Дамп онлайн-магазина «Westwing» (https://t.me/dataleak/1462) появился в продаже на двух теневых площадках в конце ноября 2019 года. Совпадение по составу и названию столбцов в таблице - полное. 😎

По нашим данным продавец просил за него около 25 тыс. рублей. 🤷‍♂️

В нашем блоге новый обзор публикаций и новостей на тему «как в России ловят и наказывают за незаконную торговлю персональными данными».

Количество публикаций и новостей на тему «задержали и наказали» за последний год резко выросло. Наибольшее число правонарушений было выявлено и доведено до общественности после известных событий с утечками данных в Сбербанке – т.е. сразу после октября 2019 года.

При этом даже с учетом задержки, необходимой для розыска виновных и ведения следствия, количество дел никак не соответствует количеству предложений о продаже данных на черном рынке


Подробнее читайте тут:👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

В г. Тамбов в отношении учредителя частной лечебной организации возбуждено уголовное дело о коммерческом подкупе (ч. 7 ст. 204 УК РФ).

Фигурант дела неоднократно получал от представителя мемориальной компании деньги в виде переводов на карту за персональные данные умерших тамбовчан.

Следствие располагает информацией о незаконном получении учредителем около 70 тысяч рублей.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в новом отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

В ходе проверки прокуратурой Адмиралтейского района выяснилось, что 8 почтовым отделением Санкт-Петербургского Почтамта в октябре 2019 года были выброшены в пункт утилизации хозяйственных твердых отходов поручения на выплату с истекшим сроком предъявления, содержащие персональные данные местных жителей.

Прокуратура пришла к выводу, что данное нарушение привело к разглашению персональных данных петербуржцев без их согласия. Кроме этого, нарушило право людей на тайну связи, которые гарантирует Конституция России.

Начальнику Петербургского Почтамта было внесено представление о срочном устранении нарушений.

В Telegram-помойках 😹 вчера появился кусок (4 млн. строк) базы клиентов предположительно сети «Красное и Белое» (krasnoeibeloe.ru) и мы решили написать про эту утечку чуть подробнее. 🍷🍸

Список оформлявших дисконтную карту в магазине впервые появился в относительно свободном доступе в июне 2019 г. (100 тыс. строк), на русскоязычном форуме (про это тут).

Затем куски базы выкладывались там же еще 6-ть раз:

🌵 сентябрь - 124 тыс.
🌵 октябрь – 93 тыс.
🌵 ноябрь – 95 тыс.
🌵 декабрь – 180 тыс.
🌵 январь 2020 – 928 тыс. и 800 тыс.

25-го января 2020 г. на англоязычный форум был выложен кусок, содержащий 4 млн. строк, который и “разлетелся” по форумам и Telegram-помойкам. 🙀

Однако, в продаже на теневом форуме находится гораздо больше записей. За 15 тыс. рублей продавец предлагает купить 17,161,538 записей, содержащих:

🌵 ФИО (встречаются строки: «Утеряна», «Заблокирован СБ» и т.п.)
🌵 дату рождения (некоторые недействительные)
🌵 телефон (часто повторяющиеся, написаны с ошибками, встречаются адреса эл. почты)

Следственными органами Следственного комитета Российской Федерации по Челябинской области завершено расследование уголовного дела в отношении сотрудника компании сотовой связи, обвиняемого в совершении преступления, предусмотренного ч.2 ст.137 УК РФ (нарушение неприкосновенности частной жизни).

По данным следствия, в ноябре 2018 года специалист одного из операторов сотовой связи продал персональные данные пяти абонентов.

Во время проведения расследования свою обвиняемый вину признал полностью. Теперь дело будет рассмотрено в суде.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в новом отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

07.01.2020 были обнаружены два свободно доступных Elasticsearch-сервера содержащих персональные данные покупателей сети розничных магазинов в Узбекистане, входящих в группу компаний «Eurasia Group» (thetowergroup.uz/p/orient-riteil/eurasia-group/, linkedin.com/company/eurasiagroup/). 🇺🇿

7-го января мы оповестили компанию и напрямую руководство (непосредственно управляющего директора Pouyet Pascale Alice на личный адрес эл. почты). 9-го января через Facebook был получен ответ от официальной страницы компании: 👇

Здравствуйте. Спасибо за информацию. Не затруднит ли вас выслать фрагмент базы, для того чтобы мы могли удостовериться в достоверности полученной информации?

