Для "интересующихся" статистикой использования интернета в различных организациях, есть несколько полезных «дорков» для Google:

allinurl:"/squid-reports/"
allintitle:"SARG reports"

Среди прочего мусора, в выдачу попадут отчеты для Squid (Squid Analysis Report Generator), чаще всего имеющие вид:

[URL/IP ADDRESS]/squid-reports/

Специалисты из компании «Инфосекьюрити» провели анализ данных, украденных хакерами из базы скорой помощи (про это тут https://t.me/dataleak/916).

С выводами солидарны… 👍

Приводим полный текст со страницы www.facebook.com/263287141145127/posts/443263199814186:

На этой неделе одной из самых громких новостей в сфере ИБ стало обнаружение в сети открытой базы данных подмосковной скорой помощи.

Впервые информация о ней была опубликована 7 апреля в Telegram-канале хакерской группы THack3forU. В сообщении говорилось о взломе базы данных MongoDB, содержащей сведения о 400 тысячах пациентов, обратившихся за экстренной помощью.

Злоумышленники выгрузили данные, а получившийся файл объемом порядка 17 гигабайт выложили на одном из файлообменных сервисов.

Специалисты «Инфосекьюрити» проанализировали громкую утечку: размещенный злоумышленниками файл действительно содержит персональные данные лиц, обращавшихся за помощью. Помимо имен в нем присутствуют сведения о возрасте пациентов, их контактные телефоны, адреса, причины вызова скорой и комментарии врачей.

Вот только из заявленных 400 000 записей уникальными являются всего 235 (!), включая несколько тестовых строк, не содержащих сведений о пациентах.

Содержимое базы охватывает данные за три дня: 26 марта, 2 и 4 апреля 2019 года, причем 231 запись была внесена в базу в течение одного дня, а из четырех оставшихся лишь 3 записи, датированные 4 апреля, содержат персональные данные.

Все остальные сведения, содержащиеся в размещенной злоумышленниками базе, представляют собой ни что иное, как многочисленные копии этих самых 235 записей. Это позволяет предположить, что утекшая база данных эксплуатировалась в тестовом режиме, например, в процессе настройки или интеграции информационной системы.

Таким образом, информация о крупномасштабной утечке персональных данных россиян в данном случае является явным преувеличением.

А тем временем файл с теми самыми, нормализованными 235 записями из базы скорых, уже находится в свободном доступе…

Выслали нотификацию правительству Москвы (mos.ru) относительно открытой базы Elasticsearch с данными проекта «Московское долголетие» (www.mos.ru/city/projects/dolgoletie/).

Похоже на то, что проект переехал на другой сервер в середине февраля этого года, а про эту базу данных все забыли и оставили ее в открытом доступе.

В базе содержатся данные (более 75 тыс. строк) вплоть до 15-го февраля 2019 года включительно:

- ФИО жителей Москвы
- логин в систему
- должность
- тип активности (например, «Английский язык», «Изобразительное искусство», «Скандинавская ходьба» и т.п.)
- место (название учреждения, адрес и GPS-координаты) занятий
- и другие не очень критичные данные…

Читательница канала под ником Fairy Wow прислала нам информацию по обнаруженной 11 апреля открытой базе данных MongoDB. 👇

В открытом доступе находилась база сервиса «Кивитакси» (kiwitaxi.ru) размером около 100 Мб, с данными о поездках по региону Сочи/Адлер и прилегающим городам.

Первые записи в базе датировались 2017 годом. Последняя запись - 10 апреля 2019.

Сообщение сервису «Кивитакси» было отправлено 11-го в 14:26 и около 17:30 база была закрыта.

В базе содержалось:

✅ информация по водителям (имя, идентификатор Telegram, город, номер телефона, модель/марка/номер автомобиля, когда присоединился к сервису, в штате или нет).

✅ информация по клиентам (имя, дата поездки, номер телефона, маршрут поездки). Для некоторых клиентов указана компания, которая им вызывает такси, номер рейса самолета, которым прилетает/улетает пассажир.

