Утечки информации
74K subscribers
912 photos
1 video
1 file
1.56K links
Знаем про утечки все! Поиск утечек и мониторинг даркнета: dlbi.ru

Админ: @ashotog (реклама не продается, на вопросы "где взять базу?" не отвечаем).

Сообщить об утечке: sendleak@gmail.com

Группа в ВК: https://vk.com/dataleakage
Download Telegram
to view and join the conversation
В Telegram-помойках 😹 вчера появился кусок (4 млн. строк) базы клиентов предположительно сети «Красное и Белое» (krasnoeibeloe.ru) и мы решили написать про эту утечку чуть подробнее. 🍷🍸

Список оформлявших дисконтную карту в магазине впервые появился в относительно свободном доступе в июне 2019 г. (100 тыс. строк), на русскоязычном форуме (про это тут).

Затем куски базы выкладывались там же еще 6-ть раз:

🌵 сентябрь - 124 тыс.
🌵 октябрь – 93 тыс.
🌵 ноябрь – 95 тыс.
🌵 декабрь – 180 тыс.
🌵 январь 2020 – 928 тыс. и 800 тыс.

25-го января 2020 г. на англоязычный форум был выложен кусок, содержащий 4 млн. строк, который и “разлетелся” по форумам и Telegram-помойкам. 🙀

Однако, в продаже на теневом форуме находится гораздо больше записей. За 15 тыс. рублей продавец предлагает купить 17,161,538 записей, содержащих:

🌵 ФИО (встречаются строки: «Утеряна», «Заблокирован СБ» и т.п.)
🌵 дату рождения (некоторые недействительные)
🌵 телефон (часто повторяющиеся, написаны с ошибками, встречаются адреса эл. почты)
Следственными органами Следственного комитета Российской Федерации по Челябинской области завершено расследование уголовного дела в отношении сотрудника компании сотовой связи, обвиняемого в совершении преступления, предусмотренного ч.2 ст.137 УК РФ (нарушение неприкосновенности частной жизни).

По данным следствия, в ноябре 2018 года специалист одного из операторов сотовой связи продал персональные данные пяти абонентов.

Во время проведения расследования свою обвиняемый вину признал полностью. Теперь дело будет рассмотрено в суде.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в новом отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html
07.01.2020 были обнаружены два свободно доступных Elasticsearch-сервера содержащих персональные данные покупателей сети розничных магазинов в Узбекистане, входящих в группу компаний «Eurasia Group» (thetowergroup.uz/p/orient-riteil/eurasia-group/, linkedin.com/company/eurasiagroup/). 🇺🇿

7-го января мы оповестили компанию и напрямую руководство (непосредственно управляющего директора Pouyet Pascale Alice на личный адрес эл. почты). 9-го января через Facebook был получен ответ от официальной страницы компании: 👇

Здравствуйте. Спасибо за информацию. Не затруднит ли вас выслать фрагмент базы, для того чтобы мы могли удостовериться в достоверности полученной информации?

🤦‍♂️🤦🏻‍♂️🙈

Разумеется, данные обнаруженных серверов были нами изначально предоставлены, как это всегда делается при оповещении. К сожалению до сих пор оба сервера находятся в открытом доступе, никаких мер по устранению уязвимости не предпринято, не смотря на полученную от нас информацию. 😱

В свободном доступе находятся более 300 тыс. записей, содержащие персональные данные владельцев карт лояльности, а также сотрудников магазинов:

🌵 имя/фамилия
🌵 номер телефона
🌵 пол
🌵 дата рождения
🌵 адрес эл. почты
🌵 признак «employee» или «customer»
🌵 хешированный (bcrypt с солью) номер карты лояльности

"type": "customer",
"email": "XXX",
"cards": [
{
"code": "$2y$05$bW90aGVyIGZ1Y2tlciBtbuesnyuIe5796iZK.0P2YlgFjRFaw97se"
}
],
"fired": false,
"kidsCount": 0,
"profile": {
"fullName": "Мухадаси XXX",
"phoneNumber": [
"+998 XXX"
],
"birthDate": XXX,
"gender": "female"
Оба сервера с данными покупателей и работников узбекской компании «Eurasia Group» закрыты после сегодняшнего поста. 😎

Один из серверов находился в открытом доступе с 01.12.2018! 🙈 А второй сервер “не видел” Shodan.
17-го января на англоязычном форуме были выложены списки учетных данных Telnet-подключений для более чем 500 тыс. IoT-устройств, серверов и маршрутизаторов.

