А у нас снова про медицину! На этот раз в открытом доступе были персональные данные граждан, обращавшихся за получением медицинских справок для ГИБДД, на оружие, для поступления на государственную/муниципальную службу, для занятий спортом, для работы с использованием сведений, составляющих государственную тайну и т.п. 🔥🔥
17-го апреля этого года мы обнаружили сервер с базой данных MongoDB не требующей пароля для подключения. На одном IP-адресе с базой располагался веб-сервер с сайтом mc-optima.ru, принадлежащий сети региональных медицинских центров «Оптима». 🙈
В базе размером 22,4 Мб содержались персональные данные клиентов из Нижегородской, Ивановской и Владимирской областей. В том числе:
✅ ФИО
✅ полные паспортные данные (серия, номер, кем и когда выдан)
✅ пол
✅ адрес
✅ дата рождения
✅ дата обращения в медицинский центр
✅ стоимость услуг, скидка, способ оплаты (наличный, безналичный)
✅ тип справки (если для ГИБДД, то для каких категорий транспорта)
✅ номер медкарты и номер справки
✅ медицинские ограничения
Помимо клиентов, обращавшихся за справками, в базе также содержались сведения о пациентах, делавших различные исследования (УЗИ, флюорография и т.п.) и приходивших на прием к офтальмологу, гинекологу и т.п. врачам. 🤦🏻♂️
Всего в открытом доступе находилось более 18,5 тыс. записей.
Данная база находилась в свободном доступе с 14.11.2017!
Спустя почти 2 дня после нашего оповещения, сервер «тихо» прикрыли.
Напомним случаи обнаружения данных пациентов и медицинских организаций: 🚑 🏥
1️⃣ DOC+ (ООО «Новая Медицина»): https://t.me/dataleak/841
2️⃣ Доктор рядом: https://t.me/dataleak/855
3️⃣ Лаборатория CMD: https://t.me/dataleak/892 и https://t.me/dataleak/898
4️⃣ Станции скорой медицинской помощи: https://t.me/dataleak/916
5️⃣ Лабораторная Информационная Система «Ариадна»: https://t.me/dataleak/945
6️⃣ Зуботехническая лаборатория «CAD\CAM_LAB»: https://t.me/dataleak/993
17-го апреля этого года мы обнаружили сервер с базой данных MongoDB не требующей пароля для подключения. На одном IP-адресе с базой располагался веб-сервер с сайтом mc-optima.ru, принадлежащий сети региональных медицинских центров «Оптима». 🙈
В базе размером 22,4 Мб содержались персональные данные клиентов из Нижегородской, Ивановской и Владимирской областей. В том числе:
✅ ФИО
✅ полные паспортные данные (серия, номер, кем и когда выдан)
✅ пол
✅ адрес
✅ дата рождения
✅ дата обращения в медицинский центр
✅ стоимость услуг, скидка, способ оплаты (наличный, безналичный)
✅ тип справки (если для ГИБДД, то для каких категорий транспорта)
✅ номер медкарты и номер справки
✅ медицинские ограничения
Помимо клиентов, обращавшихся за справками, в базе также содержались сведения о пациентах, делавших различные исследования (УЗИ, флюорография и т.п.) и приходивших на прием к офтальмологу, гинекологу и т.п. врачам. 🤦🏻♂️
Всего в открытом доступе находилось более 18,5 тыс. записей.
Данная база находилась в свободном доступе с 14.11.2017!
Спустя почти 2 дня после нашего оповещения, сервер «тихо» прикрыли.
Напомним случаи обнаружения данных пациентов и медицинских организаций: 🚑 🏥
1️⃣ DOC+ (ООО «Новая Медицина»): https://t.me/dataleak/841
2️⃣ Доктор рядом: https://t.me/dataleak/855
3️⃣ Лаборатория CMD: https://t.me/dataleak/892 и https://t.me/dataleak/898
4️⃣ Станции скорой медицинской помощи: https://t.me/dataleak/916
5️⃣ Лабораторная Информационная Система «Ариадна»: https://t.me/dataleak/945
6️⃣ Зуботехническая лаборатория «CAD\CAM_LAB»: https://t.me/dataleak/993
Представляем @SecLabNews - канал русскоязычного новостного портала SecurityLab.ru, оперативно публикующего информацию о последних новостях IT-безопасности в России и мире.
