В Новосибирске завершено расследование уголовного дела по статье мошенничество против двух женщин, одна из которых являлась менеджером прямых продаж «Совкомбанка».

По версии следствия, обвиняемые создали видимость действующего кадрового агентства и под видом оказания услуг по трудоустройству получали персональные данные людей, ищущих работу. После этого через мобильное приложение банка женщины заполняли заявление-анкету заёмщика и оформляли кредит. 🤦‍♂️🤦🏻‍♂️

Деньги женщины присваивали себе. В результате они причинили ущерб банку на сумму более 1 миллиона рублей.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

Новое расследование канала @in4security, на этот раз про доступ к базе клиентов транспортно-логистической компании «СДЭК».

Доступ к базе данных «СДЭК», содержащей сведения о более чем 9 млн. клиентов, продается на теневых форумах за 70 тыс. рублей.

Со своей стороны, можем только подтвердить то, что по «СДЭК» действительно очень много данных.

https://te.legra.ph/Posylka-s-dvojnym-dnom-05-08

Как и обещали вчера, проанализировали почти 33 млн. паролей из утечки «LiveJournal» 2014 года (795,402 строки были с пустым паролем).

Почти 69% пар почта/пароль оказались уникальными и никогда раньше не встречались в других утечках. 👍

Хакер взломал официальный сервер многопользовательской игры «Stalker-Online» (stalker.so) и получил доступ к базе данных зарегистрированных игроков.

Дамп базы данных, выложенный в открытый доступ содержит 1,290,883 строки: 👇

🌵 имя аккаунта (в HEX-кодах)
🌵 адрес электронной почты
🌵 номер телефона
🌵 IP-адрес последнего соединения
🌵 хешированный пароль (SHA-1 с солью, но около 127 тыс. паролей в текстовом виде 🤦🏻‍♂️)
🌵 дата/время регистрации
🌵 имя последнего персонажа, которым играли
🌵 время, проведенное в игре
🌵 и многое другое

Судя по датам в дампе, он был сделан 05.05.2020.

Кроме того, хакер продает доступ к серверу игры за $500 и в качестве подтверждения разметил на нем ссылку: https://stalker.so/media/otkup.html

Давно у нас не было классического для компаний, допустивших утечку "вы все врете". 😂 И вот:

«Информация, распространяемая в сети о якобы "массовой утечке" данных пользователей ЖЖ, не соответствует действительности — это одна из кликбейтных новостей, задача которой — привлечь интерес к третьей стороне в данном вопросе» - сообщил представитель холдинга Rambler Group.

🤦‍♂️🤦🏻‍♂️🙈

При этом, «Ведомости» пишут:

Блогеры, выборочно опрошенные «Ведомостями», подтвердили, что их данные, опубликованные в интернете, в 2014 г. были вполне актуальны.

Со своей стороны, мы, конечно, тоже выборочно проверили профили пользователей ЖЖ из этой базы, включая свои собственные и разумеется, никаких сомнений в том, что эта база содержит реальные данные (в первую очередь пароли в текстовом виде), валидные на 2014 год - нет.

Решили немного посмотреть на статистику паролей в утекшей базе «LiveJournal».

Данные по уникальности пар логин/пароль мы приводили вчера. 👍

Всего анализировалось 32,930,036 паролей (в базе 33,726,800 строк, но скажем 795,402 записи не имеют паролей вообще, а остальные строки можно отнести к "битым"). 👇

В скобках указывается место записи в топ-100 из нашего анализа 5 млрд утекших паролей (читать тут).

20 самых популярных паролей из этой базы:

1️⃣ Million2
2️⃣ jacket025
3️⃣ 123456789 (2)
4️⃣ Iloveyou (34)
5️⃣ ohmnamah23
6️⃣ Qwerty (3)
7️⃣ qqww1122
8️⃣ 6655321
9️⃣ jakcgt333
1️⃣0️⃣ abc123 (17)
1️⃣1️⃣ Sample123
1️⃣2️⃣ Mega_Pizdetz666
1️⃣3️⃣ 111nice
1️⃣4️⃣ qwerf12
1️⃣5️⃣ 09121962q
1️⃣6️⃣ Asdfghjkl (58)
1️⃣7️⃣ target123
1️⃣8️⃣ 1234567890 (10)
1️⃣9️⃣ 121324810z
2️⃣0️⃣ Qwertyuiop (14)

Что сразу бросается в глаза, это наличие в топе, на верхних позициях, довольно странных и относительно сложных (для того, чтобы быть наверху) паролей.

