Эксперты компании UpGuard обнаружили на незащищенном сервере колоссальный массив данных, принадлежащих Управлению по ценным бумагам штата Оклахома (Oklahoma Department of Securities — ODS). Общее количество данных, лежавших фактически в открытом доступе, составило около 3 терабайт. В миллионах файлов содержались личные данные, системные реквизиты и информация, которая должна была оставаться конфиденциальной, включая сведения о расследованиях, проводившихся ФБР и  самого Управления по ценным бумагам.

Среди данных массивов обнаружилась, в частности, база данных Microsoft Access с персональными данными более чем сотни тысяч брокеров, в том числе, датой и местом рождения каждого, а также их физическими характеристиками вплоть до цвета глаз. Там же нашлась база данных со сведениями о смертельно больных людях. Кроме того, в избытке обнаружились реквизиты к системам как самого Управления, так и организаций, которые подавали декларации регулятору, а также таблица ИТ-сервисов, содержащая реквизиты доступа к аккаунтам в системах Thawte, Symantec Protection Suite, Tivoli и др.

В публикации UpGuard указывается, что эти данные накапливались десятилетиями: самые старые документы относились к 1986 г., самые свежие датированы 2016 г. В данный момент неизвестно, успел ли кто-то посторонний получить доступ к этой информации.

Сервер стоял открытый всем ветрам

Доступность данных была обусловлена использованием неправильно настроенной утилиты rsync, используемой для переноса и синхронизации файлов в Unix-системах. Ошибка в настройках позволила выкачивать эти данные с любого IP-адреса, а не только из сети ODS.

Единственное, что эксперты назвали хорошей новостью, это то, что между обнаружением общедоступности уязвимого сервера и изоляцией данных, находившихся на нем, прошло очень немного времени. Сервер впервые засветился в поисковике Shodan в конце ноября 2018 г. 7 декабря аналитики UpGuard убедились в том, что речь идет о весьма важных данных и на следующий день уведомили власти штата Оклахомы. В тот же день доступ к данным был перекрыт. Таким образом, доступ был открыт максимум неделю.

«По всей видимости, кто-то в ODS хотел минимальными усилиями произвести резервное копирование этих архивов, но ошибся в настройках, — полагает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Отдельная проблема состоит в том, что все эти архивы хранились в незашифрованном виде, хотя по идее доступ к ним должен быть, что называется, "под семью амбарными замками". Ущерб от утечки  данных будет огромным, так как эти сведения могут быть использованы для самого широкого диапазона преступных деяний, включая мошенничество и шантаж.