1-го апреля мы обнаружили в свободном доступе сервер Elasticsearch с логами медицинской IT-системы сети лабораторий «Центр молекулярной диагностики» (CMD).
Из логов можно было получить весьма чувствительную информацию, включая ФИО, пол, даты рождения пациентов, ФИО врачей, стоимость исследований, данные исследований, файлы с результатами скрининга и многое другое.
Читайте детальное описание "находки" на Хабре: 👇
https://habr.com/ru/post/451678/
Из логов можно было получить весьма чувствительную информацию, включая ФИО, пол, даты рождения пациентов, ФИО врачей, стоимость исследований, данные исследований, файлы с результатами скрининга и многое другое.
Читайте детальное описание "находки" на Хабре: 👇
https://habr.com/ru/post/451678/
Хабр
Все ваши анализы в открытом доступе
И снова здравствуйте! У меня опять нашлась для вас открытая база с медицинскими данными. Напомню, что совсем недавно тут было три моих статьи на эту тему: утечка...
20-го апреля наша автоматизированная система DeviceLock Data Breach Intelligence выявила сервер с базой данных MongoDB не требующей пароля для подключения.
В базе данных содержался журнал доступа пользователей к информационной системе (ИС) редакции информационного агентства REGNUM (regnum.ru). Из логов можно было понять кто и когда создавал новостные записи и редактировал их.
Помимо логов, в базе содержалось 138 контактов сотрудников редакции в мессенджере Telergram.
Спустя почти 2 дня после нашего оповещения базу данных «тихо» прикрыли. 😎
В базе данных содержался журнал доступа пользователей к информационной системе (ИС) редакции информационного агентства REGNUM (regnum.ru). Из логов можно было понять кто и когда создавал новостные записи и редактировал их.
Помимо логов, в базе содержалось 138 контактов сотрудников редакции в мессенджере Telergram.
Спустя почти 2 дня после нашего оповещения базу данных «тихо» прикрыли. 😎
Forwarded from DeviceLock RU
Компания DeviceLock – российский производитель систем борьбы с утечками данных, анонсировала новый сервис - «разведку уязвимостей хранения данных», а также мониторинг мошеннических ресурсов и активностей в DarkNet. 🔥🔥🔥
Сервис работает на основе технологий искусственного интеллекта и осуществляет проверку внешней серверной инфраструктуры, а также выявление недостатков в реализации систем хранения информации. В рамках регулярных обследований проводится поиск серверов с текущими или архивными данными, журналами информационных систем, а также анализ обнаруженных данных с помощью механизмов машинного обучения на наличие в них чувствительной информации, включая персональные данные, информацию с признаками коммерческой тайны и другие. Кроме того, ИИ осуществляет постоянный мониторинг предложений о продаже данных в группах Telegram, на различных закрытых площадках и форумах, а также ресурсах в DarkNet. 👍
https://www.devicelock.com/ru/press/devicelock-sozdal-ii-dlya-razvedki-uyazvimostej-hraneniya-dannyh.html
Сервис работает на основе технологий искусственного интеллекта и осуществляет проверку внешней серверной инфраструктуры, а также выявление недостатков в реализации систем хранения информации. В рамках регулярных обследований проводится поиск серверов с текущими или архивными данными, журналами информационных систем, а также анализ обнаруженных данных с помощью механизмов машинного обучения на наличие в них чувствительной информации, включая персональные данные, информацию с признаками коммерческой тайны и другие. Кроме того, ИИ осуществляет постоянный мониторинг предложений о продаже данных в группах Telegram, на различных закрытых площадках и форумах, а также ресурсах в DarkNet. 👍
https://www.devicelock.com/ru/press/devicelock-sozdal-ii-dlya-razvedki-uyazvimostej-hraneniya-dannyh.html
Иван Бегтин, председатель Ассоциации участников рынков данных, и Ашот Оганесян, технический директор DeviceLock DLP, показали массовую информационную дырявость, как сайтов государственных структур, так и частного бизнеса.