Большинство этих паролей мы относим к массовым автоматическим регистрациям (когда учетные записи создаются ботами). Например:

🌵 Million2 - практически все (только 155 на mail.ru) профили имеют адреса эл. почты в доменной зоне .cc (taksiki.co.cc, post.pitermail.co.cc, users.pitermail.co.cc и др.)

🌵 ohmnamah23 - много профилей имеют адреса на доменах с mp3, music и movie в названии.

🌵 jacket025 – все адреса на доменах szef.cn, siteposter.net, mx8168.net

🌵 jakcgt333 – все адреса на szef.cn (явная связь с предыдущим паролем)

🌵 Mega_Pizdetz666 - все адреса на odal.ru

Всего к ботам мы отнесли 2,058,329 профилей (6% от всей базы ЖЖ). 😎

В Санкт-Петербурге возбуждены уголовные дела в отношении должностного лица таможенного органа по ч. 4 ст. 272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации) и ч. 3 ст. 290 УК РФ (взятка), а также в отношении группы лиц по п. "а" ч. 4 ст. 291 УК РФ (дача взятки).

Сотрудник таможенной службы выгружал данные о таможенном декларировании и системе управления профилями рисков из «Единой автоматизированной системы таможенных органов» (ЕАИС ТО).

Затем информация пересылалась соучастникам и впоследствии реализовывалась, в том числе через интернет-форумы.

Ранее мы писали о том, что северная транспортная прокуратура выявила утечку полной базы экспортно-импортных операций России за восемь лет.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

5 дней назад мы сообщили (через контактную форму на сайте) о том, что в свободно доступных индексах Elasticsearch обнаружены данные заявок на пропуска для передвижения по городу Алматы в период карантина, которые оформляли компании Казахстана через сайт infoalmaty.kz. 🔥

К сожалению, никакой реакции на наше оповещение не последовало и Elasticsearch-сервер открыт до сих пор. 🤦‍♂️

По данным BinaryEdge, этот сервер впервые попал в открытый доступ 01.05.2020. 😱

Других вариантов связаться с infoalmaty.kz у нас нет, поэтому если среди наших читателей есть те, кому не безразлична проблема безопасности данных в Казахстане, предлагаем им рассказать данному проекту о проблеме. 👍

Подробнее про инцидент мы напишем позже. 😎

«Коммерсантъ» пишет про доступ к базе данных «СДЭК»:

Данные, якобы принадлежащие 9 млн клиентов службы экспресс-перевозки СДЭК, выставили на продажу в интернете за 70 тыс. руб. Это самая крупная утечка персональных данных в российских службах доставки, интерес мошенников к которым связан с ростом спроса на их услуги на фоне самоизоляции из-за коронавируса, отмечают эксперты. В самой компании настаивают, что из нее утечек не было, а источником данных мог стать другой ресурс.

Про это мы писали чуть раньше.

Напомним, что в расследовании шла речь о продаже логина/пароля в “живую” базу, а не о сливе базы.

На одном из теневых форумов, вчера появилась ссылка на торрент с раздачей 24 Гб информации (83 файла в формате CSV) о транспортных средствах, зарегистрированных в России. 👇

Открыто распространяемые данные обезличены и содержат только базовую информацию о ТС: тип, марка, модель, дата регистрации, год выпуска, VIN и т.п.

Однако, в одном из файлов содержится объявление о продаже полной версии базы (в формате SQL-дампа), со всеми персональными данными владельцев ТС, на декабрь 2019 года: ФИО, ИНН, адрес, дата рождения, паспорт и т.п. 🔥🔥🔥

За полную версию базы неизвестный просит 0,3 BTC (около $2,8 тыс.), а за эксклюзив (“одни руки”) – около $14 тыс.

