Суд во Владивостоке вынес приговор по уголовному делу в отношении менеджера отдела продаж и обслуживания одной из компаний связи, которая признана виновной в совершении преступления, предусмотренного ч. 4 ст. 274.1 УК РФ (неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, что повлекло причинение вреда критической информационной инфраструктуре Российской Федерации, совершенное лицом с использованием своего служебного положения).

Имея доступ к автоматизированной системе, она осуществила копирование компьютерной информации, содержащей персональные данные абонентов. После чего по просьбе знакомого переслала указанные сведения на его электронный адрес. 🙈

Признав подсудимую виновной в совершении указанного преступления, суд назначил ей наказание в виде в виде 3 лет лишения свободы с лишением права заниматься деятельностью, связанной с доступом к критической информационной инфраструктуре РФ сроком на 2 года. В соответствии со ст. 73 УК РФ наказание в виде лишения свободы назначено условно с испытательным сроком на 2 года.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: 👇

https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html

В открытый доступ выложили базу Финансового университета при Правительстве Российской Федерации (fa.ru).

В текстовом файле находится 42,760 строк (42,764 вместе с «мусором»), содержащие:

🌵 ФИО
🌵 логин (числовой идентификатор или адрес эл. почты)
🌵 имя пользователя Active Directory (в формате fadomain\<логин>)
🌵 дата регистрации пользователя
🌵 роль пользователя (студент, преподаватель, родитель, администратор, магистрант)
🌵 дата и время последнего входа в систему (самая “свежая” - 14.08.2019)
🌵 подразделение (Факультет Прикладной математики и информационных технологий, Финансово-экономический факультет, Департамент корпоративных финансов и корпоративного управления и т.п.)


Поскольку последний зафиксированный вход в систему был 14.08.2019 в 19:22:47, логично предположить, что данные были «слиты» примерно в это время. 😎

И снова непрофессионалы взялись писать про утечки. 😴 На этот раз напали на Билайн – якобы невероятный слив 8 млн. клиентов домашнего интернета от Билайна.

Билайн конечно зря начал играть в русскую народно-корпоративную игру «вы все врете», т.к. база реальная, но старая. 🤦‍♂️16 марта 2017 года ее выложили на всем хорошо известный форум под названием «РФ_Билайн_домашний_Интернет» в формате Cronos, где в условно-свободном доступе «для своих» она так и находится до сих пор. 😎

Вот цитата с форума:

База :Билиайн домашний интернет Москва и регионы
Размер банка: 1`839`389 Kb
Дата и время модификации: 15.11.2016 (13:31:02)
Общее количество записей в банке: 8`713`510

Интересно, кому и зачем понадобилось сейчас нападать на Билайн с давно "протухшей" базой. 😂

Недавно писали, что американский онлайн магазин одежды Shein.com сообщил об утечке клиентской базы в 2018 г. – всего 6.42 млн. записей: https://t.me/dataleak/1166

А сейчас стали доступны 29.2 млн. логинов и расшифрованных паролей к ним. Это явно говорит о том, что Shein соврали о реальном размере утечки. 😭 Мы проверили эти записи и на 82% пары логин/пароль оказались уникальными и никогда раньше не встречались в утечках.

Кроме того, мы добавили в свою “коллекцию” почти 500 тыс. уникальных пар логин/пароль от сервиса CafePress.com, летом этого года, заявившего об компрометации данных 23 млн. клиентов. Судя по имеющейся у нас информации, утечка произошла 20-го февраля 2019 г. На сегодняшний день расшифровано 11 млн. паролей, но только 700 тыс. из них свободно доступны.