🤦‍♂️🤦🏻‍♂️🙈

Разумеется, данные обнаруженных серверов были нами изначально предоставлены, как это всегда делается при оповещении. К сожалению до сих пор оба сервера находятся в открытом доступе, никаких мер по устранению уязвимости не предпринято, не смотря на полученную от нас информацию. 😱

В свободном доступе находятся более 300 тыс. записей, содержащие персональные данные владельцев карт лояльности, а также сотрудников магазинов:

🌵 имя/фамилия
🌵 номер телефона
🌵 пол
🌵 дата рождения
🌵 адрес эл. почты
🌵 признак «employee» или «customer»
🌵 хешированный (bcrypt с солью) номер карты лояльности

"type": "customer",
"email": "XXX",
"cards": [
{
"code": "$2y$05$bW90aGVyIGZ1Y2tlciBtbuesnyuIe5796iZK.0P2YlgFjRFaw97se"
}
],
"fired": false,
"kidsCount": 0,
"profile": {
"fullName": "Мухадаси XXX",
"phoneNumber": [
"+998 XXX"
],
"birthDate": XXX,
"gender": "female"

Оба сервера с данными покупателей и работников узбекской компании «Eurasia Group» закрыты после сегодняшнего поста. 😎

Один из серверов находился в открытом доступе с 01.12.2018! 🙈 А второй сервер “не видел” Shodan.

17-го января на англоязычном форуме были выложены списки учетных данных Telnet-подключений для более чем 500 тыс. IoT-устройств, серверов и маршрутизаторов.

Списки, содержащие IP-адреса и пары логин/пароль выложил оператор сервиса, осуществляющего заказные DDoS-атаки «NightmareStresser».

Мы решили немного проанализировать логины и пароли из этих списков. 👇

Всего было выложено 516,709 (включая пустые) логинов и паролей.

10 самых часто встречающихся пар логин/пароль:

1️⃣ admin/admin
2️⃣ root/root
3️⃣ default/OxhlwSG8 (пароль по умолчанию для IP-камер)
4️⃣ bin/(пустой)
5️⃣ adm/(пустой)
6️⃣ default/S2fGqNFs (пароль по умолчанию для IP-камер)
7️⃣ daemon/daemon
8️⃣ daemon/(пустой)
9️⃣ default/default
1️⃣0️⃣ user/user

10 самых часто встречающихся паролей:

1️⃣ (пустой)
2️⃣ admin
3️⃣ root
4️⃣ OxhlwSG8
5️⃣ S2fGqNFs
6️⃣ daemon
7️⃣ 12345
8️⃣ default
9️⃣ user
1️⃣0️⃣ lJwpbo6 (пароль по умолчанию для IP-камер)

10 самых часто встречающихся логинов:

1️⃣ root
2️⃣ default
3️⃣ admin
4️⃣ daemon
5️⃣ bin
6️⃣ adm
7️⃣ guest
8️⃣ user
9️⃣ apache
1️⃣0️⃣ Administrator

Добавили в коллекцию пароли из дампа базы пользователей бесплатного сервиса для создания веб-квестов (WebQuests) Zunal.com.

Полный дамп базы пользователей этого сервиса был сделан 18 ноября 2019 г., и в нем 507,498 записей, содержащих: полные имена, адреса эл. почты, даты рождения, места учебы, текстовые пароли 🤦‍♂️, даты регистрации и многое другое.

Из 505,569 паролей – почти 71% уникальные, т.е. никогда раньше не встречались в утечках.

Наше новое исследование паролей: 👇
https://www.devicelock.com/ru/blog/analiz-5-mlrd-parolej-chast-tretya.html

В июле мы писали про то, что менеджер «Росбанка», используя доступ к базе клиентов банка, оформил 17 кредитов на 8, ничего не подозревающих человек. 😱

Сегодня стало известно, что он признан судом виновным в мошенничестве, совершенном в особо крупном размере и приговорен к 4 годам лишения свободы в колонии общего режима. Исковые требования банка на сумму 6 млн 689 тыс 562 рубля (сумма оформленных им кредитов) удовлетворены в полном объеме.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в новом отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

Цифры из параллельной вселенной: 🤦‍♂️🤦🏻‍♂️🙈

«На основании имеющихся у нас данных, в 2018 году похищенные базы данных содержали информацию о почти 1,4 миллиона физических лиц. За 2019 год отмечено утечек сведений только о порядке 85 тысячах клиентов организации кредитно-финансовой сферы», заявил директор департамента информационной безопасности Центробанка Вадим Уваров.

Не будем перечислять все то, что продается на черном рынке (ежедневные выгрузки из банков, данные клиентов МФО и т.п.). Приведем как пример только две утечки из открытых баз данных «организаций кредитно-финансовой сферы» в 2019 г.: 👇

🌵 март 2019: финансовый брокер «Финсервис», более 800 тыс. документов заемщиков. Подробнее тут: https://t.me/dataleak/863

🌵 октябрь 2019: МФО «ГринМани», более 100 тыс. документов заемщиков. Подробнее тут: https://t.me/dataleak/1321

05 декабря 2019 года наша система Data Breach Intelligence обнаружила свободно доступный сервер Elasticsearch системы управления автомойками «RocketWash» (rocketwash.me).