Самым существенным недостатком выявленных уязвимостей является то, что никто не реагирует на выявляемые проблемы до тех пор, пока они не становятся публичными. Более того, Роскомнадзор, как регулятор, в ряде случаев (см. ниже) просто констатирует, что формального нарушения закона нет и то или иное раскрытие ПД правомерно.
https://roem.ru/15-05-2019/277716/techyot-reka-dolgo/
Самым существенным недостатком выявленных уязвимостей является то, что никто не реагирует на выявляемые проблемы до тех пор, пока они не становятся публичными. Более того, Роскомнадзор, как регулятор, в ряде случаев (см. ниже) просто констатирует, что формального нарушения закона нет и то или иное раскрытие ПД правомерно.
https://roem.ru/15-05-2019/277716/techyot-reka-dolgo/
roem.ru
MongoDB, Elastic, кривые руки программистов госструктур и законы открывают данные россиян злоумышленникам
Сотни тысяч записей с ПД клиентов коммерческих компаний и граждан, общающихся с государством, утекают через информационные системы частников и госорганов. // Роем в вашем Телеграме: https://telegram.me/roemru
Технические подробности этой утечки опубликуем позже, а пока заметка из Коммерсанта: 👇
Компания DeviceLock сообщила об обнаружении в открытом доступе базы данных сервиса по подбору туров «Слетать.ру».
Сейчас база закрыта, но ранее в ней были логины и пароли нескольких сотен подключенных к системе туристических агентств, паспортные данные клиентов и информация о билетах, а также не менее 11,7 тыс. клиентских e-mail.
По словам основателя и технического директора DeviceLock Ашота Оганесяна, 15 мая компания проинформировала об этом сервис, доступ к базе был закрыт в тот же день в промежутке между 11:00 и 15:00.
По словам господина Оганесяна, в базе были логины и пароли нескольких сотен подключенных к системе агентств, с которыми можно войти в личный кабинет агентства и получить доступ ко всем данным поездок, включая паспортные данные клиентов и данные билетов.
Кроме того, в ней содержатся данные транзакций по покупке туров, где также есть данные клиентов, информация о самих турах и их оплате, а также присутствуют минимум 11,7 тыс. адресов клиентских e-mail. Вся информация датируется мартом 2018-го — маем 2019 года.
https://www.kommersant.ru/doc/3968736
Компания DeviceLock сообщила об обнаружении в открытом доступе базы данных сервиса по подбору туров «Слетать.ру».
Сейчас база закрыта, но ранее в ней были логины и пароли нескольких сотен подключенных к системе туристических агентств, паспортные данные клиентов и информация о билетах, а также не менее 11,7 тыс. клиентских e-mail.
По словам основателя и технического директора DeviceLock Ашота Оганесяна, 15 мая компания проинформировала об этом сервис, доступ к базе был закрыт в тот же день в промежутке между 11:00 и 15:00.
По словам господина Оганесяна, в базе были логины и пароли нескольких сотен подключенных к системе агентств, с которыми можно войти в личный кабинет агентства и получить доступ ко всем данным поездок, включая паспортные данные клиентов и данные билетов.
Кроме того, в ней содержатся данные транзакций по покупке туров, где также есть данные клиентов, информация о самих турах и их оплате, а также присутствуют минимум 11,7 тыс. адресов клиентских e-mail. Вся информация датируется мартом 2018-го — маем 2019 года.
https://www.kommersant.ru/doc/3968736
Поскольку представители сервиса «Слетать.ру» начали выдавать в СМИ неадекватные комментарии, вынуждены привести первые пруфы в ввиде скриншотов аккаунта (видно, что и паспорт и загранпаспорт там есть) турагенства и куска лога из индекса graylog_56 (видно откуда логины и пароли взялись).
