В открытом доступе находится база пользователей интернет магазина по продажам запчастей, аксессуаров и оборудования для ремонта мобильных устройств «GSM-ОПТ» (gsm-opt.ru).

Судя по времени создания файла и информации с форума, дамп базы был сделан в декабре 2019 года. В файле 87,329 строк, содержащих:

🌵 ФИО
🌵 телефон
🌵 почтовый адрес
🌵 адрес электронной почты
🌵 хешированный (MD5 без соли 🤦‍♂️) пароль
🌵 баланс счета пользователя

В г. Владимир завершено следствие по делу бывшего сотрудника компании сотовой связи, продавшего информацию о клиентах.

В феврале 2019 года 20-летний молодой человек устроился стажером в одну из крупных телефонных компаний, в марте он был переведен на должность специалиста офиса продаж и обслуживания.

12 июля 2019 года обвиняемый, используя доступ к служебной базе данных, скопировал на свой телефон персональные данные жительницы Москвы и переслал их неизвестному лицу через мессенджер. За это (“мобильный пробив”, подробнее про это явление тут) обвиняемый получил 200 рублей через одну из платежных интернет систем. 🤦‍♂️🤣

Молодой человек признал вину в инкриминируемом деянии.

За нарушение неприкосновенности частной жизни с использованием служебного положения предусмотрено наказания в виде штрафа в размере до 300 тысяч рублей или лишение свободы на срок до четырех лет.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: 👇

https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html

Как и обещали, выпустили новое исследование паролей: 👇
https://www.devicelock.com/ru/blog/analiz-5-mlrd-parolej-chast-tretya.html

В это исследование вошло примерно 4,9 млрд уникальных пар логин/пароль, а за все время (начиная с 2017 года) нами было проанализировано 29,5 млрд паролей (включая неуникальные). 🔥🔥

Основной вывод: первая сотня паролей практически не меняется от года к году. Из новых паролей в Топ-100 можно выделить только «zinch», «princess» и «sunshine».

Про наше исследование паролей можно также прочитать в материале «Известий».

Вчера написали о прекращении работы ресурса «We Leak Info».

Сейчас стало известно, что их доменное имя weleakinfo.com было конфисковано по решению суда округа Колумбия: 👇
https://www.justice.gov/usao-dc/pr/weleakinfocom-domain-name-seized

Неизвестный выложил в свободный доступ дамп базы пользователей предположительно сайтов more.tv, ctc.ru, chetv.ru, domashniy.ru и других, входящих в холдинг «СTC Медиа» (ctcmedia.ru).

В дампе 102,805 записей, содержащих:

🌵 цифровой идентификатор пользователя
🌵 адрес электронной почты/логин (часть логинов - это идентификаторы социальных сетей: @vk.com, @ok.com, @facebook.com)
🌵 хешированный (MD5 с солью) пароль
🌵 имя пользователя

Похоже на то, что база пользователей едина для всех сайтов холдинга. Судя по формату (вначале идет 8 байт соли, затем 32 байта стандартный MD5) хешированных паролей, дамп сделан из базы данных системы управления сайтом «Bitrix». Часть сайтов (chetv.ru, domashniy.ru, ctclove.ru) холдинга используют «Bitrix».

Помните мы писали про вербовку банковских служащих для сервисов "пробива"?

Немного продолжим тему – сегодня на форуме в открытом доступе появился небольшой список сотрудников «Тинькофф Банк»:

🌵 идентификатор в соц. сети ВКонтакте
🌵 номер мобильного телефона

P.S. Внимательные читатели канала уточняют, что этот самый список уже публиковался в ноябре прошлого года. 👍

Очередная открытая база данных (на этот раз MongoDB) с персональными данными (СНИЛС, ИНН, ФИО и т.п.) пользователей сервисов госуслуг оказалась в свободном доступе (подробнее тут). 🔥🔥🔥

Неправильно настроенную БД MongoDB, используемую разработчиками портала госуслуг Республики Татарстан (uslugi.tatar.ru) обнаружил исследователь Bob Diachenko (Владимир Дьяченко), который ранее выявил утечку клиентов МФК «ГринМани». 18-го января он сообщил об этом (с целью как можно скорее предотвратить хищение данных злоумышленниками) нам, мы проверили и подтвердили достоверность сведений об утечке.

На наше оповещение (по электронной почте и через официальную страницу ВКонтакте), отправленное в министерство цифрового развития госуправления, информационных технологий и связи Республики Татарстан, мы получили ответ в понедельник (20-го января):

большое спасибо!
Примем неотложные меры!

Сервер с этой MongoDB исчез из свободного доступа в воскресенье (19-го января). 👍

Интересно, что данный сервер, свободно доступный сразу по двум разным IP-адресам, не "увидел" поисковик Shodan. Зато все прекрасно находилось через его китайский аналог ZoomEye и через BinaryEdge. 😎


До этого мы писали, что персональные данные пользователей регионального мобильного приложения «Госуслуги Югры» оказались в открытом доступе (были выложены на "хакерские" форумы) из-за неправильно настроенного Elasticsearch-сервера: https://t.me/dataleak/1428

Список баз на свободно доступном сервере MongoDB с данными портала uslugi.tatar.ru (https://t.me/dataleak/1456).