✅ рейтинги водителей, стоимости поездок, идентификаторы такси и т.п.

Ассоциация выпускников программы повышения квалификации академии ФБР США - FBI National Academy Associates (FBI NAA) сообщает о том, что хакеры взломали вебсайты трех филиалов ассоциации и получили доступ к персональным данным ее членов. 🔥

На сайте ассоциации указано, что ее членами являются 17 тыс. сотрудников правоохранительных органов из 50 штатов США и 170 стран. Всего через программу повышения квалификации (FBINA Program) прошло более 50 тыс. человек.

В данный момент полученные хакерами из группировки PokémonGo Team (twitter.com/PokemonGoICU) файлы свободно доступны. Всего распространяется три архива:

✅ ncfbinaa.org.zip (104 Мб)
✅ floridafbinaa.starchapter.com.zip (55 Мб)
✅ fbinaadc.org.zip (45 Мб)

Как понятно из названий архивов, данные получены из филиалов ассоциации в Северной Каролине, Флориде и округе Колумбия, соответственно.

Интерес в архивах представляют CSV-файлы, в которых содержится персональная информация членов ассоциации: полные имена, адреса электронной почты (многие на доменах .fbi.gov и .gov), места работы, номера рабочих и домашних телефонов, адреса проживания и т.п.

Самый «свежий» файл называется 2019_april_10_active_members_2019.csv и содержит данные 934 членов филиала ассоциации в Северной Каролине.

Файл из Флориды содержит 801 запись, а из округа Колумбия - 209 записей.

Кроме данных действующих членов ассоциации, в архивах также содержится информация и по бывшим членам и другим (видимо оставлявшим заявки на вступление в ассоциацию) выпускникам программы повышения квалификации академии ФБР.

Данные членов филиала ассоциации выпускников программы повышения квалификации академии ФБР в Северной Каролине.

13-го апреля мы обнаружили открытую базу данных Elasticsearch, содержащую данные проекта Правительства Москвы - «Московское долголетие» (www.mos.ru/city/projects/dolgoletie/). 🤦‍♂️

В базе находилось более 75108 строк с информацией об участниках программы за период с 05.10.2018 до 15.02.2019 года включительно (из них 7160 строк за 2019 год):

✅ ФИО жителей Москвы
✅ логин в систему
✅ должность
✅ тип активности (например, «Английский язык», «Изобразительное искусство», «Скандинавская ходьба» и т.п.)
✅ место (название учреждения, адрес и GPS-координаты) занятий
✅ разбиение по группам активности (список ФИО с привязкой к группе)


В 22:36 (МСК) отослали оповещение в адрес техподдержки проекта (https://t.me/dataleak/950) и на следующий день около 9:30 индекс (activity) с данными исчез из базы (сам сервер при этом продолжал быть доступным). К 11:00 сервер с базой данных исчез из открытого доступа. 😂 Сегодня в 12:20 был получен ответ от техподдержки: "Благодарим Вас за предоставленную информацию. Информация передана соответствующим специалистам и руководству."

По косвенным признакам было сделано предположение, что с середины февраля 2019 г. данный проект «переехал» на другой сервер, а обнаруженный сервер с данными был просто забыт.

Первый раз Shodan зафиксировал этот Elasticsearch в открытом доступе - 24.02.2019.

Информация из открытой базы данных проекта «Московское долголетие»

Информация об участниках программы «Московское долголетие»

Наверное, все знают истории про то, как один человек оставил заявку на кредитную карту (ипотеку, потребкредит и т.п.), а потом ему начинают названивать из других банков с подобными предложениями? 😂

Вот, например, «Бинбанк» собирал данные желающих открыть карту «Эlixir», а «умельцы» нашли способ как эти данные утащить прямо из заполненных форм на сайте банка.

Выяснилось, что заполненные формы с персональными данными доступны по URL вида:

http://app.binbank.ru/g/Nxxxxxxx

причем первый символ всегда цифра 2 или 7, остальные – латинские буквы, что значительно упростило задачу перебора.

