В открытый доступ выложен MySQL-дамп базы сайта американского издания «The Chronicle of Higher Education» (chronicle.com).

В дампе 3,447,842 строк, содержащих:

🌵 логин
🌵 имя/фамилия
🌵 адрес эл. почты
🌵 хешированный (MD5-Crypt) пароль
🌵 дата создания/модификации профиля и последнего входа в систему (с 03.08.1998 по 17.02.2020).


3-го мая этот дамп был выставлен на продажу за $1,500 пользователем «Shiny Hunters». 👍 Тот же самый пользователь продавал данные клиентов индонезийской компании электронной коммерции Tokopedia.com, пользователей mathway.com и др. (в общей сложности 73,2 млн. записей).

В открытый доступ выложен MySQL-дамп базы пользователей центра дистанционного образования «Снейл» (nic-snail.ru).

Всего 168,040 строк, содержащих:

🌵 ФИО
🌵 эл. почта
🌵 адрес
🌵 телефон
🌵 дата рождения
🌵 хешированный (MD5) пароль
🌵 должность
🌵 IP-адрес
🌵 идентификаторы соц. сетей (Facebook, ВКонтакте, Одноклассники, Google+ и др.)
🌵 дата создания профиля и последнего визита (с 12.11.2012 по 29.05.2020).

По информации из дампа, он был сделан 29.05.2020, что подтверждается данными из столбцов с датами последнего визита и регистрации пользователей.


До этого мы писали про несколько утечек из сферы онлайн-образования: 👇

✅ База данных образовательной онлайн-платформы «Учи.ру».

✅ Данные пользователей площадки электронного образования «Универсариум».

✅ Список пользователей образовательного портала «ПроШколу.ру».

✅ Пользователи австралийского образовательного ресурса «K-7 Maths».

✅ Данные онлайн-сервиса для поиска репетиторов и тренеров «UpStudy».

26 февраля этого года, хакером KingNull, была взломана крупнейшая в даркнете хостинговая площадка – «Daniel's Hosting». Известно об этом инциденте стало только 10 марта, а 26 марта хостинг закрылся. 🤣

Сегодня на GitHub были выложены два SQL-дампа с данными клиентов «Daniel's Hosting». 👍

В первом дампе содержатся 7,177 записей пользователей:

🌵 идентификатор пользователя
🌵 логин
🌵 хешированный (bcrypt с солью) пароль
🌵 пользователь системы и MySQL
🌵 дата создания (с 01.01.2019 по 26.02.2020)
🌵 публичный PGP-ключ (всего 14 записей)

Кроме того, там же находятся 8,499 записей, содержащих:

🌵 идентификатор пользователя
🌵 имя onion-ресурса
🌵 приватный PGP-ключ

А также список из 7,848 баз данных клиентов хостинга. 👇

Второй выложенный дамп, как раз является примером одной из таких баз, принадлежавшей ресурсу g2rihxhkobxu4tnx.onion. Ничего интересного мы там не нашли (3,669 адресов эл. почты и 5,172 пользователя из Индонезии).

К сожалению, остальные 7,847 дампов хакер не выложил. 🤷‍♂️

В открытый доступ выложили списки пользователей и заказов интернет-магазина фотопленки и пленочной лаборатории «СРЕДА» (sreda.photo).

В списке пользователей 36,036 строк, содержащих:

🌵 ФИО
🌵 адрес эл. почты
🌵 хешированный (SHA-256 и DES) пароль
🌵 дата регистрации (с 26.09.2014 по 29.05.2020)

В списке заказов 10,371 строка:

🌵 имя/фамилия
🌵 адрес эл. почты
🌵 телефон
🌵 статус заказа
🌵 дата заказа (с 13.05.2019 по 29.05.2020)
🌵 стоимость заказа
🌵 способ доставки и оплаты

16-го июня в 14:00 состоится онлайн-конференция «OSINT и безопасность бизнеса: кто осведомлен, тот вооружен».

