В очередной раз данные пользователей соцсетей и мессенджера Telegram оказались в свободном доступе. 🔥🔥

Система DeviceLock Data Breach Intelligence обнаружила свободно доступный сервер Elasticsearch, в индексах которого содержатся данные собранные парсингом профилей социальных сетей Facebook, Instagram, Twitter, LinkedIn, Google+, а также пользователей Telegram и некоторых блог-платформ.

В частности, собрано записей:

🌵 Telegram - более 114 млн. (всего 1,5 тыс. с телефонами +7)
🌵 Facebook - более 19 млн.
🌵 Instagram - более 212 млн.
🌵 Twitter - более 15 млн.

Как обычно напоминаем, что парсинг публичных данных сервиса, т.е. это не утечка. Однако, подобный сбор данных профилей пользователей, как правило запрещен лицензионными соглашениями сервисов. 😎

Сервер впервые “засветился” в свободном доступе 29.04.2020.

Принадлежность сервера установить не удалось, но по косвенным признакам мы выяснили, что он связан с Ираном (принадлежит иранскому рекламному агентству, либо агентству работающему по Ирану). 😱

Около 3 недель назад мы написали про утечку исходных кодов движка «CS:GO». И вот сейчас стало известно, что точно так же на форум «4chan», были выложены исходники компании Nintendo - «N64», «Wii» и «GameCube».

В свободный доступ попали 54,5 тыс. файлов (из системы контроля версий - CVS), размером около 3,3 Гб. Файлы датированы в основном 2002 и 2005 годами.

Полный архив исходников, которые хакер (Zammis Clark) похитил из Nintendo в 2018 году имел размер около 2 Тб. В апреле 2019 Clark (известный как wack0, Slipstream и Rayle) получил 15 месяцев тюрьмы за этот инцидент.

ZDNet написали, что в открытом доступе оказался кусок из 115 млн. базы абонентов пакистанских операторов связи, которая безуспешно продавалась в начале апреля за $300 (ZDNet пишет про нереальные $2,1 млн., перепутав BTC и USD 🤦‍♂️).

На самом деле первый кусок этой базы появился в паблике 24.03.2020 и представлял из себя набор из 9 .mdb-файлов (MS Access), общим размером 15,1 Гб, содержащих 44,005,132 строк:👇

🌵 полное имя
🌵 домашний адрес
🌵 номер мобильного телефона
🌵 номер стационарного телефона
🌵 государственный персональный идентификационный номер (CNIC)
🌵 дата активации мобильного номера (самая “свежая” – апрель 2013 г.)

Большинство номеров относят к оператору «Jazz» (бывший «Mobilink»), владельцем которого является холдинг «VEON», ранее называвшийся «VimpelCom» (владеет торговой маркой «Билайн»). 👍

Второй раз этот кусок базы попал в свободный доступ на том же форуме – вчера. В нем отсутствует часть данных и файлы переведены из MS Access в текстовый формат.

Два бывших сотрудника офиса «Альфа Банка» в Архангельске предстанут перед судом за продажу третьим лицам сведений, составляющих банковскую тайну.

Утверждено обвинительное заключение по уголовному делу против 25-летнего Андрея Одоева, обвиняемого по ч. 3 ст. 183 УК РФ (незаконное разглашение и использование сведений, составляющих банковскую тайну, без согласия их владельцев лицом, которому её доверили по работе, что причинило крупный ущерб и было совершено из корыстной заинтересованности).

Также утверждено обвинительное заключение по уголовному делу против 24-летнего Владислава Суханова, обвиняемого по ч. 4 и 5 ст. 33 ч. 3 ст. 183 УК РФ (сбор сведений, составляющих банковскую тайну при помощи подкупа, подстрекательство и пособничество в незаконном разглашении и использовании сведений, составляющих банковскую тайну, без согласия их владельцев лицом, которому её доверили по работе, что причинило крупный ущерб и было совершено из корыстной заинтересованности).

Андрей Одоев, работая специалистом кредитно-кассового офиса «Архангельск-Воскресенский» АО «Альфа-Банк», подстрекаемый Сухановым и при его пособничестве из корыстных побуждений разгласил конфиденциальную информацию, составляющую банковскую тайну.

В период с декабря 2018 года по март 2019 года он передал сведения о шести клиентах банка, их счетах и остатках денежных средств на них (такая услуга на черном рынке называется "подбор"). Эти данные были использованы преступниками в г. Москве для изготовления паспортов вкладчиков и открытия банковских карт, с использованием которых со счетов трех клиентов банка похищены денежные средства на общую сумму 8 539 876,93 рублей.

За указанные незаконные действия Одоев и Суханов получили денежное вознаграждение 62,5 тыс. рублей каждый.