Пример найденных перебором URL:

1️⃣ http://app.binbank.ru/g/2EmEqkcz
2️⃣ http://app.binbank.ru/g/7EAEaAEu

Среди прочего в формах содержится:

✅ ФИО
✅ паспортные данные (серия, номер, кем и когда выдан)
✅ телефон
✅ адрес проживания
✅ и т.п.

По нашим данным, уже нашли около 1000 форм. 🔥

Похоже, что «Бинбанк» прикрыл формы, через которые злоумышленники вытаскивали персональные данные граждан, оставлявших заявки на открытие карт «Эlixir» (https://t.me/dataleak/957).

В понедельник компания DeviceLock сообщила о выявленной утечке данных клиентов-физлиц, подававших в свое время заявки на получение кредитной карты Бинбанка «Эlixir».

По заявителям доступны ФИО, паспортные данные, телефон и адрес проживания. Эти данные не находятся в открытом доступе, однако извлечь их можно методом подбора буквенно-цифровых сочетаний, поясняется в сообщении компании.

Как пояснил “Ъ” основатель DeviceLock Ашот Оганесян, скорее всего, имела место уязвимость API-механизма, через который сайт и мобильные приложения получают доступ к внутренней системе банка для передачи заявок на выпуск карт «Эlixir». По его словам, в настоящее время известно, что уже найдено более 1000 анкет.

https://www.kommersant.ru/doc/3945472

В конце марта была обнаружена открытая база данных Elasticsearch, с данными заказов интернет-магазина компании «БСК» - поставщика профессиональных продуктов строительного назначения (bsc.im).

В базе содержалось более 10 тыс. записей:

✅ имена покупателей
✅ адреса электронной почты
✅ адреса доставки (или самовывоза) товара
✅ суммы заказов (и стоимость доставки)
✅ типы платежей (наличные, карта)
✅ заказанные товары


В ответ на наше уведомление пришел ответ:

Большое спасибо. Недавно пришлось экстренно эвакуироваться из Яндекс облака и в спешке забыли закрыть порт.

Подробные персональные данные пользователей сайтов оплатагибдд.рф, paygibdd.ru, gos-oplata.ru, штрафов.net и oplata-fssp.ru неопределённое время находились в открытом доступе, сообщили D-Russia.ru в российской компании Devicelock, производителе средств защиты от утечек информации Devicelock DLP.

«В доступе оказались все подробности платежей: номер постановления о штрафе, государственный номерной знак автомобиля, номер исполнительного производства при платеже на сайте службы судебных приставов, первые и последние цифры банковских карт, через какой платёжный сервис произведена оплата и пр.», – говорит основатель и технический директор DeviceLock Ашот Оганесян.

Число записей о платежах Оганесян оценивает в сотни тысяч. Только в один случайно выбранный день апреля открытыми оказались сведения о 40 тысячах платежей.

http://d-russia.ru/v-otkrytom-dostupe-okazalis-podrobnye-dannye-o-sotnyah-tysyach-platezhej-grazhdan-v-gibdd-i-fssp.html

Немного подробностей про открытую базу с данными платежей в ГИБДД и ФССП (https://t.me/dataleak/961). 🔥🔥🔥

Впервые база «засветилась» в Shodan 24.02.2019. Обнаружена нами она была поздно ночью 12.04.2019. Утром 13.04.2019 мы отправили оповещение по адресам support@gos-oplata.ru, support@oplata-fssp.ru, support@paygibdd.ru, но ответа не получили. Сервер тихо убрали из открытого доступа 13.04.2019 около 15:20-15:45 (МСК).

База содержала в себе логи (да-да, опять чувствительные данные утекают через логирование) информационной системы (ИС), а уже в логах и находилась вся подробная информация, о которой написано в статье выше.

Хорошая новость состоит в том, что логи хранились только, начиная с 28.02.2019, а не за все время работы ИС. В некоторых индексах данные были с 17.03.2019.

