Обнаружили свободно доступный сервер Elasticsearch с данными саудовского пиратского стримингового сервиса «beoutQ SPORTS». 😂
В индексах Elasticsearch содержатся данные по активациям и подключения, в основном пользователей из Саудовской Аравии. Сам сервер с базой и связанный с ним другой сервер onthemoon.sx находятся в Москве. 😱
{
"_index": "beoutq_watch_list",
"_type": "main",
"_id": "70",
"_score": 1,
"_source": {
"id": 70,
"ip_address": null,
"mac_address": null,
"voucher_code": "efs5mhw6",
"last_request_history": {
"id": 225303,
"ip_address": "94.96.22.241",
"ip_info": {
"ip_from": "281472265098752",
"ip_to": "281472265099007",
"country_code": "SA",
"country_name": "Saudi Arabia",
"region_name": "Ash Sharqiyah",
"city_name": "Dhahran",
"latitude": "26.30324",
"longitude": "50.13528"
},
"request_card_id": 3357401,
"request_voucher_code": "efs5mhw6",
"request_mac_address": "02.A3.B5.11.CC.62",
"request_receiver_id": 1411005,
"response_status": true,
"method": "post",
"response": {
"status": "Successful",
"voucherId": "3357401",
"start": "2019-02-25",
"stop": "2020-02-25",
"message": "Your voucher has been activated"
},
"request": {
"action": "register",
"mac_address": "02.A3.B5.11.CC.62",
"voucher_code": "efs5mhw6"
},
"server": {
"TZ": "Europe/Moscow",
"REDIRECT_UNIQUE_ID": "XHP-Xt9pcWH8Eoed06pimgAAAAM",
"REDIRECT_SCRIPT_URL": "/t/service.php",
"REDIRECT_SCRIPT_URI": "https://onthemoon.sx/t/service.php",
"REDIRECT_HTTPS": "on",
"REDIRECT_HANDLER": "application/x-httpd-ea-php72",
"REDIRECT_STATUS": "200",
"UNIQUE_ID": "XHP-Xt9pcWH8Eoed06pimgAAAAM",
"SCRIPT_URL": "/t/service.php",
"SCRIPT_URI": "https://onthemoon.sx/t/service.php",
"HTTPS": "on",
"HTTP_HOST": "onthemoon.sx",
"HTTP_X_FORWARDED_HOST": "onthemoon.sx",
"HTTP_X_FORWARDED_PORT": "443",
"HTTP_X_FORWARDED_PROTO": "https",
"HTTP_X_FORWARDED_SERVER": "onthemoon.sx",
"HTTP_X_REAL_IP": "94.96.22.241",
"HTTP_WAF_COUNTRY_CODE": "SA",
"CONTENT_LENGTH": "54",
"HTTP_USER_AGENT": "DEVICE_IS_STB/MAC=02-A3-B5-11-CC-62_SERIAL=01011804397102_FINGERPRINT=FED4C6+20181214155240+v7.2.1345_APK=444:2.444_STB=v7.2.1345_IPLOC=192.168.1.108IPPUB=WIFI=[WIFI_#1_SSID:KHALID_BSSID:84:a9:c4:13:ec:58][WIFI_#2_SSID:mobilywifi_BSSID:84:a9:c4:13:ec:59][WIFI_#3_SSID:new_BSSID:e4:6f:13:65:43:82][WIFI_#4_SSID:TOTOLINK N302R Plus_BSSID:78:44:76:9e:bf:90][WIFI_#5_SSID:VIRES 2_BSSID:70:4f:57:8d:f6:5a][WIFI_#6_SSID:HomeBroadband_BSSID:d4:a1:48:0a:8d:f8][WIFI_#7_SSID:skp_BSSID:ec:cb:30:86:36:9d][WIFI_#8_SSID:hassan_BSSID:04:b1:67:05:1b:3b][WIFI_#9_SSID:Sealink Logistics_BSSID:88:bf:e4:04:50:ed][WIFI_#10_SSID:SAUD_BSSID:f8:35:dd:90:b4:0b][WIFI_#11_SSID:Mabrook_BSSID:e0:19:1d:d1:2a:d2][WIFI_#12_SSID:HP-Print-7E-LaserJet 1102_BSSID:9c:2a:70:2b:2b:7e][WIFI_#13_SSID:virus247_BSSID:30:b5:c2:0b:74:74][WIFI_#14_SSID:HP-Print-d9-LaserJet 200_BSSID:9c:d2:1e:05:0b:d9]COUNTER=0",
"CONTENT_TYPE": "application/x-www-form-urlencoded",
"HTTP_X_HTTPS": "1",
"PATH": "/usr/local/jdk/bin:/usr/kerberos/sbin:/usr/kerberos/bin:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/usr/X11R6/bin:/usr/local/bin:/usr/X11R6/bin:/root/bin:/opt/bin",
"SERVER_SIGNATURE": "",
"SERVER_SOFTWARE": "Apache",
"SERVER_NAME": "onthemoon.sx",
В индексах Elasticsearch содержатся данные по активациям и подключения, в основном пользователей из Саудовской Аравии. Сам сервер с базой и связанный с ним другой сервер onthemoon.sx находятся в Москве. 😱