Против лиц, которые непосредственно совершили хищение денег с использованием информации предоставленной Одоевым и Сухановым возбудили уголовное дело по признакам преступления, предусмотренного п. «в» ч. 4 ст. 158 УК РФ (кража, совершенная в особо крупном размере).


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

В ноябре прошлого года мы обнаружили в продаже на одном из форумов базу данных клиентов «IQOS». Продавец тогда заявлял, что у него 550 тыс. строк с персональными данными клиентов.

А сегодня в свободном доступе появился небольшой кусок с 4 тыс. строк из этой базы (формат полностью совпадает):

🌵 фамилия/имя (все фамилии в этой выборке начинаются на буквы Ф и Л)
🌵 дата рождения
🌵 пол
🌵 номер телефона
🌵 адрес электронной почты
🌵 название оператора мобильной связи
🌵 регион

Мы проверяли подлинность базы в ноябре, запросив данные на знакомых нам людей (с их согласия, разумеется) и выяснили, что информация актуальна, как минимум на август 2019 года. 😎

Тот же пользователь, что несколько дней назад выложил 15 млн. данных клиентов индонезийской компании электронной коммерции Tokopedia.com, заявил о наличии у него 500 Гб исходных кодов Microsoft. 😱

В качестве подтверждения он выложил в открытый доступ 544 Мб исходников и текстовый файл с полным списком всех файлов, якобы полученных из приватного Git-репозитория Microsoft.

Полный список файлов содержит 608,459 имен. Большинство имен файлов идентифицируются как известные библиотеки и прочие проекты с открытым кодом, что собственно не удивительно с учетом названия приватного репозитория – «Open source, from Microsoft with love» (opensource.microsoft.com). 🤣

В выложенных в качестве примера исходниках – 29,038 файлов. В них также ничего особенного на первый взгляд.

Пока все выглядит как излишне раздутая история. 🤦‍♂️

В Рязани местными жителями была обнаружена свалка из копий паспортов, водительских прав и рукописных заявлений, страховых полисов, квитанций об оплате.

Большинство документов свежие – 2019 года и принадлежат одной из страховых компаний.

В свободном доступе появилась широко известная в узких кругах база данных 33,7 млн. пользователей «Живого Журнала» (livejournal.com). 🔥🔥🔥

Утечка произошла в 2014 году, но до сегодняшнего дня базы не было в паблике. 👍

В текстовом файле 33,726,800 строк, содержащие: 👇

🌵 идентификатор пользователя
🌵 адрес эл. почты
🌵 ссылка на профиль пользователя
🌵 пароль в текстовом виде

Скоро мы проанализируем пароли на уникальность и опубликуем результаты.

В Новосибирске завершено расследование уголовного дела по статье мошенничество против двух женщин, одна из которых являлась менеджером прямых продаж «Совкомбанка».

По версии следствия, обвиняемые создали видимость действующего кадрового агентства и под видом оказания услуг по трудоустройству получали персональные данные людей, ищущих работу. После этого через мобильное приложение банка женщины заполняли заявление-анкету заёмщика и оформляли кредит. 🤦‍♂️🤦🏻‍♂️

Деньги женщины присваивали себе. В результате они причинили ущерб банку на сумму более 1 миллиона рублей.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

Новое расследование канала @in4security, на этот раз про доступ к базе клиентов транспортно-логистической компании «СДЭК».

Доступ к базе данных «СДЭК», содержащей сведения о более чем 9 млн. клиентов, продается на теневых форумах за 70 тыс. рублей.

Со своей стороны, можем только подтвердить то, что по «СДЭК» действительно очень много данных.

https://te.legra.ph/Posylka-s-dvojnym-dnom-05-08

Как и обещали вчера, проанализировали почти 33 млн. паролей из утечки «LiveJournal» 2014 года (795,402 строки были с пустым паролем).

Почти 69% пар почта/пароль оказались уникальными и никогда раньше не встречались в других утечках. 👍

Хакер взломал официальный сервер многопользовательской игры «Stalker-Online» (stalker.so) и получил доступ к базе данных зарегистрированных игроков.

Дамп базы данных, выложенный в открытый доступ содержит 1,290,883 строки: 👇

🌵 имя аккаунта (в HEX-кодах)
🌵 адрес электронной почты
🌵 номер телефона
🌵 IP-адрес последнего соединения
🌵 хешированный пароль (SHA-1 с солью, но около 127 тыс. паролей в текстовом виде 🤦🏻‍♂️)
🌵 дата/время регистрации
🌵 имя последнего персонажа, которым играли
🌵 время, проведенное в игре
🌵 и многое другое

Судя по датам в дампе, он был сделан 05.05.2020.

