Утечки информации
123K subscribers
1.59K photos
1 video
1 file
2.42K links
Знаем про утечки все! Поиск утечек и мониторинг даркнета: dlbi.ru

Рекламы нет.

За вопросы "где взять базу?" и "сколько стоит реклама?" - бан.

Ничего не продаем и не раздаем!

Админ: @ashotog

Группа в ВК: https://vk.com/dataleakage
Download Telegram
Как вам хорошо известно из наших постов, часто в открытых базах данных (особенно в индексах Elasticsearch) содержатся не только персональные и иные чувствительные данные, но и токены авторизации, ключи и логины/пароли к различным сервисам. 😎

Мы решили провести ретроспективный анализ всех найденных нами с начала этого года открытых баз, которые в данный момент уже не находятся в свободном доступе и где были обнаружены токены, логины/пароли и ключи.

Наша цель – узнать, а предпринимались ли владельцами этих баз реальные меры по защите данных (чаще всего это данные клиентов сервисов, допустивших утечку) или все дело ограничилось закрытием внешнего доступа к серверам.


Сначала те, кто предпринял реальные меры и сменил пароли/токены/ключи: 👍

promopult.ru (https://t.me/dataleak/1037) – сменили пароли от «засвеченных» аккаунтов GetSale.io

zvonok.com (https://t.me/dataleak/922) – прикрыли доступ к «засвеченным» аккаунтам пользователей и их звонкам

barameo.ru (https://t.me/dataleak/1006) – прикрыли все «засвеченные» URL с персональными данными

radario.ru (https://t.me/dataleak/1012) – прикрыли доступ к «засвеченным» билетам


Теперь те, кто просто закрыл доступ к своим серверам извне, оставив «засвеченные» пароли/токены/ключи неизменными: 🤦‍♂️🤦🏻‍♂️🙈

❗️ mann-ivanov-ferber.ru (https://t.me/dataleak/998) – токены на доступ к книгам работают, как работали.

❗️ isramedportal.ru (https://t.me/dataleak/1003) – логины/пароли юзеров работают, как работали.

❗️ sletat.ru (https://t.me/dataleak/1028) – логины/пароли турагентств работают, как работали и это не удивительно – руководство сервиса считает, что ничего в открытый доступ не попадало. 😂

❗️ rinsurance.ru (https://t.me/dataleak/1042) - ключ для сервиса SMS.RU по-прежнему работает, можно от имени rinsurance.ru рассылать СМС на любые номера телефонов.
Утром 24 апреля система DeviceLock Data Breach Intelligence (подробнее тут) обнаружила базу данных MongoDB не требующую аутентификации для подключения.

В базе, с именем bso (БСО - бланк строгой отчетности), размером 107.2 Мб находилось более 274 тыс. записей, содержащих персональные данные клиентов страхового агентства «Reimers Insurance» (rinsurance.ru).

Основную часть обнаруженных данных составляла информация о владельцах, застрахованных автомобилей (всего 54824 записей, из них 4731 - Москва): 🔥🔥

ФИО страхователя
марка/модель автомобиля (например, «Mercedes-Benz ML350»)
мобильный телефон страхователя
адрес электронной почты страхователя
адрес страхователя

Помимо данных клиентов в базе находилось:

245 пользователей системы (страховых агентов, продающих страховки): ФИО, дата рождения, департамент, номер договора, логин, хеш пароля и соль

15056 актов: ФИО страховых агентов, дата, номер договора, список БСО

89349 номеров страховых полисов (БСО): номер полиса (например, ЕЕЕ №038360XXXX), название страховой компании (например, ОАО "АльфаСтрахование"), имя/фамилия агента, размер страховой премии, ссылка на страхователя (см. выше) 🤦🏻‍♂️🤦‍♂️

Большое количество внутренней информации (платежные ведомости, список сотрудников по департаментам, возвраты полисов, взаиморасчеты со страховыми компаниями и т.п.)


Кроме того, в открытом доступе были обнаружены ключи к amoCRM:

"amoKey" : "XXXXXX575f391597336990b008XXXXXX"

и к сервису SMS.ru:

"smsRUKey" : "XXXXXXA3-1306-B483-B185-D75EAEXXXXXX"

Ключ работающий, можно отправить любое СМС на любой номер телефона от имени абонента «Rinsurance». 👍


Мы оповестили компанию «Reimers Insurance» в 9:05 (МСК) и повторно связались с ними в 16:15 через компанию «amoCRM» (там нам подтвердили подлинность ключа продукта). Только после второго оповещения, примерно в 17:00 база была закрыта, а мы получили вот такое сообщение от страхового агенства: 😂

Это какая-то старая база на личном серваке нашего программиста. Нужно её скрыть конечно. Ещё раз благодарю.