Комментарий «Слетать.ру»:
Руководитель компании Андрей Вершинин пояснил, что «Слетать.ру» предоставляет ряду крупнейших туроператоров-партнеров доступ к истории запросов в поисковой системе. И предположил, что DeviceLock получила его: «Однако в указанной базе нет паспортных данных туристов, логинов и паролей турагентств, платежных данных и т. д.». Андрей Вершинин отметил, что никаких доказательств столь серьезных обвинений «Слетать.ру» до сих пор не получила. «Сейчас пытаемся связаться с компанией DeviceLock. Полагаем, что это заказуха. Кому-то не нравится наш стремительный рост», – добавил он. "
Комментарий «Слетать.ру»:
Руководитель компании Андрей Вершинин пояснил, что «Слетать.ру» предоставляет ряду крупнейших туроператоров-партнеров доступ к истории запросов в поисковой системе. И предположил, что DeviceLock получила его: «Однако в указанной базе нет паспортных данных туристов, логинов и паролей турагентств, платежных данных и т. д.». Андрей Вершинин отметил, что никаких доказательств столь серьезных обвинений «Слетать.ру» до сих пор не получила. «Сейчас пытаемся связаться с компанией DeviceLock. Полагаем, что это заказуха. Кому-то не нравится наш стремительный рост», – добавил он. "
Обнаружили свободно доступный сервер Elasticsearch с данными саудовского пиратского стримингового сервиса «beoutQ SPORTS». 😂
В индексах Elasticsearch содержатся данные по активациям и подключения, в основном пользователей из Саудовской Аравии. Сам сервер с базой и связанный с ним другой сервер onthemoon.sx находятся в Москве. 😱
{
"_index": "beoutq_watch_list",
"_type": "main",
"_id": "70",
"_score": 1,
"_source": {
"id": 70,
"ip_address": null,
"mac_address": null,
"voucher_code": "efs5mhw6",
"last_request_history": {
"id": 225303,
"ip_address": "94.96.22.241",
"ip_info": {
"ip_from": "281472265098752",
"ip_to": "281472265099007",
"country_code": "SA",
"country_name": "Saudi Arabia",
"region_name": "Ash Sharqiyah",
"city_name": "Dhahran",
"latitude": "26.30324",
"longitude": "50.13528"
},
"request_card_id": 3357401,
"request_voucher_code": "efs5mhw6",
"request_mac_address": "02.A3.B5.11.CC.62",
"request_receiver_id": 1411005,
"response_status": true,
"method": "post",
"response": {
"status": "Successful",
"voucherId": "3357401",
"start": "2019-02-25",
"stop": "2020-02-25",
"message": "Your voucher has been activated"
},
"request": {
"action": "register",
"mac_address": "02.A3.B5.11.CC.62",
"voucher_code": "efs5mhw6"
},
"server": {
"TZ": "Europe/Moscow",
"REDIRECT_UNIQUE_ID": "XHP-Xt9pcWH8Eoed06pimgAAAAM",
"REDIRECT_SCRIPT_URL": "/t/service.php",
"REDIRECT_SCRIPT_URI": "https://onthemoon.sx/t/service.php",
"REDIRECT_HTTPS": "on",
"REDIRECT_HANDLER": "application/x-httpd-ea-php72",
"REDIRECT_STATUS": "200",
"UNIQUE_ID": "XHP-Xt9pcWH8Eoed06pimgAAAAM",
"SCRIPT_URL": "/t/service.php",
"SCRIPT_URI": "https://onthemoon.sx/t/service.php",
"HTTPS": "on",
"HTTP_HOST": "onthemoon.sx",