Мероприятие проводит дружественная нам Академия Информационных Систем (АИС).

Программу мероприятия и состав докладчиков можно посмотреть тут.

Тема практического применения технологий и методик разведки по открытым источникам (OSINT) очень интересная и мы настоятельно рекомендуем обратить внимание на данную конференцию.

Вы можете заранее прислать вопросы экспертам на: ais@infosystem.ru. Автора самого интересного вопроса ждет приз от организаторов!

Регистрация по этой ссылке.

Участие платное, но совсем не дорогое, всего 2400 руб, а участникам конференции выдаются Свидетельства АИС.

Клиенты «МТС Банка» массово сообщают о том, что банк принудительно сбросил им пароли на доступ к услугам банка через мобильное приложение. При этом тем, кто пользовался только веб-версией интернет-банка, пароли не меняли.

Некоторые пользователи мобильного приложения «МТС Банк Онлайн» также сообщают о сбое, который был 29.05.2020.

Обычно принудительная массовая смена паролей следует после их компрометации (утечки) или при подозрении на компрометацию.

Недавно написали про утечку базы пользователей американского издания chronicle.com.

Из почти 1,4 млн. “расшифрованных” паролей и парных им адресов эл. почты, только 40% оказались уникальными и никогда раньше не встречались в других утечках.

Операторы вируса-вымогателя «Maze» выложили в свободный доступ данные, похищенные у крупного дистрибьютера и розничного продавца одежды «Bossini» (bossini.com).

Среди похищенных данных – соглашения о неразглашении, финансовые отчеты, страховые договора/документы и т.п.

Кроме того, в выложенном архиве содержатся данные онлайн-заказов: имена, адреса эл. почты, стоимость заказов и т.п., всего более 267 тыс. записей за период с апреля 2014 по середину мая 2020 г. 🔥 Из России всего 87 заказов.

Всего 1,035 файлов общим размером 275 Мб.

Напоминаем, что сегодня в 20:00 (МСК) в инстаграм-аккаунте ruvds_com пройдет прямой эфир с Ашотом Оганесяном — создателем и ведущим этого канала.

‼️ Задавайте вопросы в комментариях к этому посту.‼️

Поговорим про:

✅ Утечки в банковской сфере: почему и как утекают данные клиентов и что потом с ними происходит, кто их продает и для чего покупает.

✅ Мифы и факты о воровстве данных.

✅ Воровство данных: кто есть кто в цепочке, кто сколько получает и насколько подставляется и кто зарабатывает в конечном итоге.

✅ Технические особенности утечек, хакеров и просто открытые сервера с данными.

Трансляция тут: https://www.instagram.com/p/CAsgAe5jYIa/

В начале апреля этого года система DeviceLock Data Breach Intelligence обнаружила свободно доступный Elasticsearch-сервер, в индексах которого содержалась переписка (по электронной почте) службы технической поддержки оператора документальной электросвязи и удостоверяющего центра ЭЦП «Делова сеть Атлас-2» (atlas-2.ru).

Всего в индексе находилось более 400 сообщений, содержащих:

🌵 эл. адрес отправителя/получателя
🌵 тема и содержимое письма с заголовком

Буквально сразу мы уведомили владельца открытого сервера и через несколько часов доступ к данным был “тихо” закрыт.

По данным поисковика Shodan, этот сервер впервые “засветился” 02.04.2020.

Достаточно уникальный случай в нашей практике – в редакцию издания «Версия-Саратов» пришло письмо от сотрудника «Вымпелком» (торговая марка «Билайн»), в котором он извиняется за то, что незаконно получил доступ к детализации телефонных звонков одного из абонентов компании. 😱

«Я, Дятлов Иван Андреевич, хочу публично извиниться перед Гавлюком Андреем Олеговичем за причиненный ему вред. 28.11.19 я работал в ООО „Вымпелком“ и мной был совершен просмотр его личной информации, а именно просмотр входящих и исходящих соединений по его номеру телефона. Искренне прошу извинений перед уважаемым Гавлюком Андреем Олеговичем, судом, органами власти за потраченное на меня время и Господом. В содеянном каюсь и уверяю, что подобного больше никогда не повторится».