В качестве доказательств приложены скриншоты полной базы со всеми данными. 👍

В Осинском районе Пермского края работник местного филиала банка обвиняется в краже денег со счетов клиентов.

В конце 2019 года, работая специалистом в одном из банков, он и имел доступ к логинам и паролям от личных кабинетов клиентов. Всего было зафиксировано 5 случаев несанкционированного доступа к счетам, в результате было похищено более 50 тыс. рублей.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

Немного продолжим тему базы данных пользователей «LiveJournal».

Два дня назад мы анализировали пароли из этой базы и показали, что там достаточно много (6%) массовых регистраций (ботов).

Сейчас посмотрим на сами профили.

Самый “свежий” профиль (50015262) из до сих пор существующих был зарегистрирован 31.05.2012. Это может говорить о том, что база скорее всего относится к 2012 году, а не к 2014, как мы писали ранее.

Информация о 2014 г. изначально появилась в 2019 г. от проекта «We Leak Info» (https://twitter.com/weleakinfo/status/1149904387374026752). Кстати, «We Leak Info» прекратил свое существование, а его владелец был арестован. 😱

Вообще, самый последний профиль в этой базе имеет номер 50015268, но в данный момент он не существует.

10 самых популярных логинов (один и тот же адрес эл. почты использовался много раз для регистрации разных профилей, в разное время): 👇

1️⃣ 0000000000@ljmob.ru
2️⃣ dlyadorveev11@rambler.ru
3️⃣ jollierpottery8@mail.ru
4️⃣ dlyadorveev19@rambler.ru
5️⃣ jjrisk@mail.ru
6️⃣ sdfqsdf@gawab.com
7️⃣ alexalol@yandex.ru
8️⃣ santafemap@gmail.com
9️⃣ jhgjhhlp@mail.ru
1️⃣0️⃣ fastforwardseo@gmail.com

В сотне самых популярных логинов, имя «dlyadorveev» встречается в вариантах: dlyadorveev11@rambler.ru (2 место), dlyadorveev19@rambler.ru (4 место), dlyadorveev20@gmail.com (24 место), dlyadorveev12@rambler.ru (71 место). Суммарно они встречаются в базе – 49,377 раз.

Имя «fastforwardseo» также явно указывает на цель регистрации профилей. 🤣

«Ведомости» пишут про базу 129 млн. транспортных средств, зарегистрированных в России:

В открытом доступе оказалась база данных российских автовладельцев.

Подлинность содержащихся в базе сведений подтвердил «Ведомостям» сотрудник каршеринговой компании, данные об автомобилях которой содержатся в реестре. Согласно описанию базы, в ней 129 млн лидов (информация получена из реестра ГИБДД, утверждают ее распространители). В большинстве из 83 файлов, выложенных в открытый доступ, содержатся обезличенные сведения о транспортных средствах, зарегистрированных в России: место регистрации, марка и модель автомобиля, дата первичной и последней регистрации и проч.

За отдельную плату продавцы базы предлагают персональные данные автовладельцев, среди которых фамилия, имя и отчество, адрес, дата рождения, номер паспорта, контактные данные.

В открытом доступе оказался сервер с данными клиентов крупной нигерийской компании электронной коммерции Konga.com.

В открытой директории на сервере находится множество файлов, в том числе файл с 2,073,613 строками, содержащими:

🌵 имя/фамилия
🌵 адрес электронной почты
🌵 город/страна

Предположительно, данный сервер либо принадлежит компании «Emarsys» (emarsys.com), предоставляющей IT-решения для анализа покупательской и маркетинговой активности, либо Konga.com использует его для обмена информацией с «Emarsys».

IP-адрес сервера уже выложен на форуме в свободный доступ. 😱


Ранее мы писали, что утекли 15 млн. данных клиентов индонезийской компании электронной коммерции Tokopedia.com.

