Френската гражданска служба разкрива 1,4 милиона потребителски записи в мрежата, включително лични данни на доброволци

Базата данни включваше стотици хиляди подробности за договори за доброволци в програмата, плюс повече от 1 милион имена, имейл адреси и пароли на потребители, които са се регистрирали през уебсайта.

Екипът за изследване на сигурността на Comparitech, ръководен от експерта по киберсигурност Боб Диаченко, откри базата данни на 30 май и съобщи за нея на Френската гражданска служба същия ден. Организацията действа бързо и няколко часа по-късно обезопаси разкрития сървър.

Френската гражданска служба каза на Comparitech в изявление, че подизпълнител е разкрил базата данни на бивши доброволци:

„Agence du Service Civique“ беше предупредена в събота, 30 май в 15:30 ч., че е открит пробив в сигурността в системата на един [от] нашите подизпълнители и е позволил достъп до лична база данни на бивши доброволци от френската гражданска служба. Незабавно „Agence du Service Civique“ направи всичко необходимо, за да открие произхода на пробива и да го защити. Достъпът беше блокиран в събота, 30 май в 19 часа.

Това беше тестова платформа, а не нашият уебсайт, на който един от нашите подизпълнители беше заредил нашата база данни без подходяща защитена система на 25 май. Нашето разследване на историята на неоторизиран достъп до тази база данни показва, че доколкото ни е известно, не е имало злонамерено проникване в платформата. Докладът за инцидента е изпратен до френския орган CNIL „Commission nationale de l'informatique et des libertés“ и отговорното министерство беше постоянно информирано по време на нашето разследване. Ще започне пълен одит на всички наши системи. Поели сме ангажимент да поддържаме информираността си за киберхигиената.

График на експозицията

Базата данни беше изложена общо пет дни:

25 май 2020 г.:Подизпълнител, работещ от името на френската гражданска служба, внедри базата данни

27 май 2020 г.:Изложената база данни е индексирана от търсачката Shodan.io

30 май 2020 г.:Дяченко откри базата данни и се свърза с френския изследовател по сигурността Баптист Робер, който помогна за инцидента да бъде доведено вниманието на Френската гражданска служба

30 май 2020 г.:Разкритите данни бяха защитени около три часа след разкриването на Диаченко

Въпреки че френската гражданска служба заяви, че не е имало злонамерени прониквания, не можем да потвърдим дали други неупълномощени страни са имали достъп до данните.

Какви данни бяха разкрити?

Отворената и незащитена база данни MongoDB съдържа няколко набора от данни, включително:

• 373 892 данни за доброволци, включително Информация за договора за ELISA . ELISA (Local Extranet for Compensation and Monitoring of Volunteer Receptin in Civic Service) е системата, използвана за упълномощаване на организации, които желаят да наемат доброволци чрез френската гражданска служба и управление на договори и плащания между тези организации и техните доброволци. Информацията в тези документи включва:
  • Пълните имена на двете страни
  • SIRET идентификационни номера
  • Условия за доброволческа служба
  • Вътрешни документи и връзки
• Повече от 1 милион потребителски записи на уебсайтове, включително:
  • Имейл адреси
  • Пълни имена
  • Пароли за акаунти
• Директория с 1913 високопоставени контакта, включително:
  • Улични адреси
  • Телефонни номера
  • Имейл адреси

Опасности от разкрити данни

Въпреки че Френската гражданска служба казва, че не са открити злонамерени прониквания, ние силно препоръчваме на засегнатите потребители и доброволчески организации да предприемат стъпки, за да се защитят в случай, че киберпрестъпниците успеят да откраднат разкритите данни.

Най-тревожни са изтеклите пароли. Засегнатите потребители трябва незабавно да сменят паролите за влизане в уебсайта си. Освен това, ако същата комбинация от парола и имейл е била използвана в друг акаунт или услуга, променете и тях, за да предотвратите атаки с пълнене на идентификационни данни.

Всеки, чиято информация за контакт е била разкрита, трябва да бъде нащрек за измами и фишинг имейли от престъпници, представящи се за френската гражданска служба и свързани с нея организации.

Защо съобщихме за това излагане

Comparitech работи с изследователя по сигурността Боб Диаченко, за да намери и докладва случаи на излагане на лични данни онлайн. При откриване, например, на незащитена база данни, пълна с чувствителна информация, ние незабавно започваме да се опитваме да разберем на кого принадлежат данните, кой може да бъде засегнат, какъв тип информация е била разкрита и всички потенциални разклонения, които биха могли да възникнат в резултат на тези данни са обществено достояние.

Нашата цел не е да назоваваме и засрамваме организациите за техните пропуски в сигурността. По-скоро е да се предотврати хората да станат жертви на кражба на самоличност, фишинг кампании и други злонамерени атаки в резултат на разкриването на техните данни. Ето защо, преди да направим нашите констатации публични, ние първо се координираме със собствениците на базата данни и гарантираме, че данните вече не са достъпни.

Предишни доклади

Това далеч не е единственият такъв случай. В миналото нашият екип е открил няколко подобни инцидента, включително когато:

• 42 милиона ирански телефонни номера и потребителски идентификатори на „Telegram“ бяха пробити
• Изтекоха подробности за близо 8 милиона онлайн покупки във Великобритания
• 250 милиона записа за поддръжка на клиенти на Microsoft бяха изложени онлайн
• Повече от 260 милиона идентификационни данни във Facebook бяха публикувани в хакерски форум
• Изтекоха почти 3 милиарда имейл адреса, много със съответните пароли
• Подробна информация за 188 милиона души се съхраняваше в незащитена база данни
• K12.com разкри 7 милиона студентски записи
• MedicareSupplement.com направи 5 милиона лични досиета публично достъпни
• Бяха изтекли над 2,5 милиона клиентски записи на CenturyLink
• От Choice Hotels изтичат данни за 700 000 клиенти