Г. Греф официально заявил: “От себя лично и всей команды Сбербанка хочу еще раз принести глубокие извинения 200 нашим клиентам за произошедшее и всем нашим клиентам за доставленные переживания.” и “Хочу поблагодарить всех наших клиентов за веру в нас и доверие, а также сотрудников Службы безопасности банка, нашего дочернего предприятия "Бизон" и правоохранительных органов за четкую и слаженную работу, которая позволила в течение считанных часов раскрыть преступление” 🤦‍♂️

А купленные Telegram-каналы уже разнесли благую весть: “Ну, 200 украденных аккаунтов - так себе бизнес, а вот срок может быть большой.” 🤣

Пока ничего не будем писать, приложим картинку, наглядно демонстрирующую “четкую и слаженную работу, которая позволила в течение считанных часов раскрыть преступление”. 😂

Детально про это напишем уже на следующей неделе… 😎

Тем временем в открытом доступе находятся уже более 2 тысяч записей с данными платежных карт Сбербанка: 🔥🔥🔥

ФИО
Дата рождения держателя
Паспорт
Номер карты
Срок действ. Карты
Сост. карты по WAY4
Сост. дог-ра по WAY4
Номер счета карты
ОСБ
Филиал
Лимит
Адрес работы
Дата опердня
Место работы
Почт.индекс (р)
Регион (р)
Район (р)
Город (р)
Насел.пункт (р)
Улица (р)
Дом (р)
Строение (р)
Корпус (р)
Офис (р)
Квартира (р)
W4 телефон
W4 телефон домашний
W4 телефон мобильный
СПООБК телефон по месту жительства
СПООБК телефон мобильный
СПООБК телефон по месту работы

На текущий момент мы обнаружили в совершенно свободном доступе (даже без пароля) 2499 строк из утекшей базы.

Мы разумеется не знаем точного количества утекших записей, но уже каждому понятно, что это не 200 карт, про которые официально заявлял Сбербанк и про которые раструбили продажные Telegram-каналы.

Три раза происходили утечки пользовательской базы данных Armor Games – производителя и издателя браузерных игр. 🤦‍♂️ Первый раз в августе 2018, второй раз в декабре 2018 и третий раз в январе 2019. 🔥

Общее число утекших пользователей 11,013,503. Кроме логинов пользователей, утекли их хешированные пароли (SHA1 с солью), эл. адреса, даты рождения, IP-адреса, списки контактов.

Совсем недавно в свободном доступе появились расшифрованные пароли 7 млн. аккаунтов. Мы проверили эти записи и на 45% пары логин/пароль оказались уникальными и никогда раньше не встречались в утечках. 😎

Банкам очень не нравится, когда кто-то говорит об утечках их клиентов. Бороться с утечками они увы (для нас – простых клиентов, держащих там свои средства) не умеют. 😱

Зато их PR-отделы умеют ловко манипулировать фактами и размещать материалы в СМИ и в Telegram-каналах.

Цитата из «Известий»:

"Источник новостей о массовых утечках данных мог иметь коммерческий интерес, заявили «Известиям» в крупнейших финансовых организациях. В Альфа-банке, «Открытии» и Тинькофф-банке рассказали, что сообщения о компрометации персональных данных из их систем появились в прессе после того, как они отклонили предложение компании DeviceLock."

✅ Разумеется, DeviceLock ко всем ним (и к другим) обращались с предложением рассмотреть возможность использования продукта для борьбы с утечками. Любой другой производитель ПО, дистрибутор и системный интегратор также обращается к потенциальным потребителям своих продуктов.

✅ Факт также в том, что мы безвозмездно, т.е. даром, всегда сообщаем банкам (до случая явного отрицания с их стороны в стиле "вы врете, у нас утечек нет") о появлении тех или иных данных на черном рынке.

✅ Кроме того, мы единственные, кто открыто и публично говорит о проблеме, поэтому часто в СМИ и являемся первоисточником информации об утечках.


Кстати, пример такого отрицания со стороны Сбербанка описан в этой же статье «Известий»: "«Упоминание вами (представителем DeviceLock. — «Известия») неоднократных утечек данных не является обоснованным, так как не соответствует действительности», — подчеркивал в своем ответе топ-менеджер Сбербанка."

К сожалению это “не соответствие действительности” сейчас могут наблюдать все, причем и через официальные каналы коммуникаций самого Сбербанка, признавшего утечку данных уже 5 тыс. карт.

В дополнение к предыдущему репосту из @devicelock_ru 👇

 
Немного цифр и фактов о том, как «сообщения о компрометации персональных данных из их систем появились в прессе после того, как они отклонили наше предложение»:

🤦🏻‍♀️ Банк Тинькофф: предложение о сотрудничестве - июнь 2018, информация о продаже базы клиентов – август 2019. Прошел 1 год и 2 месяца.