"HTTP_X_FORWARDED_HOST": "onthemoon.sx",
"HTTP_X_FORWARDED_PORT": "443",
"HTTP_X_FORWARDED_PROTO": "https",
"HTTP_X_FORWARDED_SERVER": "onthemoon.sx",
"HTTP_X_REAL_IP": "94.96.22.241",
"HTTP_WAF_COUNTRY_CODE": "SA",
"CONTENT_LENGTH": "54",
"HTTP_USER_AGENT": "DEVICE_IS_STB/MAC=02-A3-B5-11-CC-62_SERIAL=01011804397102_FINGERPRINT=FED4C6+20181214155240+v7.2.1345_APK=444:2.444_STB=v7.2.1345_IPLOC=192.168.1.108IPPUB=WIFI=[WIFI_#1_SSID:KHALID_BSSID:84:a9:c4:13:ec:58][WIFI_#2_SSID:mobilywifi_BSSID:84:a9:c4:13:ec:59][WIFI_#3_SSID:new_BSSID:e4:6f:13:65:43:82][WIFI_#4_SSID:TOTOLINK N302R Plus_BSSID:78:44:76:9e:bf:90][WIFI_#5_SSID:VIRES 2_BSSID:70:4f:57:8d:f6:5a][WIFI_#6_SSID:HomeBroadband_BSSID:d4:a1:48:0a:8d:f8][WIFI_#7_SSID:skp_BSSID:ec:cb:30:86:36:9d][WIFI_#8_SSID:hassan_BSSID:04:b1:67:05:1b:3b][WIFI_#9_SSID:Sealink Logistics_BSSID:88:bf:e4:04:50:ed][WIFI_#10_SSID:SAUD_BSSID:f8:35:dd:90:b4:0b][WIFI_#11_SSID:Mabrook_BSSID:e0:19:1d:d1:2a:d2][WIFI_#12_SSID:HP-Print-7E-LaserJet 1102_BSSID:9c:2a:70:2b:2b:7e][WIFI_#13_SSID:virus247_BSSID:30:b5:c2:0b:74:74][WIFI_#14_SSID:HP-Print-d9-LaserJet 200_BSSID:9c:d2:1e:05:0b:d9]COUNTER=0",
"CONTENT_TYPE": "application/x-www-form-urlencoded",
"HTTP_X_HTTPS": "1",
"PATH": "/usr/local/jdk/bin:/usr/kerberos/sbin:/usr/kerberos/bin:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/usr/X11R6/bin:/usr/local/bin:/usr/X11R6/bin:/root/bin:/opt/bin",
"SERVER_SIGNATURE": "",
"SERVER_SOFTWARE": "Apache",
"SERVER_NAME": "onthemoon.sx",
В индексах Elasticsearch содержатся данные по активациям и подключения, в основном пользователей из Саудовской Аравии. Сам сервер с базой и связанный с ним другой сервер onthemoon.sx находятся в Москве. 😱
{
"_index": "beoutq_watch_list",
"_type": "main",
"_id": "70",
"_score": 1,
"_source": {
"id": 70,
"ip_address": null,
"mac_address": null,
"voucher_code": "efs5mhw6",
"last_request_history": {
"id": 225303,
"ip_address": "94.96.22.241",
"ip_info": {
"ip_from": "281472265098752",
"ip_to": "281472265099007",
"country_code": "SA",
"country_name": "Saudi Arabia",
"region_name": "Ash Sharqiyah",
"city_name": "Dhahran",
"latitude": "26.30324",
"longitude": "50.13528"
},
"request_card_id": 3357401,
"request_voucher_code": "efs5mhw6",
"request_mac_address": "02.A3.B5.11.CC.62",
"request_receiver_id": 1411005,
"response_status": true,
"method": "post",
"response": {
"status": "Successful",
"voucherId": "3357401",
"start": "2019-02-25",
"stop": "2020-02-25",
"message": "Your voucher has been activated"
},
"request": {
"action": "register",
"mac_address": "02.A3.B5.11.CC.62",
"voucher_code": "efs5mhw6"
},
"server": {
"TZ": "Europe/Moscow",
"REDIRECT_UNIQUE_ID": "XHP-Xt9pcWH8Eoed06pimgAAAAM",
"REDIRECT_SCRIPT_URL": "/t/service.php",
"REDIRECT_SCRIPT_URI": "https://onthemoon.sx/t/service.php",
"REDIRECT_HTTPS": "on",
"REDIRECT_HANDLER": "application/x-httpd-ea-php72",
"REDIRECT_STATUS": "200",