{
"_index": "beoutq_watch_list",
"_type": "main",
"_id": "70",
"_score": 1,
"_source": {
"id": 70,
"ip_address": null,
"mac_address": null,
"voucher_code": "efs5mhw6",
"last_request_history": {
"id": 225303,
"ip_address": "94.96.22.241",
"ip_info": {
"ip_from": "281472265098752",
"ip_to": "281472265099007",
"country_code": "SA",
"country_name": "Saudi Arabia",
"region_name": "Ash Sharqiyah",
"city_name": "Dhahran",
"latitude": "26.30324",
"longitude": "50.13528"
},
"request_card_id": 3357401,
"request_voucher_code": "efs5mhw6",
"request_mac_address": "02.A3.B5.11.CC.62",
"request_receiver_id": 1411005,
"response_status": true,
"method": "post",
"response": {
"status": "Successful",
"voucherId": "3357401",
"start": "2019-02-25",
"stop": "2020-02-25",
"message": "Your voucher has been activated"
},
"request": {
"action": "register",
"mac_address": "02.A3.B5.11.CC.62",
"voucher_code": "efs5mhw6"
},
"server": {
"TZ": "Europe/Moscow",
"REDIRECT_UNIQUE_ID": "XHP-Xt9pcWH8Eoed06pimgAAAAM",
"REDIRECT_SCRIPT_URL": "/t/service.php",
"REDIRECT_SCRIPT_URI": "https://onthemoon.sx/t/service.php",
"REDIRECT_HTTPS": "on",
"REDIRECT_HANDLER": "application/x-httpd-ea-php72",
"REDIRECT_STATUS": "200",
"UNIQUE_ID": "XHP-Xt9pcWH8Eoed06pimgAAAAM",
"SCRIPT_URL": "/t/service.php",
"SCRIPT_URI": "https://onthemoon.sx/t/service.php",
"HTTPS": "on",
"HTTP_HOST": "onthemoon.sx",
"HTTP_X_FORWARDED_HOST": "onthemoon.sx",
"HTTP_X_FORWARDED_PORT": "443",
"HTTP_X_FORWARDED_PROTO": "https",
"HTTP_X_FORWARDED_SERVER": "onthemoon.sx",
"HTTP_X_REAL_IP": "94.96.22.241",
"HTTP_WAF_COUNTRY_CODE": "SA",
"CONTENT_LENGTH": "54",
"HTTP_USER_AGENT": "DEVICE_IS_STB/MAC=02-A3-B5-11-CC-62_SERIAL=01011804397102_FINGERPRINT=FED4C6+20181214155240+v7.2.1345_APK=444:2.444_STB=v7.2.1345_IPLOC=192.168.1.108IPPUB=WIFI=[WIFI_#1_SSID:KHALID_BSSID:84:a9:c4:13:ec:58][WIFI_#2_SSID:mobilywifi_BSSID:84:a9:c4:13:ec:59][WIFI_#3_SSID:new_BSSID:e4:6f:13:65:43:82][WIFI_#4_SSID:TOTOLINK N302R Plus_BSSID:78:44:76:9e:bf:90][WIFI_#5_SSID:VIRES 2_BSSID:70:4f:57:8d:f6:5a][WIFI_#6_SSID:HomeBroadband_BSSID:d4:a1:48:0a:8d:f8][WIFI_#7_SSID:skp_BSSID:ec:cb:30:86:36:9d][WIFI_#8_SSID:hassan_BSSID:04:b1:67:05:1b:3b][WIFI_#9_SSID:Sealink Logistics_BSSID:88:bf:e4:04:50:ed][WIFI_#10_SSID:SAUD_BSSID:f8:35:dd:90:b4:0b][WIFI_#11_SSID:Mabrook_BSSID:e0:19:1d:d1:2a:d2][WIFI_#12_SSID:HP-Print-7E-LaserJet 1102_BSSID:9c:2a:70:2b:2b:7e][WIFI_#13_SSID:virus247_BSSID:30:b5:c2:0b:74:74][WIFI_#14_SSID:HP-Print-d9-LaserJet 200_BSSID:9c:d2:1e:05:0b:d9]COUNTER=0",
"CONTENT_TYPE": "application/x-www-form-urlencoded",
"HTTP_X_HTTPS": "1",
"PATH": "/usr/local/jdk/bin:/usr/kerberos/sbin:/usr/kerberos/bin:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/usr/X11R6/bin:/usr/local/bin:/usr/X11R6/bin:/root/bin:/opt/bin",
"SERVER_SIGNATURE": "",
"SERVER_SOFTWARE": "Apache",
"SERVER_NAME": "onthemoon.sx",
13-го мая наша автоматизированная система DeviceLock Data Breach Intelligence (подробнее тут) обнаружила открытый сервер Elasticsearch с двумя индексами, содержащими логи Filebeat:
1️⃣ filebeat-6.6.2-2019.05.12
2️⃣ filebeat-6.6.2-2019.05.13
В процессе анализа логов выяснилось, что сервер принадлежит сервису promopult.ru (seopult.ru) и в них содержатся адреса электронной почты:
http://127.0.0.1:80/welcome.html?goal=%2Fitem_point_seo.html%3Fitem_id%3D10118645%23mr&email=XXX%40mail.ru&utm_campaign=email-userpoints&utm_term=%C2%AB%D0%9E%D1%82%D1%87%D0%B5%D1%82%D1%8B%C2%BB\", host: \"promopult.ru\"
Помимо адресов электронной почты были также обнаружены пары логин/пароль к сервису GetSale (getsale.io):
https://getsale.io/?email=info%40XXX.ru&password=XXX
А также транзакции платежных систем:
https://secure.tinkoff.ru/acs/auth/finish.do;jsessionid=XXXX52AB787784E85A3EF7C5D9D4813?sendSms=&lang=ru&acctId=XXXXvZ5GEkUxT7cBNhMPDWStpJ0i&password=6661
Всего в открытом доступе оказалось:
✅ 7 пар логин/пароль для GetSale
✅ около 20 тыс. (возможно повторяющихся) адресов электронной почты, включая более 1.5 тыс. адресов, отписавшихся от рассылки (https://promopult.ru/subscribe.html?op=unsubscribe&mail=XXX@mail.ru&key=XXXX4f48b57a395bfe7184f33e4549da).
✅ около 10 платежных транзакций.
13.05.2019 мы оповестили сервис о проблеме, однако сервер был убран из свободного доступа только 15.05.2019 около 16:00 (МСК). 🤦🏻♂️ За это время «засветилось» 3 индекса с логами:
1️⃣ filebeat-6.6.2-2019.05.12
2️⃣ filebeat-6.6.2-2019.05.13
3️⃣ filebeat-6.6.2-2019.05.14
Каждый индекс в среднем содержал более 300 тыс. записей.
По данным Shodan данный сервер впервые попал в открытый доступ 23.03.2019. 🤦♂️
1️⃣ filebeat-6.6.2-2019.05.12
2️⃣ filebeat-6.6.2-2019.05.13
В процессе анализа логов выяснилось, что сервер принадлежит сервису promopult.ru (seopult.ru) и в них содержатся адреса электронной почты:
http://127.0.0.1:80/welcome.html?goal=%2Fitem_point_seo.html%3Fitem_id%3D10118645%23mr&email=XXX%40mail.ru&utm_campaign=email-userpoints&utm_term=%C2%AB%D0%9E%D1%82%D1%87%D0%B5%D1%82%D1%8B%C2%BB\", host: \"promopult.ru\"
Помимо адресов электронной почты были также обнаружены пары логин/пароль к сервису GetSale (getsale.io):
https://getsale.io/?email=info%40XXX.ru&password=XXX
А также транзакции платежных систем:
https://secure.tinkoff.ru/acs/auth/finish.do;jsessionid=XXXX52AB787784E85A3EF7C5D9D4813?sendSms=&lang=ru&acctId=XXXXvZ5GEkUxT7cBNhMPDWStpJ0i&password=6661
Всего в открытом доступе оказалось:
✅ 7 пар логин/пароль для GetSale
✅ около 20 тыс. (возможно повторяющихся) адресов электронной почты, включая более 1.5 тыс. адресов, отписавшихся от рассылки (https://promopult.ru/subscribe.html?op=unsubscribe&mail=XXX@mail.ru&key=XXXX4f48b57a395bfe7184f33e4549da).
✅ около 10 платежных транзакций.
13.05.2019 мы оповестили сервис о проблеме, однако сервер был убран из свободного доступа только 15.05.2019 около 16:00 (МСК). 🤦🏻♂️ За это время «засветилось» 3 индекса с логами:
1️⃣ filebeat-6.6.2-2019.05.12
2️⃣ filebeat-6.6.2-2019.05.13
3️⃣ filebeat-6.6.2-2019.05.14
Каждый индекс в среднем содержал более 300 тыс. записей.
По данным Shodan данный сервер впервые попал в открытый доступ 23.03.2019. 🤦♂️
В последнее время очень много шума в СМИ вокруг утечек персональных данных граждан через государственные информационные системы.
Чтобы далеко не ходить и глубоко не искать, воспользуемся простейшим поисковым запросом в Google:
site:torgi.gov.ru паспорт серия
Для удобства можно кликнуть тут 😄
Enjoy 😎
Чтобы далеко не ходить и глубоко не искать, воспользуемся простейшим поисковым запросом в Google:
site:torgi.gov.ru паспорт серия
Для удобства можно кликнуть тут 😄
Enjoy 😎
Роскомнадзор сообщает, что в отношении городской больницы №3 г. Ижевска был составлен протокол об административном правонарушении.