Добавили в коллекцию “расшифрованные” пароли из утечек: 👇

🌵 портал онлайновых игр Suba Games (subagames.com) - из 6,6 млн. пар логин/пароль только 34% оказались уникальными.

🌵 сайт для поиска видеоконтента MeFeedia.com - из 1,4 млн. пар логин/пароль 57% никогда ранее не встречались в утечках.

Индийские исследователи из «ShadowMap» обнаружили сервер, на котором в свободном доступе находился файл с резервной копией SQL-базы с данными членов и сотрудников Европейского парламента, Европола и других организаций, связанных с ЕС, а также журналистов. 😂

В SQL-дампе более 16,2 тыс. строк, содержащих:

🌵 имя
🌵 хешированный (с солью) пароль
🌵 адрес электронной почты
🌵 логин
🌵 дата создания профиля

В том числе данные более 200 членов Европарламента, Еврокомиссии и Европейского Совета и более 1000 сотрудников Европарламента.

Кроме того, там содержатся профили более чем 15 тыс. журналистов и членов европейских политических партий.

Самое “смешное” в этом то, что один из членов Европарламента Andreas Schwab, заявил об отсутствии проблемы, т.к. это был старый бекап старого веб-сайта.🤦‍♂️🤦🏻‍♂️ На это ему поступило предложение согласиться с публикацией данных из строки с номером 608. 🤣

«Коммерсантъ» пишет:

Паспортные данные оштрафованных за нарушение самоизоляции в Москве оказались доступны на сайтах для оплаты штрафов по номеру начисления, который можно подобрать перебором с помощью простого софта. Только по состоянию на 10 мая таких штрафов было выписано 35 тыс. В мэрии рекомендуют гражданам не выкладывать в интернет скриншоты штрафов и не передавать их номера третьим лицам.

По уникальному идентификатору начислений (УИН) штрафа за нарушение самоизоляции в Москве в сервисах их оплаты можно обнаружить персональные данные оштрафованного, в том числе фамилию, имя, отчество и паспортные данные.

Чтобы система была защищена от утечек, она должна блокировать попытки многократного введения УИН, а данные должны публиковаться в частично обезличенном виде, рекомендует он. Сайты для оплаты штрафов зачастую не имеют защиты от таких действий — ни ограничения числа запросов, ни даже «капчи» (тест, чтобы определить, является пользователь системы человеком или компьютером), отмечает основатель DeviceLock Ашот Оганесян. Хотя УИН состоит из 20 или 25 цифр, перебор его — простая задача, отмечает он.

Поясним, о чем конкретно идет речь в статье «Коммерсантъ».

Есть сайт «Оплата Госуслуг» (не имеет отношения к Порталу государственных услуг❗️). На этом сайте возможен поиск по УИН (уникальный идентификатор начисления):

https://oplatagosuslug.ru/main/uin/search/

При поиске не используется CAPTCHA и нет защиты от массовых запросов. 🤦‍♂️

Соответственно, можно перебором УИН найти все начисления. В некоторых начислениях (в частности штрафах за нарушение режима самоизоляции в Москве) указываются персональные данные граждан: ФИО и паспортные данные. 😱

Зная, как формируется УИН можно существенно упростить задачу перебора. УИН состоит из 20 и 25 цифр, последний разряд является контрольным и вычисляется по известной формуле (что позволяет перебирать только валидные номера).

Обработали более 8,7 млн. “расшифрованных” паролей от интернет-магазина одежды romwe.com.

91% пар логин/пароль из этой утечки никогда раньше не встречались и являются уникальными. 👍

36-летний житель Курска, перед увольнением из компании, предоставляющей услуги доступа в интернет, скопировал базу данных клиентов.

Полученную информацию злоумышленник использовал для обзвона клиентов с предложением сменить провайдера. 🤦‍♂️

При обыске у подозреваемого изъяли технические средства с базой данных.

Сейчас на жителя Курска возбуждены два уголовных дела по статьям «незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну» и «неправомерный доступ к компьютерной информации». Расследование дела завершено, и материалы направлены в суд для рассмотрения по существу.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html