Скриншот предоставил нам Bob Diachenko, за что ему отдельное спасибо. 😎

Операторы вируса-вымогателя «Maze» выложили в свободный доступ данные, похищенные у медицинской лаборатории «Medical Diagnostic Laboratories» (mdlab.com) из штата Нью-Джерси (США). 👇

Как и в случае с компанией «Southwire Company» (про это тут), преступники требовали с MDL выкуп в обмен на не публикацию украденной информации.

В данный момент в открытый доступ выложено 3 архивных файла, общим размером 9.4 Гб (11.2 Гб в распакованном виде).

Среди похищенных данных - результаты исследований в форматах: «Flow Cytometry» (метод проточной цитометрии), Excel, PowerPoint, PDF, PNG и JPEG. В том числе иммунологические исследования, выполненные для ЦРУ в 2014, 2016 и 2017 годах. 🔥


Кстати, вчера эти же злоумышленники выложили еще 10 Гб данных похищенных у «Southwire Company», выполнив обещание продолжить выкладывать файлы в случае невыплаты им выкупа. 😱

Все счета на оплату коммунальных услуг жителей г. Киев находятся в открытом доступе “благодаря” IDOR-уязвимости. 🤦‍♂️

Перебором числового идентификатора в URL вида https://www.gioc.kiev.ua/XXX/XXX/XXX_id:989999, можно получить:

🌵 ФИО
🌵 адрес
🌵 начисления за коммунальные услуги
🌵 площадь квартиры

На текущий момент доступно около 989,998 счетов. 🙈

В Саратове, за незаконное распространение персональных данных, осуждена сотрудница сотовой компании.

В период с марта по апрель 2019 года, 38-летняя сотрудница филиала сотовой компании, используя должностное положение, четыре раза незаконно получила доступ к информации о входящих и исходящих звонках абонента. Далее она сфотографировала информацию на свой личный телефон и передала третьему лицу посредством мессенджера.

Обвиняемая по части 2 статьи 138 УК РФ (нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений граждан, совершенное лицом с использованием своего служебного положения), полностью признала вину.

Суд приговорил женщину к трем годам лишения права заниматься профессиональной или иной деятельностью, связанной с доступом к сведениям тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений граждан.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: 👇

https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html

C 5 по 31 декабря 2019 года, Elasticsearch-сервер с данными технической поддержки Microsoft (Customer Service and Support) находился в открытом доступе.

Сервер обнаружил исследователь Bob Diachenko (Владимир Дьяченко), который ранее выявил (про это тут) утечку пользователей портала госуслуг Республики Татарстан.

В свободном доступе находились логи (около 250 млн. строк) технической поддержки, в том числе общение сотрудников поддержки с клиентами за 14 лет (с 2005 по конец 2019).

Большинство персональных данных клиентов в этой базе было намеренно искажено (в адресах электронной почты, номерах контрактов и платежной информации заменены значимые части) специальном скриптом, который применяет Microsoft. Однако, из-за ошибки в этом скрипте, некоторые адреса эл. почты (например, те, в которых ошибочно был указан символ пробела) не подверглись искажению. 😂

В Microsoft полностью признали утечку и извинились перед клиентами. 👍👏 К сожалению, российским компаниям, допустившим утечку, до такого поведения, как до Марса пешком… 🤣

В свободный доступ (на нескольких форумах) выложили дамп базы данных клиентов онлайн-магазина дизайнерских предметов интерьера, мебели и аксессуаров «Westwing» (shop.westwing.ru).

В дампе 1,573,158 строк, содержащих:

🌵 ФИО
🌵 адрес электронной почты
🌵 адрес
🌵 пол
🌵 дата рождения
🌵 телефон
🌵 идентификаторы социальных сетей Facebook и Google+
🌵 хешированный (bcrypt с солью и MD5) пароль

всего 71 столбец. 🙈

Судя по данным из дампа, он был сделан 13.11.2019. Скорее всего злоумышленник воспользовался какой-то уязвимостью сайта магазина и получил доступ к данным удаленно (т.е. это не слив базы инсайдером).

Также уже существует версия этого дампа в Cronos. 👍

Дамп онлайн-магазина «Westwing» (https://t.me/dataleak/1462) появился в продаже на двух теневых площадках в конце ноября 2019 года. Совпадение по составу и названию столбцов в таблице - полное. 😎

По нашим данным продавец просил за него около 25 тыс. рублей. 🤷‍♂️

В нашем блоге новый обзор публикаций и новостей на тему «как в России ловят и наказывают за незаконную торговлю персональными данными».

Количество публикаций и новостей на тему «задержали и наказали» за последний год резко выросло. Наибольшее число правонарушений было выявлено и доведено до общественности после известных событий с утечками данных в Сбербанке – т.е. сразу после октября 2019 года.

