Ещё три года назад исследователь систем безопасности, Виктор Гевер, обнаружил сотни «дырявых» баз MongoDB с удивительным логином admin@kremlin.ru и одинаковыми паролями в таблицах пользователей. Базы принадлежали сайтам МВД Украины, «Столото», «Disney Россия», провайдеру ТТК и другим, но компании не реагировали на сообщения Виктора, о чём пишет ZDNet.
В своём «Твиттере» исследователь объясняет откуда взялись уязвимые базы данных: их разработчики и администраторы проявили фантастическую халатность, все базы были размещены с настройками по умолчанию и свободно предоставляли права на создание, чтение, редактирование и удаление любых записей всем, кто к ним подключится. Виктор Гевер со своей командой находит тысяч таких баз данных ежегодно, сообщает об уязвимости их владельцам, ждёт устранения «дыры» и только затем публикует информацию об уже закрытой уязвимости. Это стандартная практика для тех, кто в общественных целях занимается пен-тестами, то есть тестами на проникновение. Но в случае с крупными российскими сервисами ожидание ответа и «заплатки» затянулось на три года.
Не одни лишь настройки баз данных привлекли внимание исследователя. Около 2000 баз данных в таблице пользователей содержали логин admin@kremlin.ru и одинаковый для всех этих баз пароль. Исследователь, а вслед за ним и журналисты, сделали удивительное предположение, что все коммерческие предприятия обязаны впускать в свои базы данных представителей российских властей, а отсюда ещё более удивительный вывод: admin@kremlin.ru — это учётная запись представителей Кремля. На основании этого факта журналисты возмутились тем, что российские власти используют одинаковые сочетания логина и пароля в тех базах данных, которые они «прослушивают», чем создают риски для непосредственных владельцев баз: ведь зная логин и пароль из одной базы — можно проникнуть во все остальные. Единственное, что смутило журналистов и исследователя — наличие учётной записи admin@kremlin.ru в базе МВД Украины, прямо в разгаре конфликта между двумя странами.
Ни американские журналисты, ни нидерландский исследователь не потрудились уточнить какой именно российский закон или подзаконный акт обязывает владельцев баз данных впускать в них российские власти и регистрировать пользователя со странным логином admin@kremlin.ru. Поскольку редакции Upgrade такой закон также неизвестен, можно предположить, что в открытых всем желающим базах успел побывать другой хакер, возможно, не один. И установить ещё одного пользователя ради шутки или намёка на взлом труда хакерам не составило бы. Хотя все обстоятельства дела мы вряд ли когда-нибудь узнаем.