"UNIQUE_ID": "XHP-Xt9pcWH8Eoed06pimgAAAAM",
"SCRIPT_URL": "/t/service.php",
"SCRIPT_URI": "https://onthemoon.sx/t/service.php",
"HTTPS": "on",
"HTTP_HOST": "onthemoon.sx",
"HTTP_X_FORWARDED_HOST": "onthemoon.sx",
"HTTP_X_FORWARDED_PORT": "443",
"HTTP_X_FORWARDED_PROTO": "https",
"HTTP_X_FORWARDED_SERVER": "onthemoon.sx",
"HTTP_X_REAL_IP": "94.96.22.241",
"HTTP_WAF_COUNTRY_CODE": "SA",
"CONTENT_LENGTH": "54",
"HTTP_USER_AGENT": "DEVICE_IS_STB/MAC=02-A3-B5-11-CC-62_SERIAL=01011804397102_FINGERPRINT=FED4C6+20181214155240+v7.2.1345_APK=444:2.444_STB=v7.2.1345_IPLOC=192.168.1.108IPPUB=WIFI=[WIFI_#1_SSID:KHALID_BSSID:84:a9:c4:13:ec:58][WIFI_#2_SSID:mobilywifi_BSSID:84:a9:c4:13:ec:59][WIFI_#3_SSID:new_BSSID:e4:6f:13:65:43:82][WIFI_#4_SSID:TOTOLINK N302R Plus_BSSID:78:44:76:9e:bf:90][WIFI_#5_SSID:VIRES 2_BSSID:70:4f:57:8d:f6:5a][WIFI_#6_SSID:HomeBroadband_BSSID:d4:a1:48:0a:8d:f8][WIFI_#7_SSID:skp_BSSID:ec:cb:30:86:36:9d][WIFI_#8_SSID:hassan_BSSID:04:b1:67:05:1b:3b][WIFI_#9_SSID:Sealink Logistics_BSSID:88:bf:e4:04:50:ed][WIFI_#10_SSID:SAUD_BSSID:f8:35:dd:90:b4:0b][WIFI_#11_SSID:Mabrook_BSSID:e0:19:1d:d1:2a:d2][WIFI_#12_SSID:HP-Print-7E-LaserJet 1102_BSSID:9c:2a:70:2b:2b:7e][WIFI_#13_SSID:virus247_BSSID:30:b5:c2:0b:74:74][WIFI_#14_SSID:HP-Print-d9-LaserJet 200_BSSID:9c:d2:1e:05:0b:d9]COUNTER=0",
"CONTENT_TYPE": "application/x-www-form-urlencoded",
"HTTP_X_HTTPS": "1",
"PATH": "/usr/local/jdk/bin:/usr/kerberos/sbin:/usr/kerberos/bin:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/usr/X11R6/bin:/usr/local/bin:/usr/X11R6/bin:/root/bin:/opt/bin",
"SERVER_SIGNATURE": "",
"SERVER_SOFTWARE": "Apache",
"SERVER_NAME": "onthemoon.sx",
13-го мая наша автоматизированная система DeviceLock Data Breach Intelligence (подробнее тут) обнаружила открытый сервер Elasticsearch с двумя индексами, содержащими логи Filebeat:
1️⃣ filebeat-6.6.2-2019.05.12
2️⃣ filebeat-6.6.2-2019.05.13
В процессе анализа логов выяснилось, что сервер принадлежит сервису promopult.ru (seopult.ru) и в них содержатся адреса электронной почты:
http://127.0.0.1:80/welcome.html?goal=%2Fitem_point_seo.html%3Fitem_id%3D10118645%23mr&email=XXX%40mail.ru&utm_campaign=email-userpoints&utm_term=%C2%AB%D0%9E%D1%82%D1%87%D0%B5%D1%82%D1%8B%C2%BB\", host: \"promopult.ru\"
Помимо адресов электронной почты были также обнаружены пары логин/пароль к сервису GetSale (getsale.io):
https://getsale.io/?email=info%40XXX.ru&password=XXX
А также транзакции платежных систем:
https://secure.tinkoff.ru/acs/auth/finish.do;jsessionid=XXXX52AB787784E85A3EF7C5D9D4813?sendSms=&lang=ru&acctId=XXXXvZ5GEkUxT7cBNhMPDWStpJ0i&password=6661
Всего в открытом доступе оказалось:
✅ 7 пар логин/пароль для GetSale
✅ около 20 тыс. (возможно повторяющихся) адресов электронной почты, включая более 1.5 тыс. адресов, отписавшихся от рассылки (https://promopult.ru/subscribe.html?op=unsubscribe&mail=XXX@mail.ru&key=XXXX4f48b57a395bfe7184f33e4549da).