Кроме того, хакер продает доступ к серверу игры за $500 и в качестве подтверждения разметил на нем ссылку: https://stalker.so/media/otkup.html

Давно у нас не было классического для компаний, допустивших утечку "вы все врете". 😂 И вот:

«Информация, распространяемая в сети о якобы "массовой утечке" данных пользователей ЖЖ, не соответствует действительности — это одна из кликбейтных новостей, задача которой — привлечь интерес к третьей стороне в данном вопросе» - сообщил представитель холдинга Rambler Group.

🤦‍♂️🤦🏻‍♂️🙈

При этом, «Ведомости» пишут:

Блогеры, выборочно опрошенные «Ведомостями», подтвердили, что их данные, опубликованные в интернете, в 2014 г. были вполне актуальны.

Со своей стороны, мы, конечно, тоже выборочно проверили профили пользователей ЖЖ из этой базы, включая свои собственные и разумеется, никаких сомнений в том, что эта база содержит реальные данные (в первую очередь пароли в текстовом виде), валидные на 2014 год - нет.

Решили немного посмотреть на статистику паролей в утекшей базе «LiveJournal».

Данные по уникальности пар логин/пароль мы приводили вчера. 👍

Всего анализировалось 32,930,036 паролей (в базе 33,726,800 строк, но скажем 795,402 записи не имеют паролей вообще, а остальные строки можно отнести к "битым"). 👇

В скобках указывается место записи в топ-100 из нашего анализа 5 млрд утекших паролей (читать тут).

20 самых популярных паролей из этой базы:

1️⃣ Million2
2️⃣ jacket025
3️⃣ 123456789 (2)
4️⃣ Iloveyou (34)
5️⃣ ohmnamah23
6️⃣ Qwerty (3)
7️⃣ qqww1122
8️⃣ 6655321
9️⃣ jakcgt333
1️⃣0️⃣ abc123 (17)
1️⃣1️⃣ Sample123
1️⃣2️⃣ Mega_Pizdetz666
1️⃣3️⃣ 111nice
1️⃣4️⃣ qwerf12
1️⃣5️⃣ 09121962q
1️⃣6️⃣ Asdfghjkl (58)
1️⃣7️⃣ target123
1️⃣8️⃣ 1234567890 (10)
1️⃣9️⃣ 121324810z
2️⃣0️⃣ Qwertyuiop (14)

Что сразу бросается в глаза, это наличие в топе, на верхних позициях, довольно странных и относительно сложных (для того, чтобы быть наверху) паролей.

Большинство этих паролей мы относим к массовым автоматическим регистрациям (когда учетные записи создаются ботами). Например:

🌵 Million2 - практически все (только 155 на mail.ru) профили имеют адреса эл. почты в доменной зоне .cc (taksiki.co.cc, post.pitermail.co.cc, users.pitermail.co.cc и др.)

🌵 ohmnamah23 - много профилей имеют адреса на доменах с mp3, music и movie в названии.

🌵 jacket025 – все адреса на доменах szef.cn, siteposter.net, mx8168.net

🌵 jakcgt333 – все адреса на szef.cn (явная связь с предыдущим паролем)

🌵 Mega_Pizdetz666 - все адреса на odal.ru

Всего к ботам мы отнесли 2,058,329 профилей (6% от всей базы ЖЖ). 😎

В Санкт-Петербурге возбуждены уголовные дела в отношении должностного лица таможенного органа по ч. 4 ст. 272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации) и ч. 3 ст. 290 УК РФ (взятка), а также в отношении группы лиц по п. "а" ч. 4 ст. 291 УК РФ (дача взятки).

Сотрудник таможенной службы выгружал данные о таможенном декларировании и системе управления профилями рисков из «Единой автоматизированной системы таможенных органов» (ЕАИС ТО).

Затем информация пересылалась соучастникам и впоследствии реализовывалась, в том числе через интернет-форумы.

Ранее мы писали о том, что северная транспортная прокуратура выявила утечку полной базы экспортно-импортных операций России за восемь лет.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

5 дней назад мы сообщили (через контактную форму на сайте) о том, что в свободно доступных индексах Elasticsearch обнаружены данные заявок на пропуска для передвижения по городу Алматы в период карантина, которые оформляли компании Казахстана через сайт infoalmaty.kz. 🔥

К сожалению, никакой реакции на наше оповещение не последовало и Elasticsearch-сервер открыт до сих пор. 🤦‍♂️

По данным BinaryEdge, этот сервер впервые попал в открытый доступ 01.05.2020. 😱

Других вариантов связаться с infoalmaty.kz у нас нет, поэтому если среди наших читателей есть те, кому не безразлична проблема безопасности данных в Казахстане, предлагаем им рассказать данному проекту о проблеме. 👍

Подробнее про инцидент мы напишем позже. 😎

«Коммерсантъ» пишет про доступ к базе данных «СДЭК»:

Данные, якобы принадлежащие 9 млн клиентов службы экспресс-перевозки СДЭК, выставили на продажу в интернете за 70 тыс. руб. Это самая крупная утечка персональных данных в российских службах доставки, интерес мошенников к которым связан с ростом спроса на их услуги на фоне самоизоляции из-за коронавируса, отмечают эксперты. В самой компании настаивают, что из нее утечек не было, а источником данных мог стать другой ресурс.