Насчет «старая база» - 34712 полисов датированы 2018 и 2019 годом. 😎

По данным Shodan данный сервер впервые попал в открытый доступ 19.04.2019.
Пример СМС от имени «Rinsurance» для проверки работоспособности ключа SMS.ru.
Завтра (21-го мая) в рамках международного форума по практической безопасности «Positive Hack Days 9» состоится доклад Ашота Оганесяна, основателя и технического директора DeviceLock, на тему «Как обнаруживают открытые базы данных MongoDB и Elasticsearch с персональными данными»: 👇
https://www.phdays.com/ru/program/reports/compromising-publicly-available-databases/

Начало доклада запланировано на 12:30. 👍
🔥 https://habr.com/ru/post/452698/

Обещанные ранее (https://t.me/dataleak/1028) технические подробности утечки данных из сервиса «Слетать.ру», читайте в новой статье на Хабре. 👆

Вкратце:

из свободно доступных индексов можно было получить тысячи (11,7 тыс. включая дубли) адресов электронной почты, некоторую платежную информацию (стоимость туров) и данные тур поездок (когда, куда, данные авиабилетов всех вписанных в тур путешественников и т.п.) в количестве около 1,8 тыс. записей, а также сотни логинов и паролей турагентств в текстовом виде.

из личных кабинетов турагентств можно было получить данные их клиентов, включая номера паспортов, загранпаспортов, даты рождения, ФИО, телефоны и адреса электронной почты.


Про кейс с «Радарио» мы уже писали тут, но не лишним будет повторить. 😎
Вчера по СМИ прошла «новость» о том, что в открытый доступ попали данные почти 50 млн. пользователей Instagram, в основном известных людей, и блогеров, а также брендов. База данных с номерами телефонов и адресами электронной почты оказалась в свободном доступе на сервисе Amazon.

Наш любимый Роскомнадзор немедленно заявил, что направит в Instagram запрос по этой «утечке» данных. Ну конечно, других утечек (без кавычек) у нас тут нет! Надо заниматься псевдо-утечками публичных данных из профилей социальной сети. 🤦‍♂️🤦🏻‍♂️

Ну раз нашим СМИ и Роскомнадзору так нравятся «утечки», а заниматься реальными утечками им не интересно, то можем подкинуть им открытую базу с данными русскоязычных блогеров все того же Instagram. 😎

Свободно доступный сервер Elasticsearch с двумя индексами influencers_staging и influencers находится в открытом доступе минимум с 22.06.2018.


В каждом из индексов более 200 тыс. записей с информацией по Instagram-блогерам:

ник
имя профиля
ссылка на картинку
количество подписчиков
статистика по аудитории (пол, возраст, география и т.п.)
адрес электронной почты
цены на рекламу
статистика по просмотрам и лайкам
и многое другое.


Сервер предположительно принадлежит маркетинговому агентству Zorka.Mobi.
Уже больше месяца наблюдаем в свободном доступе сервер Elasticsearch с данными портала поиска и подключения к интернет-провайдерам - «InetMe» (www.inetme.ru). 😎

Shodan впервые зафиксировал этот Elasticsearch аж 01.01.2018! 🤦🏻‍♂️

На сервере находятся два значимых индекса: coverage (745643 документов) и logs (612123 документов сейчас, 541449 – больше месяца назад).

В coverage содержится информация о том, какой провайдер доступен по какому адресу в каком городе (список городов есть у них на сайте):

"_index": "coverage",
"_type": "addrs",
"_source": {
"providerId": "420",
"addr": "г. КАЗАНЬ,ул. ГУДОВАНЦЕВА,1"
}

А индекс logs (как обычно это бывает с логами 😂) представляет куда больший интерес – тут собраны все заявки на подключение к интернету, которые посетители портала оставляли через форму на сайте:

{
"_index": "logs",
"_type": "data",
"created": "2019-04-16T07:28:27",
"description": "Saving an email\nORDER_ID: 325388\nSUBJECT: \nBODY: ДИЛЕР *ИП Старковски*\r\nАдрес: Бурятия Респ г. Улан-Удэ ул. Ермаковская дом XXX кв XXX\r\nФИО: XXX XXX Эрдыниевна\r\nКонтактный телефон: +7-964-XXX-XX-XX \nДополн. телефон: \r\nУслуги: Для впечатлений\r\nКомментарий: \nFROM: null\nTO:
XXX@gmail.com",
}

Всего около 3 тыс. таких заявок, начиная с 21.07.2018 и по сегодняшний день. 🙈
Forwarded from DeviceLock RU
Авторская колонка в Форбс основателя и технического директора DeviceLock Ашота Оганесяна: 👇

https://www.forbes.ru/tehnologii/376499-bolezn-cifrovogo-mira-kak-zashchititsya-ot-utechek-personalnyh-dannyh


Каждую неделю появляются новости о том, что злоумышленники получили доступ к данным тысяч, а то и миллионов клиентов очередной компании. Есть ли прививка от этой напасти?
Хакеры из KelvinSecTeam заявили, что они обнаружили записи звонков колл-центра оператора Мегафон.