🤦🏻‍♀️ Альфа Банк: предложение о сотрудничестве - июнь 2018, информация о продаже базы клиентов – июнь 2019. Прошел всего год.

🤦🏻‍♀️ Сбербанк: предложение о сотрудничестве - июль 2018 года, информация о продаже базы клиентов - октябрь 2019 года. Прошел 1 год и 2 месяца.
 
Ребята в службах безопасности банков хотели все отрицая до пенсии спокойно досидеть, а мы им помешали своей активностью. Прямо жаль их! 🤣😂

Неизвестные заявляют (https://btcfile.link/f/3zGVyLNEMPQGF4iGpFRomHzWge6x), что им удалось завладеть полным дампом базы данных сети обменников «электронных» (Webmoney, Яндекс.Денег, Qiwi и др.) денег SmartWM.ru (включая yandex-id.com, smartid.live, smartwm.biz, obmenka.ua, obmenka24.ru, exchanger1.com, worldchange.ru, changeinfo.ru). 🔥


Дамп, содержащий логины, имена, адреса, пароли (частично расшифрованные), ID-кошельков пользователей, номера банковских карт (в частности MasterCard, выпущенные «YANDEX.MONEY NBCO LLC») и даты их истечения, балансы, сканы паспортов, пытаются продать за $50 тыс. 😱


Мы проверили несколько кошельков Яндекс.Денег из выложенного в свободный доступ примера и оказалось, что выложенные номера кошельков полностью соответствуют номерам телефонов и логинам. 👍

Дамп датируется предположительно 9-м октября 2019 г.

По версии прокуратуры Новосибирской области, с 22 августа 2016 года по 11 сентября 2017-го бывший оперуполномоченный подразделения экономической безопасности и противодействия коррупции УМВД по Новосибирску, злоупотребляя своими полномочиями, трижды незаконно получил из базы данных информационного центра ГУ МВД России по Новосибирской области сведения о персональных данных граждан.

Речь идёт о паспортных данных, фотографиях, адресах, телефонах, сведениях о привлечении к уголовной и административной ответственности и другой информации, которую обвиняемый передавал по WhatsApp своему знакомому в Москву.

35-летний бывший полицейский обвиняется в «злоупотреблении должностными полномочиями» (ч. 1 ст. 285 УК РФ) и «незаконном собирании и распространении сведений о частной жизни лиц с использованием служебного положения» (ч. 2 ст. 137 УК РФ).

Свою вину он не признал, отказавшись от дачи каких-либо пояснений.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: 👇

https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html

Нам поступил официальный комментарий от Яндекс.Деньги относительно этой новости: https://t.me/dataleak/1305 👇


Опубликованные данные - это информация о счетах пользователей, которые, как выяснилось, обменивали деньги через сервис частного лица (все операции на таких ресурсах по сути являются переводами между физлицами). Данные о своих кошельках и картах пользователи оставляли на этом ресурсе добровольно — среди них оказались и наши клиенты. Мы расследовали ситуацию и выяснили, что злоумышленники взломали сервер этого частного ресурса и получили доступ к токенам, логинам, номерам карт и другой информации,  которую там указали сами пользователи. Вне этого ресурса злоупотребить платежной информацией невозможно — для всех операций по кошелькам требуется ввод платёжного пароля, и у большинства наших пользователей уже давно настроена двухфакторная авторизация с паролем из смс или приложения. Для операций по картам также требуется подтверждение по 3Ds, но в любом случае мы перевыпустим все карты, данные которых были обнародованы.

С нами связались представители обменника SmartWM.ru и предоставили детальную информацию по инциденту (https://t.me/dataleak/1305): 👇

12 сентября 2019 года неустановленным лицом осуществлен несанкционированный доступ к ряду наших ресурсов. В рамках проведенного исследования установлены способы осуществления вмешательства, а также предприняты меры по устранению угрозы.

Злоумышленник, осуществивший атаку, угрожал и требовал выкуп; после неудовлетворения озвученных им условий упомянутое неустановленное лицо выставило на продажу массив данных.

