В открытом доступе оказался дамп PostgreSQL-базы «Российской электронной школы»

В свободный доступ был выложен дамп PostgreSQL-базы с данными зарегистрированных пользователей предположительно государственной образовательной платформы «Российская электронная школа». В таблице пользователей 9,148,983 записи. В том числе – ФИО, адрес эл. почты, телефон, имя пользователя и другая информация.

Ситуацию прокомментировал менеджер по продукту система управления базами данных Jatoba компании «Газинформсервис» Константин СЕМЕНЧУК:

– Крайне важно производить как изначальные настройки безопасности СУБД, так и периодически проверки на уязвимости.

Вот минимальный набор настроек, обеспечивающий безопасную работу СУБД:

1. Узкий Whitelist разрешенных для подключения к СУБД ip адресов и пользователей (лишнее из списка удалить)
2. Использование безопасных методов аутентификации (md5, ldaps)
3. Безопасные парольные политики (обязательные разные регистры, цифры, спецсимволы)
4. Защита от подозрительных sql запросов, например, sql инъекций (sql firewall)
5. Установка обновлений после обнародования новых уязвимостей

Также, возможно использование дополнительных средств защиты, например, как в СУБД Jatoba.