При перевозке медицинских карт на утилизацию несколько из них выпало из автомобиля. 🚑
Это повлекло за собой риск неправомерного или случайного доступа к персональным данным третьими лицами.
При перевозке медицинских карт на утилизацию несколько из них выпало из автомобиля. 🚑
Это повлекло за собой риск неправомерного или случайного доступа к персональным данным третьими лицами.
Как вам хорошо известно из наших постов, часто в открытых базах данных (особенно в индексах Elasticsearch) содержатся не только персональные и иные чувствительные данные, но и токены авторизации, ключи и логины/пароли к различным сервисам. 😎
Мы решили провести ретроспективный анализ всех найденных нами с начала этого года открытых баз, которые в данный момент уже не находятся в свободном доступе и где были обнаружены токены, логины/пароли и ключи.
Наша цель – узнать, а предпринимались ли владельцами этих баз реальные меры по защите данных (чаще всего это данные клиентов сервисов, допустивших утечку) или все дело ограничилось закрытием внешнего доступа к серверам.
Сначала те, кто предпринял реальные меры и сменил пароли/токены/ключи: 👍
✅ promopult.ru (https://t.me/dataleak/1037) – сменили пароли от «засвеченных» аккаунтов GetSale.io
✅ zvonok.com (https://t.me/dataleak/922) – прикрыли доступ к «засвеченным» аккаунтам пользователей и их звонкам
✅ barameo.ru (https://t.me/dataleak/1006) – прикрыли все «засвеченные» URL с персональными данными
✅ radario.ru (https://t.me/dataleak/1012) – прикрыли доступ к «засвеченным» билетам
Теперь те, кто просто закрыл доступ к своим серверам извне, оставив «засвеченные» пароли/токены/ключи неизменными: 🤦♂️🤦🏻♂️🙈
❗️ mann-ivanov-ferber.ru (https://t.me/dataleak/998) – токены на доступ к книгам работают, как работали.
❗️ isramedportal.ru (https://t.me/dataleak/1003) – логины/пароли юзеров работают, как работали.
❗️ sletat.ru (https://t.me/dataleak/1028) – логины/пароли турагентств работают, как работали и это не удивительно – руководство сервиса считает, что ничего в открытый доступ не попадало. 😂
❗️ rinsurance.ru (https://t.me/dataleak/1042) - ключ для сервиса SMS.RU по-прежнему работает, можно от имени rinsurance.ru рассылать СМС на любые номера телефонов.
Мы решили провести ретроспективный анализ всех найденных нами с начала этого года открытых баз, которые в данный момент уже не находятся в свободном доступе и где были обнаружены токены, логины/пароли и ключи.
Наша цель – узнать, а предпринимались ли владельцами этих баз реальные меры по защите данных (чаще всего это данные клиентов сервисов, допустивших утечку) или все дело ограничилось закрытием внешнего доступа к серверам.
Сначала те, кто предпринял реальные меры и сменил пароли/токены/ключи: 👍
✅ promopult.ru (https://t.me/dataleak/1037) – сменили пароли от «засвеченных» аккаунтов GetSale.io
✅ zvonok.com (https://t.me/dataleak/922) – прикрыли доступ к «засвеченным» аккаунтам пользователей и их звонкам
✅ barameo.ru (https://t.me/dataleak/1006) – прикрыли все «засвеченные» URL с персональными данными
✅ radario.ru (https://t.me/dataleak/1012) – прикрыли доступ к «засвеченным» билетам
Теперь те, кто просто закрыл доступ к своим серверам извне, оставив «засвеченные» пароли/токены/ключи неизменными: 🤦♂️🤦🏻♂️🙈
❗️ mann-ivanov-ferber.ru (https://t.me/dataleak/998) – токены на доступ к книгам работают, как работали.
❗️ isramedportal.ru (https://t.me/dataleak/1003) – логины/пароли юзеров работают, как работали.
❗️ sletat.ru (https://t.me/dataleak/1028) – логины/пароли турагентств работают, как работали и это не удивительно – руководство сервиса считает, что ничего в открытый доступ не попадало. 😂
❗️ rinsurance.ru (https://t.me/dataleak/1042) - ключ для сервиса SMS.RU по-прежнему работает, можно от имени rinsurance.ru рассылать СМС на любые номера телефонов.
Утром 24 апреля система DeviceLock Data Breach Intelligence (подробнее тут) обнаружила базу данных MongoDB не требующую аутентификации для подключения.
В базе, с именем bso (БСО - бланк строгой отчетности), размером 107.2 Мб находилось более 274 тыс. записей, содержащих персональные данные клиентов страхового агентства «Reimers Insurance» (rinsurance.ru).
