Данные миллионы медиков Великобритании утекли из-за шалостей с безопасностью
Миллионы медицинских работников Великобритании стали жертвами утечки личных данных из-за огромного нарушения безопасности программного обеспечения. Не защищённая паролем база данных была найдена в интернете.
Исследователь в области безопасности Джеремайя Фаулер обнаружил базу данных размером 1,1 ТБ, содержащую почти восемь миллионов файлов (7 975 438), включая изображения, PDF-документы, документы о рабочих разрешениях, номера национального страхования, сертификаты, электронные подписи, табели учёта рабочего времени, пользовательские изображения и документы, выданные государственными органами.
Кроме того, архив содержал 656 записей в каталоге, указывающих на различные компании, большинство из которых были поставщиками медицинских услуг, рекрутинговыми агентствами и службами временного трудоустройства.
Фаулер установил, что база данных принадлежит компании Logezy, занимающейся управлением и отслеживанием сотрудников в Великобритании. Он уведомил Logezy о своих находках, и компания заблокировала базу данных сразу же после этого.
Чтобы искать незащищенные базы данных, исследователи могут использовать специализированные поисковые системы, такие как Shodan, и анализировать результаты.
На данный момент Фаулер нашел десятки похожих инстансов, включая ClickBalance (более 750 миллионов записей), DM Clinical Research (более миллиона клинических записей) и ServiceBridge (31 миллион).
Без детального судебного анализа невозможно узнать, если злоумышленник уже получил доступ к базе данных и извлёк оттуда информацию. Также невозможно узнать, как долго архив оставался разблокированным и управлялся ли он самой Logezy или третьей стороной от её имени.
Эти инстансы считаются легкой добычей для киберпреступников. Кража этой информации не требует фишинга, социальной инженерии, поиска уязвимостей нулевого дня или эксплуатации непатченных конечных точек. Однако данные внутри довольно ценны, поскольку обычно они актуальны и могут использоваться для всевозможного мошенничества, включая мошенничество с переводами, схемы обмана с платежами, кражу личных данных и другое.
Если вы использовали Logezy в прошлом, разумно будет внимательнее следить за своими счетами и кредитными отчетами на предмет подозрительной активности.
Медицинские работники Великобритании могут перевыполнить план по количеству стресса — благодаря компании Logezy, которая предоставила щедрую порцию информации для злых умов. Век цифровых достижений, а вот базы данных, как выясняется, у нас ведут себя словно старые бабушки, забывшие, что на улице идет дождь.
Недоумение вызывает тот факт, что база данных в 1,1 ТБ, безо всякой защиты, оказалась на виду у мира — просто позвольте своим пользователям оставить открытой свою личную жизнь. Почти восемь миллионов файлов, включая все, от табелей учёта рабочего времени до эффектных пользовательских изображений, — что может быть заманчивее для хакера с уклоном в творчество?
Джеремайя Фаулер, наш современный Герострат, обнаружил этот подиум для приватности и уведомил Logezy. Словно по волшебству, база данных тут же заблокировалась — спасибо, что хоть кто-то заботится о безопасности. Но вопрос остаётся открытым: как долго это чудо висело без защиты? И действовали ли злодеи, пока мир наслаждался неопределенностью?
Странные совпадения также возникают, когда мы наблюдаем за другими "легкодоступными базами", как ClickBalance или DM Clinical Research — словно они все сидят на одной лавочке и хвастаются, кто быстрее продаст личные данные в теневую экономику. Каждый из этих институтов — это лакомый кусочек для киберпреступников, что не требует особого ума или изощренности.
Авторы этого шедевра безопасности остались незамеченными в разговорах о прозрачности данных, а вместо этого укрылись за крыльями тех, кто может списать это на "непредвиденные обстоятельства". Как же удобно попытаться оправдать свое неосмотрительность методом "просто следите за счетами". Пока они запустили виртуальную лотерею с личными данными, сами же сидят себе и ведут дела — победитель всё же найдется, даже если переведет всё на одну карту.
Так что следите за своими счетами — это может быть единственной радостью в этом хаосе, где приватность уже давно ушла в нокаут.