Обнаружена возможность утечки персональных данных из территориальных фондов ОМС

Как стало известно Digital Russia, конфигурационный файл программы, обеспечивающей пересылку данных из территориальных фондов обязательного медицинского страхования в место их централизованного хранения, содержит общедоступные сведения, обеспечивающие доступ к FTP-серверу с персональными данными, принадлежащими, по всей видимости, владельцам полисов ОМС.

Программа, о которой идет речь, используется во всех территориальных фондах обязательного медицинского страхования с 2012 года. Конфигурационный файл доступен техническим сотрудникам IT-подразделений. В файле можно найти строку, содержащую адрес FTP-сервера, а также действующие логин и пароль для доступа к нему.

"Внутри каталога находятся файлы с расширением .uprmes. Скорее всего, это специфический формат, который используется в софте для территориальных фондов обязательного медицинского страхования. На самом деле это .xml, и файл можно открыть даже блокнотом. Мы видим структуру файла, которая похожа на записи базы данных по выдаче полисов. Например, есть начало блока . Внутри – персональные данные: ФИО, дата рождения, место жительства, и различные цифры, вероятно, номера паспортов. Сейчас доступны сведения о 500 гражданах.

Нужно обратить внимание, как конфигурационный файл попал в доступ; почему данные находятся в незашифрованном виде; почему на сервере aplana.com я могу видеть другие папки? Имея доступ на этот сервер, можно попробовать его заразить вредоносным ПО, чтобы получить доступ и к остальным каталогам. Названия там интересные: minzdrav, beeline и другие", – говорит аналитик компании SearchInform Роман Идов.

Tweet