Основную часть обнаруженных данных составляла информация о владельцах, застрахованных автомобилей (всего 54824 записей, из них 4731 - Москва): 🔥🔥
✅ ФИО страхователя
✅ марка/модель автомобиля (например, «Mercedes-Benz ML350»)
✅ мобильный телефон страхователя
✅ адрес электронной почты страхователя
✅ адрес страхователя
Помимо данных клиентов в базе находилось:
✅ 245 пользователей системы (страховых агентов, продающих страховки): ФИО, дата рождения, департамент, номер договора, логин, хеш пароля и соль
✅ 15056 актов: ФИО страховых агентов, дата, номер договора, список БСО
✅ 89349 номеров страховых полисов (БСО): номер полиса (например, ЕЕЕ №038360XXXX), название страховой компании (например, ОАО "АльфаСтрахование"), имя/фамилия агента, размер страховой премии, ссылка на страхователя (см. выше) 🤦🏻♂️🤦♂️
✅ Большое количество внутренней информации (платежные ведомости, список сотрудников по департаментам, возвраты полисов, взаиморасчеты со страховыми компаниями и т.п.)
Кроме того, в открытом доступе были обнаружены ключи к amoCRM:
"amoKey" : "XXXXXX575f391597336990b008XXXXXX"
и к сервису SMS.ru:
"smsRUKey" : "XXXXXXA3-1306-B483-B185-D75EAEXXXXXX"
Ключ работающий, можно отправить любое СМС на любой номер телефона от имени абонента «Rinsurance». 👍
Мы оповестили компанию «Reimers Insurance» в 9:05 (МСК) и повторно связались с ними в 16:15 через компанию «amoCRM» (там нам подтвердили подлинность ключа продукта). Только после второго оповещения, примерно в 17:00 база была закрыта, а мы получили вот такое сообщение от страхового агенства: 😂
Это какая-то старая база на личном серваке нашего программиста. Нужно её скрыть конечно. Ещё раз благодарю.
Насчет «старая база» - 34712 полисов датированы 2018 и 2019 годом. 😎
По данным Shodan данный сервер впервые попал в открытый доступ 19.04.2019.
В базе, с именем bso (БСО - бланк строгой отчетности), размером 107.2 Мб находилось более 274 тыс. записей, содержащих персональные данные клиентов страхового агентства «Reimers Insurance» (rinsurance.ru).
Основную часть обнаруженных данных составляла информация о владельцах, застрахованных автомобилей (всего 54824 записей, из них 4731 - Москва): 🔥🔥
✅ ФИО страхователя
✅ марка/модель автомобиля (например, «Mercedes-Benz ML350»)
✅ мобильный телефон страхователя
✅ адрес электронной почты страхователя
✅ адрес страхователя
Помимо данных клиентов в базе находилось:
✅ 245 пользователей системы (страховых агентов, продающих страховки): ФИО, дата рождения, департамент, номер договора, логин, хеш пароля и соль
✅ 15056 актов: ФИО страховых агентов, дата, номер договора, список БСО
✅ 89349 номеров страховых полисов (БСО): номер полиса (например, ЕЕЕ №038360XXXX), название страховой компании (например, ОАО "АльфаСтрахование"), имя/фамилия агента, размер страховой премии, ссылка на страхователя (см. выше) 🤦🏻♂️🤦♂️
✅ Большое количество внутренней информации (платежные ведомости, список сотрудников по департаментам, возвраты полисов, взаиморасчеты со страховыми компаниями и т.п.)
Кроме того, в открытом доступе были обнаружены ключи к amoCRM:
"amoKey" : "XXXXXX575f391597336990b008XXXXXX"
и к сервису SMS.ru:
"smsRUKey" : "XXXXXXA3-1306-B483-B185-D75EAEXXXXXX"
Ключ работающий, можно отправить любое СМС на любой номер телефона от имени абонента «Rinsurance». 👍
Мы оповестили компанию «Reimers Insurance» в 9:05 (МСК) и повторно связались с ними в 16:15 через компанию «amoCRM» (там нам подтвердили подлинность ключа продукта). Только после второго оповещения, примерно в 17:00 база была закрыта, а мы получили вот такое сообщение от страхового агенства: 😂
Это какая-то старая база на личном серваке нашего программиста. Нужно её скрыть конечно. Ещё раз благодарю.
Насчет «старая база» - 34712 полисов датированы 2018 и 2019 годом. 😎
По данным Shodan данный сервер впервые попал в открытый доступ 19.04.2019.
Пример СМС от имени «Rinsurance» для проверки работоспособности ключа SMS.ru.
Завтра (21-го мая) в рамках международного форума по практической безопасности «Positive Hack Days 9» состоится доклад Ашота Оганесяна, основателя и технического директора DeviceLock, на тему «Как обнаруживают открытые базы данных MongoDB и Elasticsearch с персональными данными»: 👇
https://www.phdays.com/ru/program/reports/compromising-publicly-available-databases/
Начало доклада запланировано на 12:30. 👍
https://www.phdays.com/ru/program/reports/compromising-publicly-available-databases/
Начало доклада запланировано на 12:30. 👍
🔥 https://habr.com/ru/post/452698/
Обещанные ранее (https://t.me/dataleak/1028) технические подробности утечки данных из сервиса «Слетать.ру», читайте в новой статье на Хабре. 👆
Вкратце:
✅ из свободно доступных индексов можно было получить тысячи (11,7 тыс. включая дубли) адресов электронной почты, некоторую платежную информацию (стоимость туров) и данные тур поездок (когда, куда, данные авиабилетов всех вписанных в тур путешественников и т.п.) в количестве около 1,8 тыс. записей, а также сотни логинов и паролей турагентств в текстовом виде.