Файлы в wav-формате были свободно доступны через веб-браузер по URL: http://5.59.141.13:8080/rec_incoming_call-center/

По нашему мнению, это никакой не колл-центр Мегафона, а база звонков какой-то службы такси, что косвенно подтверждается не только содержимым звонков, но и набором PHP-страниц, находившихся на этом же сервере. 😎

Сервер 5.59.141.13 с открытым портом 8080 находился в свободном доступе с 24.10.2017. 😂
Читатель канала прислал дополнительную информацию по «утечке из Мегафона», которая на самом деле утечка из службы такси «Али такси» (https://play.google.com/store/apps/details?id=ru.alitaxi.app&hl=ru).

Сервер таксистов снова заработал и их колл-центр принимает звонки, за которыми можно наблюдать тут: 😂👍

http://5.59.141.13:8080/queue_callcenter.php
Когда белки-истерички, не сильно разбирающиеся в теме, пытаются писать про утечки, получается не очень. 😂 За утечки принимаются свободно доступные данные, но полученные не через поисковик типа Google, а немного извращенным способом. В данном случае речь идет про пост в Telegram-канале «Сайберсекьюрити и Ко» под названием «ГосУслуги — документы в открытом доступе»: https://telegra.ph/Vnutrennie-dokumenty-portala-GosUslugi-okazalis-v-otkrytom-dostupe-05-23.

Что мы имеем по факту – 13-го мая якобы украинские хакеры (про них писалось тут https://t.me/dataleak/926) написали про данную «утечку»: https://telegra.ph/Atakovano-sajt-derzhposlug-RF-05-12.

Эти мамкины хакеры неоднократно попадались на том, что принимали за утечки свободно доступные (https://t.me/dataleak/975) и даже тестовые данные (https://t.me/dataleak/946). Уже никто из специалистов не «покупается» на их находки. Но в среде истеричных блогеров видимо они еще обладают определенным авторитетом. 🤦‍♂️
В Уфе начато расследование уголовного дела в отношении 31-летней сотрудницы банка.

Женщина скопировала данные клиентов и отправила их себе на почту. 🤦‍♂️🤦🏻‍♂️ Позже она передала эти данные сотруднику другого банка.

За разглашение сведений, составляющих банковскую тайну, бывшей сотруднице банка грозит наказание либо в виде штрафа, принудительных работ, либо, в самом крайнем случае - лишения свободы.

Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: 👇
https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html
Суд принял решение отправить под арест начальника отдела по расследованию дорожно-транспортных происшествий СУ УМВД России по г. Омску Алексея Липина.

По данным Следственного комитета, в отношении Алексея Липина заведено уголовное дело по ч.2, ч.3 ст. 290 УК РФ (получение взятки).

Липин передавал своему знакомому адвокату персональные данные омичей, пострадавших в ДТП, а самих потерпевших убеждал обратиться за оказанием юридической помощи именно к этому адвокату.
Мамкины хакеры из THack3forU подбросили список работающих URL с сайта межведомственного электронного взаимодействия (smev.gosuslugi.ru). Ничего интересного по ссылкам найти не удалось – обычные распоряжения правительства, образцы заявок на доступ, руководства пользователей и т.п. документы, не содержащие никакой критичной информации.

Однако, для истеричных блогеров (https://t.me/dataleak/1051) это может быть неплохим кормом: 😂

http://smev.gosuslugi.ru/portal/api/files/get/000423
http://smev.gosuslugi.ru/portal/api/files/get/000424
http://smev.gosuslugi.ru/portal/api/files/get/000425
http://smev.gosuslugi.ru/portal/api/files/get/000426

(полный список можно скачать тут: https://t.me/ukraine_matrix/133)
Хозяйке на заметку: обновился весьма полезный скрипт на питоне для поиска в Shodan открытых баз – LeakLooker: 👇

https://github.com/woj-ciech/LeakLooker

Во второй версии кроме баз Elasticsearch, CouchDB, MongoDB и Kibana добавлен поиск SMB, Gitlab, Rsync, Jenkins и Sonarqube. 👍


Про то, как исследователи обнаруживают открытые базы данных Elasticsearch и MongoDB читайте тут: 👇

https://www.devicelock.com/ru/blog/obnaruzhenie-otkrytyh-baz-dannyh-mongodb-i-elasticsearch.html
Вчера вечером система DeviceLock Data Breach Intelligence (подробнее тут: https://www.devicelock.com/ru/press/devicelock-sozdal-ii-dlya-razvedki-uyazvimostej-hraneniya-dannyh.html) обнаружила свободно доступный сервер Elasticsearch с логами поисковой системы Maxwell Expert (www.maxwell.expert), отображающей актуальное состояние цен у поставщиков топлива по всей России.