Вторая хорошая новость – данные платежных карт из платежных шлюзов не передавались в данную ИС, а потому и не сохранялись в ее логах. Поле cardnumber имело вид: 123456********1234.

Больше хороших новостей нет. 🤦‍♂️🤦🏻‍♂️🙈

Вебсайты оплатагибдд.рф, paygibdd.ru, gos-oplata.ru, штрафов.net, oplata-fssp.ru и сервер с открытой базой Elasticsearch

5-го апреля нами была обнаружена открытая база данных MongoDB содержащая информацию проекта «Биржа эвакуаторов». На сайте проекта all-evak.ru написано: “Проект объединяет максимальное количество эвакуаторов и диспетчерских служб по всей России”.

Мы сразу оповестили владельцев базы и 8-го числа получили ответ: “Спасибо большое за информацию о открытой базе. К сожалению, не уследили за тем, что порт открыт для внешнего доступа. На данный момент базу удалили.”

В базе содержались все данные по вызовам эвакуаторов по всей стране (еще были обнаружены данные по Казахстану):

✅ адрес и GPS-координаты откуда забирать автомобиль
✅ адрес и GPS-координаты куда везти автомобиль
✅ описание (например, “Lexus RX 350, колеса не блокированы”
✅ имя клиента (иногда имя и отчество)
✅ телефон клиента
✅ дата и время заказа

На момент обнаружения в базе было 1700 заказов, на момент закрытия – 2362.

Удивительно, но первая дата фиксации этой базы в открытом доступе поисковиком Shodan - 18.08.2017! 🤦‍♂️

13-го апреля мы обнаружили открытую базу данных PostgreSQL информационной системы «САУ-ГИС» (http://cbt.ru/product/soft/sau-gis.html).

Компания-разработчик ИС была немедленно проинформирована об инциденте (дважды!), однако база исчезла из открытого доступа только 15-го (видимо сказались выходные). 🙈

По нашей информации в базе содержались далеко не тестовые данные, а самая актуальная информация, включая данные за 2019 год.

Доступ к данным в этом экземпляре PostgreSQL даже не требовал никакого дополнительного ПО, т.к. на 9000 порту удобно расположилось WEB API: 🤦🏻‍♂️

http://95.174.xxx.xx:9000

В базе содержалось:

✅ пользователи ИС (ФИО, логины, пароли в открытом виде, номера телефонов)
✅ логи ИС (какой пользователь когда входил в систему)
✅ логины и пароли (в открытом виде) доступа к внутренним GEO-серверам
✅ метаинформация по внутренним документам (номера, названия, владелец, дата, т.п.)
✅ классификатор документов (ДСП и т.п.)
✅ адреса объектов в г. Таганрог
✅ многое другое.

В Саратове ждет суда бывшая сотрудница полиции, которую обвинили в получении взятки за предоставление ритуальной службе оперативной информации.

По данным следствия, с 18 марта по 28 декабря 2016 года помощник оперативного дежурного (по службе 02) УМВД по Саратову получила взятку 81 тысячу рублей.

Про возбуждение этого уголовного дела мы писали еще в апреле 2018: https://t.me/dataleak/307

16.04 в 0:40 (МСК) мы оповестили компанию MST Lab (www.mstlab24.ru) о том, что в открытом доступе был найден сервер с Elasticsearch, в индексах которого содержались данные их продукта «MST Lab 24».

С сайта компании:
Сервис для повышения продаж и увеличения эффективности бизнеса. MST Lab 24 – это мобильные и web приложения для организации выездных сотрудников и их коллег в офисе.

В открытом доступе находились отчеты по стоимости различных продуктов питания в магазинах по всей России, содержащие ссылки (файлы физически расположены в облаке Amazon) на фотографии ценников, адреса магазинов, штрих-коды продуктов.

Помимо отчетов по продуктам, в индексах были обнаружены ФИО, адреса электронной почты, телефоны и должности сотрудников различных магазинов и компаний-поставщиков.

Сегодня сервер Elasticsearch «тихо» исчез из свободного доступа. 😎