоумышленник мог совершить более 50 действий, например отправлять запросы о полной информации о пользователях (имя, фамилия, паспортные данные, различные документы и т. д.) и организациях (адрес, сотрудники, имущество во владении и т. д.). «Официальный сайт филиала был недоступен, вероятнее всего, из-за действий по замене сертификата», — полагает Гендаргеноевский.

В результате правильно сформированного запроса с помощью сертификата можно было получить имена, контактные данные, СНИЛС и многие другие данные россиян, подтверждает Хорохорин. Судить об уровне безопасности всех «Госуслуг» в целом можно не только по исходному коду, но и по тому, какие пароли использовались для доступа к сертификатам — например, «12345678», заключил он.

Остались ли риски

Нет оснований не доверять позиции Минцифры: скорее всего, злоумышленники получили доступ только к региональному, а не федеральному порталу, поэтому данным пользователей сейчас ничего не угрожает, считает руководитель отдела аналитики «СерчИнформа» Алексей Парфентьев. Тем не менее часто компрометация исходного кода ведет к атакам, когда хакеры эксплуатируют обнаруженные в этом коде уязвимости и крадут данные, считает он. «От уязвимостей не застрахованы даже глобальные IT-гиганты, что уж говорить про небольшой местный сервис», — считает Парфентьев.

По его словам, главная задача операторов сервиса сейчас — сыграть на опережение, то есть самостоятельно исследовать опубликованный код на уязвимости и успеть исправить его до того, как за него возьмутся недоброжелатели.

Утечки данных с сайта госуслуг, по официальным данным, не произошло, однако ее вероятность существенно повысилась, считает основатель и генеральный директор Qrator Labs Александр Лямин. «Поиск уязвимостей в приложении можно сравнить с поиском нужного инструмента в кладовке, где выключен свет: наличие исходного кода эквивалентно включению света. Это существенно упрощает жизнь злоумышленникам и всегда делает атаку на ресурс, где произошла утечка данных, более доступной и легкой в реализации», — пояснил он.

Парфентьев из «СерчИнформа» отмечает, что у опубликованного исходного кода могут быть пересечения с федеральной системой. «Несмотря на индивидуальные особенности, все сайты госуслуг созданы на примерно одинаковой базе», — считает он. По информации Cybersec, федеральные и региональные подразделения используют одинаковую кодовую базу примерно процентов на 70%, подчеркнул Хорохорин.

В ноябре 2021 года Минцифры сообщило, что уже несколько дней «подвергается самой мощной за все время функционирования портала кибератаке». 10 ноября ведомство отразило «рекордную по мощности атаку на «Госуслуги», свыше 680 гигабит в секунду», а 11 ноября у пользователей возникли проблемы с доступом к ресурсу. Кроме того, злоумышленники смогли взломать чат-бота «Макса» — на вопросы граждан он отвечал, что «коронавируса не существует», а введение QR-кодов — это «часть плана мирового правительства по сегрегации населения и усилению тотального цифрового контроля».

Сейчас сайт пензенских госуслуг работает, но на нем по техническим причинам недоступна авторизация через ЕСИА. Forbes направил запрос в Минцифры России, Министерство цифрового развития, транспорта и связи Пензенской области и Фонд реновации Москвы.

Интернет-пользователи пожаловались на хакеров, которые взломали их аккаунты на «Госуслугах» и дали согласие на обработку персональных данных для одного из сервисов «Единой России». В партии считают это информационной атакой. Взлом мог затронуть значительное количество пользователей, полагают эксперты по кибербезопасности

Ворованный аккаунт

С помощью кнопки «действия в системе» на «Госуслугах» Забелина выяснила точное время, когда мошеннику удалось попасть в ее личный кабинет. В нем появилось уведомление, что Забелина якобы разрешила сервису «Центр обработки персональных данных «Единой России» использовать все свои данные с «Госуслуг». «Конечно, я этого не делала», — подчеркнула Забелина в своем посте.

Пострадавшая сообщила, что на «Госуслугах» у нее хранятся электронная подпись, с которой можно проводить любые операции с недвижимостью, данные паспорта, номера ИНН, СНИЛС, ДМС, ОМС, данные банковских карт, копии и оригиналы заявлений в госструктуры, где указаны личные сведения. «Возможно, вскоре я прочувствую на себе, чем грозит слив всех данных и документов в третьи руки», — написала она.

Злоумышленник, который зашел в профиль «Госуслуг», мог видеть все загруженные в аккаунт сканы документов и воспользоваться ими, подтверждает эксперт по информационной безопасности Cisco Systems Алексей Лукацкий. С их помощью можно и открыть кредит, и зарегистрировать номер телефона; кроме того, их можно продать в даркнете, говорит он.