Списки, содержащие IP-адреса и пары логин/пароль выложил оператор сервиса, осуществляющего заказные DDoS-атаки «NightmareStresser».

Мы решили немного проанализировать логины и пароли из этих списков. 👇

Всего было выложено 516,709 (включая пустые) логинов и паролей.

10 самых часто встречающихся пар логин/пароль:

1️⃣ admin/admin
2️⃣ root/root
3️⃣ default/OxhlwSG8 (пароль по умолчанию для IP-камер)
4️⃣ bin/(пустой)
5️⃣ adm/(пустой)
6️⃣ default/S2fGqNFs (пароль по умолчанию для IP-камер)
7️⃣ daemon/daemon
8️⃣ daemon/(пустой)
9️⃣ default/default
1️⃣0️⃣ user/user

10 самых часто встречающихся паролей:

1️⃣ (пустой)
2️⃣ admin
3️⃣ root
4️⃣ OxhlwSG8
5️⃣ S2fGqNFs
6️⃣ daemon
7️⃣ 12345
8️⃣ default
9️⃣ user
1️⃣0️⃣ lJwpbo6 (пароль по умолчанию для IP-камер)

10 самых часто встречающихся логинов:

1️⃣ root
2️⃣ default
3️⃣ admin
4️⃣ daemon
5️⃣ bin
6️⃣ adm
7️⃣ guest
8️⃣ user
9️⃣ apache
1️⃣0️⃣ Administrator
Добавили в коллекцию пароли из дампа базы пользователей бесплатного сервиса для создания веб-квестов (WebQuests) Zunal.com.

Полный дамп базы пользователей этого сервиса был сделан 18 ноября 2019 г., и в нем 507,498 записей, содержащих: полные имена, адреса эл. почты, даты рождения, места учебы, текстовые пароли 🤦‍♂️, даты регистрации и многое другое.

Из 505,569 паролей – почти 71% уникальные, т.е. никогда раньше не встречались в утечках.

Наше новое исследование паролей: 👇
https://www.devicelock.com/ru/blog/analiz-5-mlrd-parolej-chast-tretya.html
В июле мы писали про то, что менеджер «Росбанка», используя доступ к базе клиентов банка, оформил 17 кредитов на 8, ничего не подозревающих человек. 😱

Сегодня стало известно, что он признан судом виновным в мошенничестве, совершенном в особо крупном размере и приговорен к 4 годам лишения свободы в колонии общего режима. Исковые требования банка на сумму 6 млн 689 тыс 562 рубля (сумма оформленных им кредитов) удовлетворены в полном объеме.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в новом отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html
Цифры из параллельной вселенной: 🤦‍♂️🤦🏻‍♂️🙈

«На основании имеющихся у нас данных, в 2018 году похищенные базы данных содержали информацию о почти 1,4 миллиона физических лиц. За 2019 год отмечено утечек сведений только о порядке 85 тысячах клиентов организации кредитно-финансовой сферы», заявил директор департамента информационной безопасности Центробанка Вадим Уваров.

Не будем перечислять все то, что продается на черном рынке (ежедневные выгрузки из банков, данные клиентов МФО и т.п.). Приведем как пример только две утечки из открытых баз данных «организаций кредитно-финансовой сферы» в 2019 г.: 👇

🌵 март 2019: финансовый брокер «Финсервис», более 800 тыс. документов заемщиков. Подробнее тут: https://t.me/dataleak/863

🌵 октябрь 2019: МФО «ГринМани», более 100 тыс. документов заемщиков. Подробнее тут: https://t.me/dataleak/1321
05 декабря 2019 года наша система DeviceLock Data Breach Intelligence обнаружила свободно доступный сервер Elasticsearch системы управления автомойками «RocketWash» (rocketwash.me).