🌵 номер автомобиля
🌵 ФИО
🌵 номер телефона
🌵 пол
🌵 дата рождения
🌵 текст СМС-оповещения (например, “обслуживание завершено. оцените нашу работу, перейдя по ссылке https://beta.rocketwash.me/s/XXX”

Мы оповестили компанию и 07.12.2019 сервер был убран из открытого доступа, а нами был получен ответ: 👍

Добрый день. Спасибо за информацию. Это был тестовый сервер и там не было защиты. Устранили эту уязвимость спасибо. К счастью персональные данные которые там имеются не имеют ценности, так как они очень старые. Но сам факт наличия какой-то базы для скачивания с нашим именем это уже не очень хорошо.

В Белгородской области (г. Губкин) за передачу информации третьим лицам осуждена 25-летняя руководитель офиса обслуживания и продаж одного из операторов сотовой связи.

В апреле 2019 года девушка использовала свои служебные логин и пароль, чтобы сделать детализацию телефонных звонков одного из абонентов (мужчина 1970 г.р., проживающий в другом регионе), а затем передала эти сведения посторонним лицам за 900 рублей. 🤦🏻‍♂️

Предложение о покупке услуг “пробива” она увидела в интернете. Про вербовку сотрудников сотовых операторов и банков мы писали тут: https://t.me/dataleak/1413

За нарушение тайны телефонных переговоров, совершённое с использованием своего служебного положения, в отношении девушки было возбуждено уголовное дело по ч. 2 ст. 138 УК РФ. Так как она ранее никогда не привлекалась к уголовной ответственности и совершила преступление небольшой тяжести, следствие ходатайствовало о прекращении уголовного дела. Суд назначил обвиняемой судебный штраф в размере 30 тыс. рублей.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в новом отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

Помните мы писали, что база клиентов предположительно сети «Красное и Белое» продавалась на форуме до того, как попала в свободный доступ?

Так вот сегодня на том же самом форуме, тот же самый продавец выставил еще один лот: «База данных клиентов торговой сети "Лента"» (прямая цитата). 🔥

По словам продавца, в базе 90 тыс. строк, содержащих данные клиентов из Москвы и Московской области:

🌵 идентификатор клиента
🌵 ФИО
🌵 телефон

В свободный доступ выложили MySQL-дамп базы пользователей крупного китайского IT-портала «CCIDNET» (ccidnet.com).

В дампе 1,762,105 строк, содержащих:

🌵 логин
🌵 хешированный (MD5 с солью) пароль
🌵 адрес электронной почты
🌵 IP-адрес
🌵 дата/время регистрации (с 3 апреля 2002 по 7 декабря 2013) и последнего входа в систему

Дамп сделан 8 декабря 2013 г.

Добавили в коллекцию пары логин/пароль пользователей ресурса minecraftonly.ru.

Дамп датируется 2018 годом, но стал публично доступен только в прошлом месяце.

Из 1,1 млн. пар логин/пароль, почти 95% оказались уникальными, т.е. никогда ранее не встречались в утечках. 👍

В течение трех месяцев 28-летний специалист продаж и обслуживания регионального филиала сотового оператора в Якутии, пользуясь своим служебным положением, фотографировала персональные данные некоторых клиентов на свой телефон и далее передавала их мужчине, с которым познакомилась через интернет (про вербовку сотрудников сотовых операторов и банков мы писали тут).

В отношении женщины было возбуждено уголовное дело по статье «Неправомерный доступ к компьютерной информации» (ч.3 ст. 272 УК РФ).

Приняв во внимание полное раскаяние подсудимой, суд прекратил уголовное преследование по нереабилитирующим основаниям и назначил ей наказание в виде денежного штрафа с установлением срока оплаты – 2 месяца.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в новом отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

26.01.2020 наша система DeviceLock Data Breach Intelligence обнаружила свободно доступный Elasticsearch-сервер грузинского маркетплейса «Vendoo» (vendoo.ge).

Сервер содержит два индекса с персональными данными клиентов «Vendoo»:

🌵 заказы - 37,882 записей (36,274 на момент обнаружения)
🌵 клиенты – 175,534 записей (173,996 на момент обнаружения)

Среди скомпрометированных данных:

🌵 имя/фамилия (иногда латиницей, иногда по грузинский)
🌵 номер телефона
🌵 адрес электронной почты
🌵 почтовый адрес и адрес доставки
🌵 идентификатор плательщика НДС (VAT)
🌵 дата регистрации и заказа
🌵 стоимость заказа
🌵 состав (название товара/SKU-номер, количество), вес и габариты заказа
🌵 статус (отменен, доставлен и т.п.) заказа


В тот же день нами было отправлено оповещение владельцам сервера, но никакой реакции не последовало. Сервер с данными до сих пор находится в открытом доступе. Ситуация напоминает недавнюю историю с утечкой данных узбекской компании «Eurasia Group», когда доступ к данным был закрыт только после анонса утечки в этом канале. 🤦🏻‍♂️🤦‍♂️🙈

Под самый конец 2019 года DeviceLock Data Breach Intelligence обнаружила очередной свободно доступный Elasticsearch-сервер с логами информационной системы.