✅ из личных кабинетов турагентств можно было получить данные их клиентов, включая номера паспортов, загранпаспортов, даты рождения, ФИО, телефоны и адреса электронной почты.
Про кейс с «Радарио» мы уже писали тут, но не лишним будет повторить. 😎
Обещанные ранее (https://t.me/dataleak/1028) технические подробности утечки данных из сервиса «Слетать.ру», читайте в новой статье на Хабре. 👆
Вкратце:
✅ из свободно доступных индексов можно было получить тысячи (11,7 тыс. включая дубли) адресов электронной почты, некоторую платежную информацию (стоимость туров) и данные тур поездок (когда, куда, данные авиабилетов всех вписанных в тур путешественников и т.п.) в количестве около 1,8 тыс. записей, а также сотни логинов и паролей турагентств в текстовом виде.
✅ из личных кабинетов турагентств можно было получить данные их клиентов, включая номера паспортов, загранпаспортов, даты рождения, ФИО, телефоны и адреса электронной почты.
Про кейс с «Радарио» мы уже писали тут, но не лишним будет повторить. 😎
Хабр
Два в одном: данные туристов и билеты на культурные мероприятия находились в открытом доступе
Сегодня рассмотрим сразу два кейса – данные клиентов и партнеров двух совершенно разных компаний оказались в свободном доступе «благодаря» открытым серверам Elas...
Вчера по СМИ прошла «новость» о том, что в открытый доступ попали данные почти 50 млн. пользователей Instagram, в основном известных людей, и блогеров, а также брендов. База данных с номерами телефонов и адресами электронной почты оказалась в свободном доступе на сервисе Amazon.
Наш любимый Роскомнадзор немедленно заявил, что направит в Instagram запрос по этой «утечке» данных. Ну конечно, других утечек (без кавычек) у нас тут нет! Надо заниматься псевдо-утечками публичных данных из профилей социальной сети. 🤦♂️🤦🏻♂️
Ну раз нашим СМИ и Роскомнадзору так нравятся «утечки», а заниматься реальными утечками им не интересно, то можем подкинуть им открытую базу с данными русскоязычных блогеров все того же Instagram. 😎
Свободно доступный сервер Elasticsearch с двумя индексами influencers_staging и influencers находится в открытом доступе минимум с 22.06.2018.
В каждом из индексов более 200 тыс. записей с информацией по Instagram-блогерам:
✅ ник
✅ имя профиля
✅ ссылка на картинку
✅ количество подписчиков
✅ статистика по аудитории (пол, возраст, география и т.п.)
✅ адрес электронной почты
✅ цены на рекламу
✅ статистика по просмотрам и лайкам
✅ и многое другое.
Сервер предположительно принадлежит маркетинговому агентству Zorka.Mobi.
Наш любимый Роскомнадзор немедленно заявил, что направит в Instagram запрос по этой «утечке» данных. Ну конечно, других утечек (без кавычек) у нас тут нет! Надо заниматься псевдо-утечками публичных данных из профилей социальной сети. 🤦♂️🤦🏻♂️
Ну раз нашим СМИ и Роскомнадзору так нравятся «утечки», а заниматься реальными утечками им не интересно, то можем подкинуть им открытую базу с данными русскоязычных блогеров все того же Instagram. 😎
Свободно доступный сервер Elasticsearch с двумя индексами influencers_staging и influencers находится в открытом доступе минимум с 22.06.2018.
В каждом из индексов более 200 тыс. записей с информацией по Instagram-блогерам:
✅ ник
✅ имя профиля
✅ ссылка на картинку
✅ количество подписчиков
✅ статистика по аудитории (пол, возраст, география и т.п.)
✅ адрес электронной почты
✅ цены на рекламу
✅ статистика по просмотрам и лайкам
✅ и многое другое.
Сервер предположительно принадлежит маркетинговому агентству Zorka.Mobi.
Уже больше месяца наблюдаем в свободном доступе сервер Elasticsearch с данными портала поиска и подключения к интернет-провайдерам - «InetMe» (www.inetme.ru). 😎
Shodan впервые зафиксировал этот Elasticsearch аж 01.01.2018! 🤦🏻♂️
На сервере находятся два значимых индекса: coverage (745643 документов) и logs (612123 документов сейчас, 541449 – больше месяца назад).