🌵 номер автомобиля
🌵 ФИО
🌵 номер телефона
🌵 пол
🌵 дата рождения
🌵 текст СМС-оповещения (например, “обслуживание завершено. оцените нашу работу, перейдя по ссылке https://beta.rocketwash.me/s/XXX

Мы оповестили компанию и 07.12.2019 сервер был убран из открытого доступа, а нами был получен ответ: 👍

Добрый день. Спасибо за информацию. Это был тестовый сервер и там не было защиты. Устранили эту уязвимость спасибо. К счастью персональные данные которые там имеются не имеют ценности, так как они очень старые. Но сам факт наличия какой-то базы для скачивания с нашим именем это уже не очень хорошо.
В Белгородской области (г. Губкин) за передачу информации третьим лицам осуждена 25-летняя руководитель офиса обслуживания и продаж одного из операторов сотовой связи.

В апреле 2019 года девушка использовала свои служебные логин и пароль, чтобы сделать детализацию телефонных звонков одного из абонентов (мужчина 1970 г.р., проживающий в другом регионе), а затем передала эти сведения посторонним лицам за 900 рублей. 🤦🏻‍♂️

Предложение о покупке услуг “пробива” она увидела в интернете. Про вербовку сотрудников сотовых операторов и банков мы писали тут: https://t.me/dataleak/1413

За нарушение тайны телефонных переговоров, совершённое с использованием своего служебного положения, в отношении девушки было возбуждено уголовное дело по ч. 2 ст. 138 УК РФ. Так как она ранее никогда не привлекалась к уголовной ответственности и совершила преступление небольшой тяжести, следствие ходатайствовало о прекращении уголовного дела. Суд назначил обвиняемой судебный штраф в размере 30 тыс. рублей.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в новом отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html
Помните мы писали, что база клиентов предположительно сети «Красное и Белое» продавалась на форуме до того, как попала в свободный доступ?

Так вот сегодня на том же самом форуме, тот же самый продавец выставил еще один лот: «База данных клиентов торговой сети "Лента"» (прямая цитата). 🔥

По словам продавца, в базе 90 тыс. строк, содержащих данные клиентов из Москвы и Московской области:

🌵 идентификатор клиента
🌵 ФИО
🌵 телефон
В свободный доступ выложили MySQL-дамп базы пользователей крупного китайского IT-портала «CCIDNET» (ccidnet.com).

В дампе 1,762,105 строк, содержащих:

🌵 логин
🌵 хешированный (MD5 с солью) пароль
🌵 адрес электронной почты
🌵 IP-адрес
🌵 дата/время регистрации (с 3 апреля 2002 по 7 декабря 2013) и последнего входа в систему

Дамп сделан 8 декабря 2013 г.
Добавили в коллекцию пары логин/пароль пользователей ресурса minecraftonly.ru.

Дамп датируется 2018 годом, но стал публично доступен только в прошлом месяце.

Из 1,1 млн. пар логин/пароль, почти 95% оказались уникальными, т.е. никогда ранее не встречались в утечках. 👍
В течение трех месяцев 28-летний специалист продаж и обслуживания регионального филиала сотового оператора в Якутии, пользуясь своим служебным положением, фотографировала персональные данные некоторых клиентов на свой телефон и далее передавала их мужчине, с которым познакомилась через интернет (про вербовку сотрудников сотовых операторов и банков мы писали тут).

В отношении женщины было возбуждено уголовное дело по статье «Неправомерный доступ к компьютерной информации» (ч.3 ст. 272 УК РФ).

Приняв во внимание полное раскаяние подсудимой, суд прекратил уголовное преследование по нереабилитирующим основаниям и назначил ей наказание в виде денежного штрафа с установлением срока оплаты – 2 месяца.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в новом отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html
26.01.2020 наша система DeviceLock Data Breach Intelligence обнаружила свободно доступный Elasticsearch-сервер грузинского маркетплейса «Vendoo» (vendoo.ge).