Мы провели мероприятия по уведомлению клиентов, чьи данные (например, адрес электронной почты, ФИО, номер паспорта), могли быть скомпрометированы. Предполагаем, что злоумышленник продолжит кампанию по дискредитации нашего имиджа, манипулируя имеющимися у него данными.

Отметим, что во время общения с преступником он заявлял, что его объектами заинтересованности являются и другие обменные пункты, "список которых доступен на bestchange.ru". В этой связи мы публикуем некоторые индикаторы атак, чтобы наши коллеги и партнеры могли осуществить проверку.

1. Получение несанкционированного доступа сопровождается их предварительным сканированием с помощью таких инструментов как: DirBuster, BurpSuite (Burp Collaborator) и т.п. Применение этих сканеров имеет отображение в журналах веб-сервера.

2. Для попытки обхода WAF (Web Application Firewal) атакующий модифицирует значение HTTP-заголовков. Например, добавляет "127.0.0.1" в заголовок X-Forwarded-For.

3. Осуществляя противоправную деятельность злоумышленник использовал
такие IP-адреса:
185.195.16.180
185.65.134.232
185.212.170.228
185.212.149.203
185.206.227.135
185.156.173.28
185.213.154.130
188.163.92.240
37.120.204.10
37.120.198.72
45.12.222.215
141.98.252.232

4. Злоумышленник использовал такие VPN-сервисы: MullVad, WireGuard. Кроме этого, большинство замеченных IP-адресов принадлежат компании M247.

5. Нижеприведенные кошельки также принадлежат злоумышленнику:
36fuuedwdipS8P1Z3sGfQHkM84jmk8xLXk
1CvC1gQxyXfzAVupbcayu7jcEQutd8RGiu
12Nx6ZLKqAQWPmWJoh1YSfv8Xk21WBHhnA

6. Аккаунт злоумышленника в Telegram: @piforyou

7. Просим учесть, что адрес электронной почты smartwm.advcash@gmail.com является скомпрометированным и используется злоумышленником, по его же словам, для осуществления другой противоправной деятельности.

Продолжая тему с обменником SmartWM.ru – в свободном доступе уже появился Excel-файл (и его конверт в Cronos) с данными 999 клиентов обменника.

Заявленная актуальность данных - 09.10.2019, однако дата последнего входа в систему в этой таблице – 16.09.2019. 😎

В таблице очень много мусорных и пустых записей.

Журналисты зашли в интернет и обнаружили там разное… 🤦‍♂️🤦🏻‍♂️🤦🏽‍♂️

«Известия» пишут:

Базу кодов замков и домофонов корреспондент «Известий» обнаружил на одном из интернет-ресурсов — скачать ее можно свободно и бесплатно. В списке более 75 тыс. записей: есть цифровые ключи от подъездов в Москве и некоторых городах Подмосковья. В ней присутствуют как трехзначные коды механических замков, так и более сложные — от домофонов.

Затрудняемся сказать, когда первый раз в свободном доступе появилась база «коды домофонов Москвы», но в 2017 году уже были данные за 2011 год.

В данном случае речь идет о файле с данными (75,711 строк) за 08.2019.

Скоро журналисты расскажут нам про базу «Авито» или «ИП». Ждем… 🤣

В августе 2018 пакистанский хакер взломал и украл данные 28,517,244 пользователей магазина "закрытых распродаж" – HauteLook.com, в том числе логины, адреса электронной почты и хешированные (bcrypt) пароли.

Совсем недавно стали доступны 6,5 млн. логинов и расшифрованных паролей к ним из этого дампа.

Мы проверили эти записи и на 60% пары логин/пароль оказались уникальными и никогда раньше не встречались в утечках. 👍

Продолжаем обновлять нашу коллекцию логинов и паролей, т.к. скоро планируем выпустить обновление исследования «анализ паролей». 👇

На этот раз в свободном доступе появились:

1️⃣ расшифрованные пароли от хостинговой площадки для Minecraft-cерверов – Leet.cc. Утечка произошла в сентябре 2016 года и затронула 5,071,759 аккаунтов, содержащих хешированные пароли (SHA-512 с солью поксоренные на Whirlpool с солью), логины и адреса эл. почты. Из 4,3 млн. расшифрованных паролей, 86% оказались уникальными.