В coverage содержится информация о том, какой провайдер доступен по какому адресу в каком городе (список городов есть у них на сайте):
"_index": "coverage",
"_type": "addrs",
"_source": {
"providerId": "420",
"addr": "г. КАЗАНЬ,ул. ГУДОВАНЦЕВА,1"
}
А индекс logs (как обычно это бывает с логами 😂) представляет куда больший интерес – тут собраны все заявки на подключение к интернету, которые посетители портала оставляли через форму на сайте:
{
"_index": "logs",
"_type": "data",
"created": "2019-04-16T07:28:27",
"description": "Saving an email\nORDER_ID: 325388\nSUBJECT: \nBODY: ДИЛЕР *ИП Старковски*\r\nАдрес: Бурятия Респ г. Улан-Удэ ул. Ермаковская дом XXX кв XXX\r\nФИО: XXX XXX Эрдыниевна\r\nКонтактный телефон: +7-964-XXX-XX-XX \nДополн. телефон: \r\nУслуги: Для впечатлений\r\nКомментарий: \nFROM: null\nTO: XXX@gmail.com",
}
Всего около 3 тыс. таких заявок, начиная с 21.07.2018 и по сегодняшний день. 🙈
Shodan впервые зафиксировал этот Elasticsearch аж 01.01.2018! 🤦🏻♂️
На сервере находятся два значимых индекса: coverage (745643 документов) и logs (612123 документов сейчас, 541449 – больше месяца назад).
В coverage содержится информация о том, какой провайдер доступен по какому адресу в каком городе (список городов есть у них на сайте):
"_index": "coverage",
"_type": "addrs",
"_source": {
"providerId": "420",
"addr": "г. КАЗАНЬ,ул. ГУДОВАНЦЕВА,1"
}
А индекс logs (как обычно это бывает с логами 😂) представляет куда больший интерес – тут собраны все заявки на подключение к интернету, которые посетители портала оставляли через форму на сайте:
{
"_index": "logs",
"_type": "data",
"created": "2019-04-16T07:28:27",
"description": "Saving an email\nORDER_ID: 325388\nSUBJECT: \nBODY: ДИЛЕР *ИП Старковски*\r\nАдрес: Бурятия Респ г. Улан-Удэ ул. Ермаковская дом XXX кв XXX\r\nФИО: XXX XXX Эрдыниевна\r\nКонтактный телефон: +7-964-XXX-XX-XX \nДополн. телефон: \r\nУслуги: Для впечатлений\r\nКомментарий: \nFROM: null\nTO: XXX@gmail.com",
}
Всего около 3 тыс. таких заявок, начиная с 21.07.2018 и по сегодняшний день. 🙈
Forwarded from DeviceLock RU
Авторская колонка в Форбс основателя и технического директора DeviceLock Ашота Оганесяна: 👇
https://www.forbes.ru/tehnologii/376499-bolezn-cifrovogo-mira-kak-zashchititsya-ot-utechek-personalnyh-dannyh
Каждую неделю появляются новости о том, что злоумышленники получили доступ к данным тысяч, а то и миллионов клиентов очередной компании. Есть ли прививка от этой напасти?
https://www.forbes.ru/tehnologii/376499-bolezn-cifrovogo-mira-kak-zashchititsya-ot-utechek-personalnyh-dannyh
Каждую неделю появляются новости о том, что злоумышленники получили доступ к данным тысяч, а то и миллионов клиентов очередной компании. Есть ли прививка от этой напасти?
Forbes.ru
Болезнь цифрового мира: как защититься от утечек персональных данных
Каждую неделю появляются новости о том, что злоумышленники получили доступ к данным тысяч, а то и миллионов клиентов очередной компании. Есть ли прививка от этой напасти?
Хакеры из KelvinSecTeam заявили, что они обнаружили записи звонков колл-центра оператора Мегафон.
Файлы в wav-формате были свободно доступны через веб-браузер по URL: http://5.59.141.13:8080/rec_incoming_call-center/
По нашему мнению, это никакой не колл-центр Мегафона, а база звонков какой-то службы такси, что косвенно подтверждается не только содержимым звонков, но и набором PHP-страниц, находившихся на этом же сервере. 😎
Сервер 5.59.141.13 с открытым портом 8080 находился в свободном доступе с 24.10.2017. 😂
Файлы в wav-формате были свободно доступны через веб-браузер по URL: http://5.59.141.13:8080/rec_incoming_call-center/
По нашему мнению, это никакой не колл-центр Мегафона, а база звонков какой-то службы такси, что косвенно подтверждается не только содержимым звонков, но и набором PHP-страниц, находившихся на этом же сервере. 😎
Сервер 5.59.141.13 с открытым портом 8080 находился в свободном доступе с 24.10.2017. 😂
Читатель канала прислал дополнительную информацию по «утечке из Мегафона», которая на самом деле утечка из службы такси «Али такси» (https://play.google.com/store/apps/details?id=ru.alitaxi.app&hl=ru).