Про это мы писали чуть раньше.

Напомним, что в расследовании шла речь о продаже логина/пароля в “живую” базу, а не о сливе базы.

На одном из теневых форумов, вчера появилась ссылка на торрент с раздачей 24 Гб информации (83 файла в формате CSV) о транспортных средствах, зарегистрированных в России. 👇

Открыто распространяемые данные обезличены и содержат только базовую информацию о ТС: тип, марка, модель, дата регистрации, год выпуска, VIN и т.п.

Однако, в одном из файлов содержится объявление о продаже полной версии базы (в формате SQL-дампа), со всеми персональными данными владельцев ТС, на декабрь 2019 года: ФИО, ИНН, адрес, дата рождения, паспорт и т.п. 🔥🔥🔥

За полную версию базы неизвестный просит 0,3 BTC (около $2,8 тыс.), а за эксклюзив (“одни руки”) – около $14 тыс.

В качестве доказательств приложены скриншоты полной базы со всеми данными. 👍

В Осинском районе Пермского края работник местного филиала банка обвиняется в краже денег со счетов клиентов.

В конце 2019 года, работая специалистом в одном из банков, он и имел доступ к логинам и паролям от личных кабинетов клиентов. Всего было зафиксировано 5 случаев несанкционированного доступа к счетам, в результате было похищено более 50 тыс. рублей.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

Немного продолжим тему базы данных пользователей «LiveJournal».

Два дня назад мы анализировали пароли из этой базы и показали, что там достаточно много (6%) массовых регистраций (ботов).

Сейчас посмотрим на сами профили.

Самый “свежий” профиль (50015262) из до сих пор существующих был зарегистрирован 31.05.2012. Это может говорить о том, что база скорее всего относится к 2012 году, а не к 2014, как мы писали ранее.

Информация о 2014 г. изначально появилась в 2019 г. от проекта «We Leak Info» (https://twitter.com/weleakinfo/status/1149904387374026752). Кстати, «We Leak Info» прекратил свое существование, а его владелец был арестован. 😱

Вообще, самый последний профиль в этой базе имеет номер 50015268, но в данный момент он не существует.

10 самых популярных логинов (один и тот же адрес эл. почты использовался много раз для регистрации разных профилей, в разное время): 👇

1️⃣ 0000000000@ljmob.ru
2️⃣ dlyadorveev11@rambler.ru
3️⃣ jollierpottery8@mail.ru
4️⃣ dlyadorveev19@rambler.ru
5️⃣ jjrisk@mail.ru
6️⃣ sdfqsdf@gawab.com
7️⃣ alexalol@yandex.ru
8️⃣ santafemap@gmail.com
9️⃣ jhgjhhlp@mail.ru
1️⃣0️⃣ fastforwardseo@gmail.com

В сотне самых популярных логинов, имя «dlyadorveev» встречается в вариантах: dlyadorveev11@rambler.ru (2 место), dlyadorveev19@rambler.ru (4 место), dlyadorveev20@gmail.com (24 место), dlyadorveev12@rambler.ru (71 место). Суммарно они встречаются в базе – 49,377 раз.

Имя «fastforwardseo» также явно указывает на цель регистрации профилей. 🤣

«Ведомости» пишут про базу 129 млн. транспортных средств, зарегистрированных в России:

В открытом доступе оказалась база данных российских автовладельцев.

Подлинность содержащихся в базе сведений подтвердил «Ведомостям» сотрудник каршеринговой компании, данные об автомобилях которой содержатся в реестре. Согласно описанию базы, в ней 129 млн лидов (информация получена из реестра ГИБДД, утверждают ее распространители). В большинстве из 83 файлов, выложенных в открытый доступ, содержатся обезличенные сведения о транспортных средствах, зарегистрированных в России: место регистрации, марка и модель автомобиля, дата первичной и последней регистрации и проч.

За отдельную плату продавцы базы предлагают персональные данные автовладельцев, среди которых фамилия, имя и отчество, адрес, дата рождения, номер паспорта, контактные данные.