IT специалист предупреди за възможен пробив в сървъра на Община Разград и изтичане на лични данни

СИГНАЛЪТ СЕ ОКАЗА АБСОЛЮТНО ТОЧЕН, ЛИНКЪТ ВЕЧЕ Е ПРЕМАХНАТ, РАБОТИ СЕ ПО ОТСТРАНЯВАНЕТО НА ПРОБОЙНАТА

IT специалистът Красимир Бозаджиев предупреди тази сутрин в социалните мрежи за възможен пробив в сървъра на Община Разград и изтичане на лични данни. Пробойната се виждала при проверка за местните данъци и такси на сайта на общината. Сигналът се оказа абсолютно верен. Линкът вече е премахнат, работи се по отстраняване на пропуска.

Ето сигнала и последвалата реакция:

Здравейте,

Пиша до общинарите тук, защото доколкото знам има такива. Дано не е твърде късно за това което ще напиша и да се вземат нужните адекватни мерки.

Предисторията:

Моя позната ме помоли да проверя как стоят нещата с проверката за данъци и такси на сайта на общината, защото като цяло проверката и се сторила странно подозрителна. (Само да добавя, че аз и тя работим в IT сектора)

След като проверих останах повече от потресен.

Проверката те насочва към сайт, който е по IP адрес и self generated ssl certificate, това с тези сертификати и достъп по IP адрес  беше нормално и валидно преди 10-15 години, сега вече всичко става по доста различен начин.

Този IP адрес на който се проверяват данъците си е явно на сървър в Общината. След кратка проверка всичко лъсна по него. Има оракъл база, на която са и отворени портовете в Интернет. Предполагам, че на тази база седят всички лични данни на всеки един гражданин на Община Разград и не само лични данни.

Освен тази база се вижда, че има един куп други отворени портове на този сървър, включително и rdp порт за отдалечен достъп. От този порт се вижда, че това е windows server 2003,  На тази операционна система и е спряна поддръжката от microsoft още през 2015 година.

Дано не съм прав, но моят опит ми подсказва, че такива операционни системи, достъпни в Интернет в едно 80 % , че и повече, вече са компрометирани по един или друг начин. Даже сега се сещам, че случаят с Кристиян Бойков и НАП беше по подобен начин. Беше компрометиран достъп до оракъл дейтабейз и извлечени данни от там.

Какво може да се направи в случая, давам подсказки:

Отпред се слага WAF  – web application firewall –  това е задължително, когато става въпрос за чувствителни данни;

Зад този waf се поставя frotend server – в слуая tomcat кoйто да обработва уеб заявките. Достъпът до този сървър, трябва да бъде позволен само от waf мрежата;

И най-отзад стои дейтабейз сървъра, като той е задължително в частна защитена мрежа, която няма директен достъп до Интернет. До него има достъп само фронтенд сървъра. По този начин по трудно би се стигнало до данните от базата;

Надявам се скоро услугата да бъде пак достъпна отново, но по правилен начин .

Няколко часа по-късно:

„Здравейте,

Мисля, че вече се взеха някакви мерки и линкът е премахнат от сайта на Общината. Сървърът може би е спрян. Но реших да постна и тук това, което установих, за да стигне до повече хора.“

/e-Razgrad/

Hits: 0