В конце мая мы как раз писали, что в Саратове задержан менеджер по продажам одного из сотовых операторов.

Обработали 2,6 млн. паролей из утечки 2014 года ресурса для женщин cafemom.com.

Эта утечка интересна тем, что пароли хранились в открытом (текстовом) виде. 🤦‍♂️

Только около 24% пар логин/пароль уникальные.

В свободном доступе оказалась база налогоплательщиков Киргизии.

Файл, содержащий 879,271 запись, изначально был выложен в середине апреля этого года на англоязычный форум, а вчера перевыложен тем же пользователем на русскоязычный форум. Всего в Киргизии около 4 млн. человек старше 18 лет.

В файле находятся данные как юридических, так и физических лиц:

🌵 ФИО/название юрлица
🌵 идентификационный номер налогоплательщика (ИНН)
🌵 адрес
🌵 дата рождения

Выборочная проверка через сайт Налоговой Службы Кыргызской Республики (salyk.kg/TaxPayer/Info) подтвердила достоверность данных.

Судя по описанию, данные получены в 2019 году через SQL-уязвимость на одном из официальных сайтов. 😎

Сотрудницу одного из отделений банка в Калининграде подозревают в незаконном получении и разглашении банковской тайны.

Ей предъявлено обвинение в том, что она выгрузила из программы документы, содержащие конфиденциальные данные клиента, распечатала их и передала третьему лицу.

Следствие по делу завершено.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: 👇

https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html

Вчера в некоторых СМИ и телеграм-каналах вышла довольно “интересная” новость про то, что «Сбербанк» начал использовать некое израильское чудесное средство для мониторинга даркнета. 😂

Ну использует «Сбербанк» и использует что-то, нам это не особо интересно. Тем более на доступность данных банка на черном рынке это никак не повлияет. 😎 А вот, что действительно интересно, это упоминание неких цифр, которые якобы количественно показывают насколько много в даркнете инцидентов и даже “украденных записей” по тому или иному российскому банку.

Лидером назначен «Тинькофф Банк», ему приписывается 8,952 “угроз в даркнете”. «Сбербанк» - 4,082 “инцидента”, а «Альфа-Банк» - 2,619. 😱

Нас поразили эти невероятно большие цифры, явно взятые с потолка PR-службой одного из сервисов автоматического мониторинга даркнета. Мы даже не можем себе представить, что они могут означать в реальности. 🤷‍♂️

Наш собственный анализ теневых форумов и чатов показывает, что реальное количество объявлений по продаже данных по этим банкам не превышает двух десятков. Плюс, сюда можно добавить примерно столько же предложений услуг “банковского пробива” и чуть больше предложений различных услуг по открытию счетов и получению карт на подставных людей (“дропы”). Еще около десятка объявлений о поиске сотрудников банков (вербовка инсайдеров).

Чтобы показать абсурдность опубликованных цифр, мы сделали поиск по всем вариантам и словоформам (например, тиня, тинь, желтый банк, тиньков и т.д.), описывающим «Тинькофф Банк» (т.к. именно он был назначен лидером), на всех основных теневых площадках.

Подчеркиваем, что мы искали любые упоминания, включая новостные заметки (на этих форумах встречается и такое), объявления о покупке/продаже данных, перечисления вариантов оплаты совершенно других (не связанных с банками) услуг и т.п. 👇

Итого, за все время было найдено 2,690 упоминаний «Тинькофф Банк». 🤦‍♂️

Вместо 8,952 “угроз в даркнете” мы получили 2,690 упоминаний. 🤦🏻‍♂️ Почувствуйте разницу, как говорится. 🤣

Единственный способ, немного приблизить нашу цифру 2,690 к опубликованной 8,952, это считать не просто все упоминания, но и все другие ответы во всех темах, в которых было упоминание искомой строки. Т.е. если в какой-то теме на форуме, в которой 100 ответов, шло обсуждение продажи поддельных документов и как вариант оплаты предлагался перевод на карточку «Тинькофф Банк», то все эти 100 ответов записывать в графу “угрозы в даркнете” для «Тинькофф Банк». 🙈

В начале мая мы писали про то, что был взломал официальный сервер многопользовательской игры «Stalker-Online» (stalker.so).