Все уже знают, что логи это не просто “техническая информация”, как пытались нас всех уверить многочисленные “защитники” (ничего не знающие об инциденте, но мнение имеющие) регионального мобильного приложения «Госуслуги Югры», допустившего утечку персональных данных граждан (28 тыс. строк с персональными данными в результате были выложены на нескольких форумах в открытый доступ 🔥).

К сожалению, избыточное логирование, применяемое в информационных системах это суровая реальность, которая, наряду с безалаберным отношением к конфигурированию серверов Elasticsearch (которые, в свою очередь, эти логи призваны индексировать), приводит к серьезным утечкам. 😱

Удалось выяснить, что данный публично доступный сервер содержал информацию службы доставки «Boxberry» (boxberry.ru).

Ранее мы уже обнаруживали Elasticsearch-сервер с небольшой базой клиентов этой службы доставки, но тогда утечку скорее всего допустил сторонний подрядчик - маркетинговая компания.

В тот же день (28-го декабря) мы уведомили «Boxberry», вечером 29.12.2019 сервер исчез из открытого доступа, а мы получили ответ от службы доставки. 👍

В логах содержалась информация по отправлениям за декабрь 2019 года (оценить количество данных сложно, но это более 100 тыс. строк): 👇

🌵 дата
🌵 клиент
🌵 стоимость
🌵 код города отправителя/получателя
🌵 код пункта отправки/выдачи
🌵 имя отправителя/получателя
🌵 телефон отправителя/получателя
🌵 адрес эл. почты отправителя/получателя
🌵 номер для трекинга отправления

"message": "{\"date\":\"2019-12-27\",\"time\":\"09:28:52\",\"request_id\":2310693907,\"elapsed_time\":6.9272401332855,\"client_id\":{\"id\":4994,\"name\":\"simimili.com\",\"token\":\"01bx02sm\",\"disabled\":0},\"method_id\":{\"id\":8,\"name\":\"NewOrder\",\"description\":\"Метод, позволяющий создать новый заказ\"},\"data_in\":\"{\\\"api_token\\\":\\\"01bx02sm\\\",\\\"method\\\":\\\"NewOrder\\\",\\\"delivery_type\\\":4,\\\"public_price\\\":250000,\\\"payer_type\\\":1,\\\"prepayd_sum\\\":\\\"37000\\\",\\\"sender\\\":{\\\"city\\\":\\\"68\\\",\\\"point_code\\\":\\\"19950\\\",\\\"client_name\\\":\\\"XXX\\\",\\\"phone\\\":\\\"7499XXX\\\"},\\\"receiver\\\":{\\\"client_name\\\":\\\"Борис XXX\\\",\\\"phone\\\":\\\"78916XXX\\\",\\\"point_code\\\":\\\"75015\\\",\\\"city\\\":\\\"03367\\\"},\\\"package\\\":{\\\"boxberry_package\\\":1,\\\"package_code\\\":\\\"797\\\",\\\"attachment_id\\\":\\\"6\\\"},\\\"list_services\\\":[],\\\"adv_id\\\":\\\"\\\"}\",\"data_out\":\"{\\\"status\\\":1,\\\"err\\\":\\\"\\\",\\\"data\\\":{\\\"tracking\\\":\\\"000015680XXX\\\"}}\",\"success\":true,\"error_message\":null,\"logger\":\"api_requests\"}",

(реальные данные скрыты нами)

20-летний житель Иркутска, работавший специалистом офиса продаж оператора сотовой связи, был привлечен к уголовной ответственности за нарушение тайны телефонных переговоров и неправомерный доступ к охраняемой законом компьютерной информации.

В феврале 2019 года, неизвестные лица предложили молодому человеку подзаработать и продать информацию о телефонных звонках и смс-сообщениях абонентов (про вербовку сотрудников сотовых операторов и банков мы писали тут). Он загрузил всю нужную информацию о трех клиентах на свой телефон, после чего переслал данные заинтересованной стороне.

На суде молодой человек признался в содеянном. Он объяснил свой поступок тяжелым материальным положением. В результате его приговорили к наказанию в виде двух лет лишения свободы условно с испытательным сроком два года.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в новом отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html