Сервер таксистов снова заработал и их колл-центр принимает звонки, за которыми можно наблюдать тут: 😂👍
http://5.59.141.13:8080/queue_callcenter.php
Сервер таксистов снова заработал и их колл-центр принимает звонки, за которыми можно наблюдать тут: 😂👍
http://5.59.141.13:8080/queue_callcenter.php
Когда белки-истерички, не сильно разбирающиеся в теме, пытаются писать про утечки, получается не очень. 😂 За утечки принимаются свободно доступные данные, но полученные не через поисковик типа Google, а немного извращенным способом. В данном случае речь идет про пост в Telegram-канале «Сайберсекьюрити и Ко» под названием «ГосУслуги — документы в открытом доступе»: https://telegra.ph/Vnutrennie-dokumenty-portala-GosUslugi-okazalis-v-otkrytom-dostupe-05-23.
Что мы имеем по факту – 13-го мая якобы украинские хакеры (про них писалось тут https://t.me/dataleak/926) написали про данную «утечку»: https://telegra.ph/Atakovano-sajt-derzhposlug-RF-05-12.
Эти мамкины хакеры неоднократно попадались на том, что принимали за утечки свободно доступные (https://t.me/dataleak/975) и даже тестовые данные (https://t.me/dataleak/946). Уже никто из специалистов не «покупается» на их находки. Но в среде истеричных блогеров видимо они еще обладают определенным авторитетом. 🤦♂️
Что мы имеем по факту – 13-го мая якобы украинские хакеры (про них писалось тут https://t.me/dataleak/926) написали про данную «утечку»: https://telegra.ph/Atakovano-sajt-derzhposlug-RF-05-12.
Эти мамкины хакеры неоднократно попадались на том, что принимали за утечки свободно доступные (https://t.me/dataleak/975) и даже тестовые данные (https://t.me/dataleak/946). Уже никто из специалистов не «покупается» на их находки. Но в среде истеричных блогеров видимо они еще обладают определенным авторитетом. 🤦♂️
В Уфе начато расследование уголовного дела в отношении 31-летней сотрудницы банка.
Женщина скопировала данные клиентов и отправила их себе на почту. 🤦♂️🤦🏻♂️ Позже она передала эти данные сотруднику другого банка.
За разглашение сведений, составляющих банковскую тайну, бывшей сотруднице банка грозит наказание либо в виде штрафа, принудительных работ, либо, в самом крайнем случае - лишения свободы.
Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: 👇
https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html
Женщина скопировала данные клиентов и отправила их себе на почту. 🤦♂️🤦🏻♂️ Позже она передала эти данные сотруднику другого банка.
За разглашение сведений, составляющих банковскую тайну, бывшей сотруднице банка грозит наказание либо в виде штрафа, принудительных работ, либо, в самом крайнем случае - лишения свободы.
Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: 👇
https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html
Киберпротект
Кибер Протего | Киберпротект
DLP-система Кибер Протего предотвращает утечку конфиденциальной информации, контролирует передачу данных и позволяет обнаруживать нарушения политики их хранения.
Суд принял решение отправить под арест начальника отдела по расследованию дорожно-транспортных происшествий СУ УМВД России по г. Омску Алексея Липина.
По данным Следственного комитета, в отношении Алексея Липина заведено уголовное дело по ч.2, ч.3 ст. 290 УК РФ (получение взятки).
Липин передавал своему знакомому адвокату персональные данные омичей, пострадавших в ДТП, а самих потерпевших убеждал обратиться за оказанием юридической помощи именно к этому адвокату.
По данным Следственного комитета, в отношении Алексея Липина заведено уголовное дело по ч.2, ч.3 ст. 290 УК РФ (получение взятки).
Липин передавал своему знакомому адвокату персональные данные омичей, пострадавших в ДТП, а самих потерпевших убеждал обратиться за оказанием юридической помощи именно к этому адвокату.
Мамкины хакеры из THack3forU подбросили список работающих URL с сайта межведомственного электронного взаимодействия (smev.gosuslugi.ru). Ничего интересного по ссылкам найти не удалось – обычные распоряжения правительства, образцы заявок на доступ, руководства пользователей и т.п. документы, не содержащие никакой критичной информации.
Однако, для истеричных блогеров (https://t.me/dataleak/1051) это может быть неплохим кормом: 😂
http://smev.gosuslugi.ru/portal/api/files/get/000423
http://smev.gosuslugi.ru/portal/api/files/get/000424
http://smev.gosuslugi.ru/portal/api/files/get/000425
http://smev.gosuslugi.ru/portal/api/files/get/000426
(полный список можно скачать тут: https://t.me/ukraine_matrix/133)
Однако, для истеричных блогеров (https://t.me/dataleak/1051) это может быть неплохим кормом: 😂
http://smev.gosuslugi.ru/portal/api/files/get/000423
http://smev.gosuslugi.ru/portal/api/files/get/000424
http://smev.gosuslugi.ru/portal/api/files/get/000425
http://smev.gosuslugi.ru/portal/api/files/get/000426
(полный список можно скачать тут: https://t.me/ukraine_matrix/133)