127 тыс. паролей из этой утечки изначально были в текстовом виде, а сейчас стали доступны почти 700 тыс. "восстановленных" из хешей (SHA-1 с солью) паролей.

54% пар логин/пароль уникальные.

В Перми к уголовной ответственности привлечен главный специалист по клиентскому сервису местного филиала ПАО «Вымпел-Коммуникации» (торговая марка «Билайн»).

Подозреваемый отвечал за информационно-справочное обслуживание клиентов компании и незаконно копировал сведения о телефонных переговорах абонентов и их персональные данные, а также пароли доступа к личным кабинетам. Собранную информацию злоумышленник передавал неустановленным лицам при помощи мессенджера Telegram.

В отношении него было возбуждено 14 уголовных дел по ч. 3 ст. 138 УК РФ (нарушение тайны телефонных переговоров с использованием служебного положения), и ч. 3 ст. 272 УК РФ (неправомерный доступ к компьютерной информации с использованием служебного положения).


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: 👇

https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html

В самом конце 2018 года хакер Gnosticplayers (также взламывал Zynga, MyHeritage, MyFitnessPal, 500px и др.) получил доступ к данным 16 млн. пользователей сайта для размещения фотографий Fotolog.com.

"Расшифрован" 1 млн. паролей из этой утечки. Мы проверили пары логин/пароль и 95% из них оказались уникальными.

В паблик попал небольшой кусок, продающейся в данный момент базы пользователей онлайнового фоторедактора «piZap» (pizap.com).

В полном дампе 60,9 млн. строк и продается он за $4 тыс. 💰

В выложенном куске 3,094,068 строк, содержащих:

🌵 имя пользователя
🌵 адрес эл. почты
🌵 пол
🌵 идентификаторы соц. сетей (Facebook, Twitter)
🌵 хешированный (SHA-1 с солью) пароль

Поскольку даже в полном дампе нет соли, с которой хешировались пароли, то “взлом” хешей представляет существенную проблему и пока текстовые варианты паролей из этой утечки недоступны. 😎

Изначально сервис «piZap» был взломан пакистанским хакером Gnosticplayers (также взламывал Zynga, MyHeritage, MyFitnessPal, 500px и др.) в апреле 2018 г.

24-го апреля этого года система DeviceLock Data Breach Intelligence обнаружила свободно доступный Elasticsearch-сервер, в индексах которого содержались ответы (тикеты) службы технической поддержки платформы для handmade-мастеров «Ярмарка Мастеров» (livemaster.ru).

Всего в индексе находилось более 550 тыс. сообщений, содержащих:

🌵 имя/фамилия
🌵 адрес эл. почты
🌵 текст сообщения
🌵 дата/время
🌵 IP-адрес
🌵 User-Agent, тип браузера, ОС и т.п.

Мы немедленно оповестили владельца сервера и в тот же день доступ к данным был “тихо” закрыт. 🤷‍♂️

По информации Shodan, данный сервер с этими индексами появился в свободном доступе 16.04.2020, а до этого эти индексы “всплывали” начиная с 29.07.2019, перемежаясь с другими (явно тестовыми) индексами. 🤦‍♂️

Недавно написали, что сотрудник «Вымпелком» (торговая марка «Билайн») публично, через СМИ, извился за “слив” данных клиента компании.

Суд прекратил уголовное преследование в отношении Ивана Дятлова и применил к нему наказание в виде штрафа в размере 60 тыс. руб.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: 👇

https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html