✅ около 10 платежных транзакций.
13.05.2019 мы оповестили сервис о проблеме, однако сервер был убран из свободного доступа только 15.05.2019 около 16:00 (МСК). 🤦🏻♂️ За это время «засветилось» 3 индекса с логами:
1️⃣ filebeat-6.6.2-2019.05.12
2️⃣ filebeat-6.6.2-2019.05.13
3️⃣ filebeat-6.6.2-2019.05.14
Каждый индекс в среднем содержал более 300 тыс. записей.
По данным Shodan данный сервер впервые попал в открытый доступ 23.03.2019. 🤦♂️
1️⃣ filebeat-6.6.2-2019.05.12
2️⃣ filebeat-6.6.2-2019.05.13
В процессе анализа логов выяснилось, что сервер принадлежит сервису promopult.ru (seopult.ru) и в них содержатся адреса электронной почты:
http://127.0.0.1:80/welcome.html?goal=%2Fitem_point_seo.html%3Fitem_id%3D10118645%23mr&email=XXX%40mail.ru&utm_campaign=email-userpoints&utm_term=%C2%AB%D0%9E%D1%82%D1%87%D0%B5%D1%82%D1%8B%C2%BB\", host: \"promopult.ru\"
Помимо адресов электронной почты были также обнаружены пары логин/пароль к сервису GetSale (getsale.io):
https://getsale.io/?email=info%40XXX.ru&password=XXX
А также транзакции платежных систем:
https://secure.tinkoff.ru/acs/auth/finish.do;jsessionid=XXXX52AB787784E85A3EF7C5D9D4813?sendSms=&lang=ru&acctId=XXXXvZ5GEkUxT7cBNhMPDWStpJ0i&password=6661
Всего в открытом доступе оказалось:
✅ 7 пар логин/пароль для GetSale
✅ около 20 тыс. (возможно повторяющихся) адресов электронной почты, включая более 1.5 тыс. адресов, отписавшихся от рассылки (https://promopult.ru/subscribe.html?op=unsubscribe&mail=XXX@mail.ru&key=XXXX4f48b57a395bfe7184f33e4549da).
✅ около 10 платежных транзакций.
13.05.2019 мы оповестили сервис о проблеме, однако сервер был убран из свободного доступа только 15.05.2019 около 16:00 (МСК). 🤦🏻♂️ За это время «засветилось» 3 индекса с логами:
1️⃣ filebeat-6.6.2-2019.05.12
2️⃣ filebeat-6.6.2-2019.05.13
3️⃣ filebeat-6.6.2-2019.05.14
Каждый индекс в среднем содержал более 300 тыс. записей.
По данным Shodan данный сервер впервые попал в открытый доступ 23.03.2019. 🤦♂️
В последнее время очень много шума в СМИ вокруг утечек персональных данных граждан через государственные информационные системы.
Чтобы далеко не ходить и глубоко не искать, воспользуемся простейшим поисковым запросом в Google:
site:torgi.gov.ru паспорт серия
Для удобства можно кликнуть тут 😄
Enjoy 😎
Чтобы далеко не ходить и глубоко не искать, воспользуемся простейшим поисковым запросом в Google:
site:torgi.gov.ru паспорт серия
Для удобства можно кликнуть тут 😄
Enjoy 😎
Роскомнадзор сообщает, что в отношении городской больницы №3 г. Ижевска был составлен протокол об административном правонарушении.
При перевозке медицинских карт на утилизацию несколько из них выпало из автомобиля. 🚑
Это повлекло за собой риск неправомерного или случайного доступа к персональным данным третьими лицами.
При перевозке медицинских карт на утилизацию несколько из них выпало из автомобиля. 🚑
Это повлекло за собой риск неправомерного или случайного доступа к персональным данным третьими лицами.