2️⃣ 640 тыс. расшифрованных паролей от японского сервиса создания и хостинга Web-страниц - nanos.jp. Более 80% паролей оказались уникальными и никогда раньше не встречались в утечках.

Неизвестные обнаружили и «слили» в свободный доступ открытую базу данных MongoDB, принадлежащую сервису поиска по социальным сетям (Twitter, Facebook, YouTube, Instagram, ВКонтакте и др.) – Social Searcher (social-searcher.com). 😱

В открытом доступе оказалось два файла:

🌵 accounts.json – содержит 75,824 записи с данными пользователей сервиса: адреса электронной почты, ключи доступа к API, даты регистрации и т.п.

🌵 searches.json – содержит 73,840 записи с поисковыми запросами пользователей: содержимое запросов, в каких соц. сетях искать, идентификаторы пользователей, даты создания запросов и т.п.

Ознакомится с выложенным примером данных можно тут: https://0bin.net/paste/PZt0jSKYzv1hqrSg#0iYNfBZPx3D0IDNfJczh4Fnsveo3hND06YKySKvOoGm 😎

Судя по данным о времени регистрации пользователей, база была «слита» 21-го сентября 2019 г. 🤦‍♂️


Про то, как исследователи обнаруживают открытые базы данных Elasticsearch и MongoDB читайте тут: 👇

https://www.devicelock.com/ru/blog/obnaruzhenie-otkrytyh-baz-dannyh-mongodb-i-elasticsearch.html

Мы обнаружили и сообщили (владельцам сервера) о том, что в свободно доступных индексах Elasticsearch обнаружены персональные данные (ФИО, ИНН, телефоны и т.п.) граждан Казахстана, отправлявших заявки в «Zhas Project: Проект развития молодежного корпуса» (zhasproject.kz) - совместный проект Международного банка реконструкции и развития и Министерства образования и науки Казахстана. 😴

К сожалению, никакой реакции на наше оповещение не последовало и Elasticsearch-сервер открыт до сих пор. 🤦‍♂️

Если среди наших читателей есть те, кому не безразлична проблема безопасности персональных данных граждан Казахстана, предлагаем им связаться с данным проектом и рассказать о проблеме. 👍

А подробнее об инциденте мы напишем позже. 😎

3-го сентября система DeviceLock Data Breach Intelligence обнаружила свободно доступный Elasticsearch принадлежащий транспортной компании «БТФ» (tk-btf.ru).

В индексах Elasticsearch содержались логины и пароли (в открытом виде 🤦‍♂️) для доступа в личные кабинеты (tms.stage.tk-btf.ru) пользователей системы заказа перевозок:

"Request/Body": "{\"userName\":\"s.korXXXXX\",\"password\":\"5230bXXXXX\"}"

(реальные данные скрыты нами)


Кроме того, там находились ФИО и номера телефонов водителей:

"message": "Response body: [{\"id\":2,\"fullName\":\"XXX Николай Викторович 1\",\"assignedCode\":\"000022\",\"phoneNumber\":\"+7123XXXXXXX\",\"state\":{\"$type\":\"TransportManagementSystem.Mobile.Contracts.Dtos.DriverControllerDtos.InQueueDriverStateDto, TransportManagementSystem.Mobile.Contracts\",\"queuePriority\":\"regular\",\"state\":\"inQueueDriverState\"}}


По данным Shodan, сервер впервые появился в открытом доступе 03.09.2019. Мы оповестили владельцев через социальную сеть ВКонтакте и 16-го сентября сервер был убран из открытого доступа, а мы получили ответ: “Спасибо большое!”. 👍


🌵 Ранее мы писали про утечку из крупнейшей российской транспортно-логистической компании «FESCO»: https://t.me/dataleak/1081 🔥

🌵 Так же мы находили сервер, принадлежащий облачному сервису «LOGINE», предназначенному для автоматизации процессов транспортной логистики: https://t.me/dataleak/1103

🌵 А недавно сообщали про открытые сервера «ЛОРУС Эс Си Эм» - провайдера логистических услуг для крупных промышленных предприятий: https://t.me/dataleak/1241