При этом даже с учетом задержки, необходимой для розыска виновных и ведения следствия, количество дел никак не соответствует количеству предложений о продаже данных на черном рынке


Подробнее читайте тут:👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

В г. Тамбов в отношении учредителя частной лечебной организации возбуждено уголовное дело о коммерческом подкупе (ч. 7 ст. 204 УК РФ).

Фигурант дела неоднократно получал от представителя мемориальной компании деньги в виде переводов на карту за персональные данные умерших тамбовчан.

Следствие располагает информацией о незаконном получении учредителем около 70 тысяч рублей.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в новом отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

В ходе проверки прокуратурой Адмиралтейского района выяснилось, что 8 почтовым отделением Санкт-Петербургского Почтамта в октябре 2019 года были выброшены в пункт утилизации хозяйственных твердых отходов поручения на выплату с истекшим сроком предъявления, содержащие персональные данные местных жителей.

Прокуратура пришла к выводу, что данное нарушение привело к разглашению персональных данных петербуржцев без их согласия. Кроме этого, нарушило право людей на тайну связи, которые гарантирует Конституция России.

Начальнику Петербургского Почтамта было внесено представление о срочном устранении нарушений.

В Telegram-помойках 😹 вчера появился кусок (4 млн. строк) базы клиентов предположительно сети «Красное и Белое» (krasnoeibeloe.ru) и мы решили написать про эту утечку чуть подробнее. 🍷🍸

Список оформлявших дисконтную карту в магазине впервые появился в относительно свободном доступе в июне 2019 г. (100 тыс. строк), на русскоязычном форуме (про это тут).

Затем куски базы выкладывались там же еще 6-ть раз:

🌵 сентябрь - 124 тыс.
🌵 октябрь – 93 тыс.
🌵 ноябрь – 95 тыс.
🌵 декабрь – 180 тыс.
🌵 январь 2020 – 928 тыс. и 800 тыс.

25-го января 2020 г. на англоязычный форум был выложен кусок, содержащий 4 млн. строк, который и “разлетелся” по форумам и Telegram-помойкам. 🙀

Однако, в продаже на теневом форуме находится гораздо больше записей. За 15 тыс. рублей продавец предлагает купить 17,161,538 записей, содержащих:

🌵 ФИО (встречаются строки: «Утеряна», «Заблокирован СБ» и т.п.)
🌵 дату рождения (некоторые недействительные)
🌵 телефон (часто повторяющиеся, написаны с ошибками, встречаются адреса эл. почты)

Следственными органами Следственного комитета Российской Федерации по Челябинской области завершено расследование уголовного дела в отношении сотрудника компании сотовой связи, обвиняемого в совершении преступления, предусмотренного ч.2 ст.137 УК РФ (нарушение неприкосновенности частной жизни).

По данным следствия, в ноябре 2018 года специалист одного из операторов сотовой связи продал персональные данные пяти абонентов.

Во время проведения расследования свою обвиняемый вину признал полностью. Теперь дело будет рассмотрено в суде.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в новом отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

07.01.2020 были обнаружены два свободно доступных Elasticsearch-сервера содержащих персональные данные покупателей сети розничных магазинов в Узбекистане, входящих в группу компаний «Eurasia Group» (thetowergroup.uz/p/orient-riteil/eurasia-group/, linkedin.com/company/eurasiagroup/). 🇺🇿

7-го января мы оповестили компанию и напрямую руководство (непосредственно управляющего директора Pouyet Pascale Alice на личный адрес эл. почты). 9-го января через Facebook был получен ответ от официальной страницы компании: 👇

Здравствуйте. Спасибо за информацию. Не затруднит ли вас выслать фрагмент базы, для того чтобы мы могли удостовериться в достоверности полученной информации?

🤦‍♂️🤦🏻‍♂️🙈

Разумеется, данные обнаруженных серверов были нами изначально предоставлены, как это всегда делается при оповещении. К сожалению до сих пор оба сервера находятся в открытом доступе, никаких мер по устранению уязвимости не предпринято, не смотря на полученную от нас информацию. 😱

В свободном доступе находятся более 300 тыс. записей, содержащие персональные данные владельцев карт лояльности, а также сотрудников магазинов:

🌵 имя/фамилия
🌵 номер телефона
🌵 пол
🌵 дата рождения
🌵 адрес эл. почты
🌵 признак «employee» или «customer»
🌵 хешированный (bcrypt с солью) номер карты лояльности

"type": "customer",
"email": "XXX",
"cards": [
{
"code": "$2y$05$bW90aGVyIGZ1Y2tlciBtbuesnyuIe5796iZK.0P2YlgFjRFaw97se"
}
],
"fired": false,
"kidsCount": 0,
"profile": {
"fullName": "Мухадаси XXX",
"phoneNumber": [
"+998 XXX"
],
"birthDate": XXX,
"gender": "female"

Оба сервера с данными покупателей и работников узбекской компании «Eurasia Group» закрыты после сегодняшнего поста. 😎

Один из серверов находился в открытом доступе с 01.12.2018! 🙈 А второй сервер “не видел” Shodan.