Сервер содержит два индекса с персональными данными клиентов «Vendoo»:

🌵 заказы - 37,882 записей (36,274 на момент обнаружения)
🌵 клиенты – 175,534 записей (173,996 на момент обнаружения)

Среди скомпрометированных данных:

🌵 имя/фамилия (иногда латиницей, иногда по грузинский)
🌵 номер телефона
🌵 адрес электронной почты
🌵 почтовый адрес и адрес доставки
🌵 идентификатор плательщика НДС (VAT)
🌵 дата регистрации и заказа
🌵 стоимость заказа
🌵 состав (название товара/SKU-номер, количество), вес и габариты заказа
🌵 статус (отменен, доставлен и т.п.) заказа


В тот же день нами было отправлено оповещение владельцам сервера, но никакой реакции не последовало. Сервер с данными до сих пор находится в открытом доступе. Ситуация напоминает недавнюю историю с утечкой данных узбекской компании «Eurasia Group», когда доступ к данным был закрыт только после анонса утечки в этом канале. 🤦🏻‍♂️🤦‍♂️🙈
Под самый конец 2019 года DeviceLock Data Breach Intelligence обнаружила очередной свободно доступный Elasticsearch-сервер с логами информационной системы.

Все уже знают, что логи это не просто “техническая информация”, как пытались нас всех уверить многочисленные “защитники” (ничего не знающие об инциденте, но мнение имеющие) регионального мобильного приложения «Госуслуги Югры», допустившего утечку персональных данных граждан (28 тыс. строк с персональными данными в результате были выложены на нескольких форумах в открытый доступ 🔥).

К сожалению, избыточное логирование, применяемое в информационных системах это суровая реальность, которая, наряду с безалаберным отношением к конфигурированию серверов Elasticsearch (которые, в свою очередь, эти логи призваны индексировать), приводит к серьезным утечкам. 😱

Удалось выяснить, что данный публично доступный сервер содержал информацию службы доставки «Boxberry» (boxberry.ru).

Ранее мы уже обнаруживали Elasticsearch-сервер с небольшой базой клиентов этой службы доставки, но тогда утечку скорее всего допустил сторонний подрядчик - маркетинговая компания.

В тот же день (28-го декабря) мы уведомили «Boxberry», вечером 29.12.2019 сервер исчез из открытого доступа, а мы получили ответ от службы доставки. 👍

В логах содержалась информация по отправлениям за декабрь 2019 года (оценить количество данных сложно, но это более 100 тыс. строк): 👇

🌵 дата
🌵 клиент
🌵 стоимость
🌵 код города отправителя/получателя
🌵 код пункта отправки/выдачи
🌵 имя отправителя/получателя
🌵 телефон отправителя/получателя
🌵 адрес эл. почты отправителя/получателя
🌵 номер для трекинга отправления

"message": "{\"date\":\"2019-12-27\",\"time\":\"09:28:52\",\"request_id\":2310693907,\"elapsed_time\":6.9272401332855,\"client_id\":{\"id\":4994,\"name\":\"simimili.com\",\"token\":\"01bx02sm\",\"disabled\":0},\"method_id\":{\"id\":8,\"name\":\"NewOrder\",\"description\":\"Метод, позволяющий создать новый заказ\"},\"data_in\":\"{\\\"api_token\\\":\\\"01bx02sm\\\",\\\"method\\\":\\\"NewOrder\\\",\\\"delivery_type\\\":4,\\\"public_price\\\":250000,\\\"payer_type\\\":1,\\\"prepayd_sum\\\":\\\"37000\\\",\\\"sender\\\":{\\\"city\\\":\\\"68\\\",\\\"point_code\\\":\\\"19950\\\",\\\"client_name\\\":\\\"XXX\\\",\\\"phone\\\":\\\"7499XXX\\\"},\\\"receiver\\\":{\\\"client_name\\\":\\\"Борис XXX\\\",\\\"phone\\\":\\\"78916XXX\\\",\\\"point_code\\\":\\\"75015\\\",\\\"city\\\":\\\"03367\\\"},\\\"package\\\":{\\\"boxberry_package\\\":1,\\\"package_code\\\":\\\"797\\\",\\\"attachment_id\\\":\\\"6\\\"},\\\"list_services\\\":[],\\\"adv_id\\\":\\\"\\\"}\",\"data_out\":\"{\\\"status\\\":1,\\\"err\\\":\\\"\\\",\\\"data\\\":{\\\"tracking\\\":\\\"000015680XXX\\\"}}\",\"success\":true,\"error_message\":null,\"logger\":\"api_requests\"}",

(реальные данные скрыты нами)
20-летний житель Иркутска, работавший специалистом офиса продаж оператора сотовой связи, был привлечен к уголовной ответственности за нарушение тайны телефонных переговоров и неправомерный доступ к охраняемой законом компьютерной информации.