Оператор сайта госуслуг в ответ на рассказ Забелиной о происшествии и просьбу «заблокировать аккаунт» или «насильно прервать все активные сессии» сказал, что «сессия у мошенника автоматически прервется через 24 часа», и пообещал составить обращение в техподдержку, говорится в посте.

Власти задумались о возможности оформлять личное банкротство через «Госуслуги»

Информационная атака

Спустя день после поста Забелиной «Единая Россия» прокомментировала инцидент.

Партия сообщила, что обнаружила попытки использования «ворованных аккаунтов» в процессе регистрации избирателей на предварительное голосование. Таким образом хакеры хотят поставить под сомнение легитимность процедуры предварительного голосования, говорится в сообщении.

Руководитель IT-проектов «Единой России» также рассказал, что партия пользуется услугами ряда компаний по кибербезопасности для своей защиты, он назвал их «лидерами рынка», но отказался раскрыть конкретных игроков. «Основная методика, которую мы применяем (и она показывает хорошие результаты), — это когда специалисты проводят попытки взлома наших систем или вывода их из строя», — отметил Сатеев.

Исходя из сообщений о взломах аккаунтов сайта госуслуг, они происходили во время тестирования по использованию дистанционного электронного голосования — с 12 по 14 мая. Это тренировка перед реальными выборами в Госдуму, которые пройдут в сентябре 2021 года. В части регионов голосование пройдет в онлайн-формате.

Политический активизм с использованием хакерских методов появился еще в 90-х, но активно развиваться стал в начале 2010-х, рассказал коммерческий директор компании «Код безопасности» Федор Дбар. Ресурсы политических партий могут быть взломаны и использованы как промежуточное звено для атаки на аккаунт жертвы, а сама атака — использоваться для дискредитации политических сил, объясняет он. «Но узнать точно, откуда был произведен взлом — сложнейшая задача», — сетует Дбар.

«Русские хакеры действительно лучшие»: владелец Positive Technologies Юрий Максимов о новейших киберугрозах и тех, кто за ними стоит

«Потерпевшая пишет, что у нее был установлен сложный пароль, но очень вероятно, что он использовался где-то еще в полном или похожем виде», — подчеркивает Дрозд. Некоторые пользователи модифицируют свой пароль для разных сервисов, добавляя символы в начало или конец основной комбинации, говорит он. Забелина в разговоре с Forbes не смогла вспомнить, использовала ли она пароль от «Госуслуг» на других сайтах.

Каким мог быть масштаб взлома аккаунтов, знают только в самих «Госуслугах», говорит начальник отдела информационной безопасности «СерчИнформ». Если злоумышленники действительно использовали данные из утечки или применяли метод перебора паролей, то вывод о числе скомпрометированных пользователей можно сделать на основе статистики, считает Дрозд. Согласно опросу компании по кибербезопасности Avast, 55% российских пользователей используют одинаковые пароли для разных аккаунтов, хотя 94% знают, что это опасно. «То есть масштаб взлома мог быть существенным», — резюмирует эксперт.

«В даркнете я ни разу не видел утечек с «Госуслуг», что говорит о неплохой защите сайта или о том, что эти данные никому не нужны, что маловероятно, потому что данные там достаточно ценные: иногда есть привязанные кредитные карты, чтобы оплачивать штрафы — информация для злоумышленников интересная», — отметил Лукацкий.

«Будет только хуже»: миллиардер-айтишник предупредил, что хакеры могут взломать все — даже лампочки

Опрошенные Forbes эксперты по кибербезопасности рекомендуют:

• использовать сложные пароли, уникальные для каждого сервиса;
• никому не передавать пароли и не использовать для их хранения непроверенные инструменты: не записывать их на листках бумаги, в файлах, доступных другим пользователям, и т. д.
• использовать двухфакторную аутентификацию во всех приложениях и на всех сайтах — например, с применением второго фактора в виде SMS-кода, который необходимо ввести после ввода стандартного пароля;
• периодически проверять, не скомпрометированы ли электронная почта, номер телефона или пароль с помощью сервисов наподобие Haveibeenpwned;
• если злоумышленники получили доступ к хранящимся на «Госуслугах» документам, можно отслеживать информацию о себе в таких сервисах, как nalog.ru, или использовать специальные приложения: они позволят фиксировать, когда на ваши паспортные данные кто-то оформил кредит, компанию или получил имущество.

Чем грозят бизнесу и власти информационные утечки

Бездна данных: чем грозят бизнесу и власти информационные утечки