В феврале 2019 года, неизвестные лица предложили молодому человеку подзаработать и продать информацию о телефонных звонках и смс-сообщениях абонентов (про вербовку сотрудников сотовых операторов и банков мы писали тут). Он загрузил всю нужную информацию о трех клиентах на свой телефон, после чего переслал данные заинтересованной стороне.

На суде молодой человек признался в содеянном. Он объяснил свой поступок тяжелым материальным положением. В результате его приговорили к наказанию в виде двух лет лишения свободы условно с испытательным сроком два года.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в новом отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html
РБК пишет сегодня о выставленной на продажу базе клиентов МФО с 1,2 млн записей: 👇🔥

На специализированном интернет-сайте выставлены на продажу данные клиентов микрофинансовых организаций (МФО). В базе содержатся данные более 1,2 млн клиентов МФО, входящей в топ-10 на рынке, уверяет ее продавец.

«Пробник» базы, содержащий около 800 записей, включает Ф.И.О., номера телефонов, адреса электронной почты, даты рождения и паспортные данные россиян.

Продавец не раскрывает название МФО, чьи данные у него оказались, но большинство клиентов, ответивших на звонки РБК, сообщили, что обращались за займами в компанию «Быстроденьги».

Также в пробнике были данные клиентов микрофинансовых компаний «Займер» «еКапуста», «Лайм» и «Микроклад». Они контактировали с МФО в период с 2017-го по конец 2019 года. Часть базы содержит неактуальные номера телефонов, уже не обслуживающихся или сменивших владельца.

Некоторые участники базы подтвердили, что их данные в базе верны, но утверждали, что никогда не обращались за займами.
С 17 по 20 марта в Подмосковье пройдет 22-я международная конференция «РусКрипто» - главное ежегодное событие в мире криптографии. 👇

«РусКрипто» не чужое для меня мероприятие, я принимал участие в самых первых конференциях в конце 90-х/начале 2000-х, а один год даже был в совете директоров ассоциации «РусКрипто». 😎

Последний раз я участвовал в конференции в 2008 году, но потом немного отдалился от мира криптографии.

И вот в этом году организаторы пригласили меня выступить на круглом столе «Тонкости российского маркетинга информационной безопасности», а всем подписчикам моего Telegram-канала предоставили 5% скидку на участие (промокод #РК_АИС).

Все подробности и регистрация на сайте конференции: www.ruscrypto.ru
Как и ожидалось, после публикации (https://t.me/dataleak/1481) представители грузинского маркетплейса «Vendoo» связались с нами и поблагодарили за найденную уязвимость: 👇

Хотим поблагодарить вас что сохранили данные конфиденциально надеемся, что все так и останется. Хотим информировать что мы сейчас проверили info@vendoo.ge которую просматривает наша Office Manager-ша и видимо она забыла проинформировать нас.

Сервер с данными клиентов и заказов убран из открытого доступа. 👍
Сотрудники ФСБ в Ярославле задержали двух организаторов группировки, оказывающей услуги “пробива” (подробнее про это явление тут). 👍

Преступники, находясь в сговоре с сотрудниками банков и операторами мобильной связи из центральных регионов, Приволжья и Сибири, предоставляли заказчикам данные о телефонных соединениях абонентов российских мобильных операторов связи, а также информацию, содержащую коммерческую, налоговую и банковскую тайну. Про вербовку сотрудников сотовых операторов и банков мы писали тут.

Предложения о продаже услуг “пробива” размещались на различных форумах, а общение с клиентами осуществлялось посредством Telegram.

В сообщении ФСБ отмечается, что задержанные имели авторитет в среде продавцов информации. Значит скоро мы узнаем, что это была за группировка и под каким именем они выступали на теневых форумах. 😎

Возбуждены уголовные дела по статьям «Неправомерный доступ к компьютерной информации» и «Незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну»


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в новом отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html