Сама поисковая система по ценам на нефтепродукты – бесплатная, но регулярная рассылка цен по СМС и в Telegram стоит 990 рублей в месяц.

Именно логины и текстовые пароли от личных кабинетов платных пользователей этой системы и были найдены в логах, хранящихся в многочисленных индексах с именами начинающимися на «registration-» (например, registration-2019.05.25): 🤦‍♂️👇

message": "Request starting HTTP/1.1 GET http://registration.maxwell.expert/registration/sign-up-confirm?email=XXX%40gmail.com&password=YYY&token=ZZZ

Всего в открытом доступе находилось более 500 пар логин/пароль. 🙈

Сервис был оповещен о проблеме 26.05.2019 в 21:58 (МСК) и сегодня в промежутке 10:30-15:00 исчез из свободного доступа.

Впервые Shodan зафиксировал Elasticseach на этом сервере 27.01.2019.
Пример личного кабинета пользователя системы Maxwell Expert, логин и пароль от которого находились в открытом доступе.
Входящая в Fortune 500 американская страховая компания First American Financial Corp., занимающаяся страхованием сделок с недвижимостью, допустила утечку более чем 885 млн. документов через свой вебсайт. 🔥🔥

Банковские счета, выписки и транзакции, налоговые данные и данные по ипотечным кредитам, номера социального страхования (SSN), сканы водительских удостоверений и многое другое было свободно доступно через обычный браузер любому, кто знал определенный URL с числовым идентификатором. Изменяя этот идентификатор можно было получить другой документ с сайта компании. 🤦‍♂️🤦🏻‍♂️

Было установлено, что минимальный идентификатор документа (за 2003 год) это 000000075. На 24-е мая этого года перебором можно было получить более 885 млн. документов.

В данном случае мы видим пример, когда IDOR-уязвимость приводит к утечке действительно чувствительных данных, а не как в случае с «псевдо-утечкой» с сайта межведомственного электронного взаимодействия (подробнее тут https://t.me/dataleak/1051). 😂

Недавние случаи IDOR-уязвимостей и перебора URL, приведшие к утечкам данных:

Radario (https://t.me/dataleak/1012) - для учета проданных билетов использовалась сквозная нумерация заказов и простым перебором номера билета (XXXXXXXX) или заказа (YYYYYYY), можно было получить все билеты из системы.

Бинбанк (https://t.me/dataleak/957) - нашелся способ как перебором утащить данные желающих открыть карту «Эlixir», прямо из заполненных форм на сайте банка.

Российский университет транспорта (https://t.me/dataleak/885) - перебором «Табельных номеров» можно получить до полумиллиона записей.

Доктор рядом (https://t.me/dataleak/855) - сервис использовал сквозную нумерацию отчетов и из этих номеров уже формировал URL. После того как пользователь заходил в систему он мог сразу, меняя URL в адресной строке своего браузера, просматривать отчеты, содержащие персональные данные пациентов и в некоторых случаях даже диагнозы.
В феврале 2019 года администрация Засечного сельсовета (Пензенская область) опубликовала на своем сайте постановление о признании молодой семьи нуждающейся в жилом помещении.

Постановление содержало персональные данные членов семьи - ФИО, даты рождения, места жительства и регистрации. При этом члены этой семьи согласия на публикацию своих персональных данных не давали.

По постановлению прокурора ведущий специалист администрации Засечного сельсовета был оштрафован мировым судьей на 4 тысячи рублей за разглашение информации, доступ к которой ограничен федеральным законом.
24.04.2019 в 19:11 (МСК) наша система DeviceLock Data Breach Intelligence обнаружила открытую базу MongoDB, принадлежащую группе компаний «Центр противопожарной защиты» (cpz-nk.ru) из г. Новокузнецк (Кемеровская область). 🚒

В базе общим размером 863,9 Кб находилось более 1400 записей, содержащих:

🌵 10 внутренних пользователей CRM-системы (фамилия, имя, логин, хеш пароля/соль, адрес электронной почты, должность, фотография)

🌵 175 клиентов компании (ФИО, телефон, адрес электронной почты, название организации, должность, адрес и реквизиты организации)

🌵 193 контактов/лидов в работе (ФИО, статус, приоритет, название организации, ссылки на договора, вид оказываемых услуг и т.п.)

🌵 26 сотрудников компании (ФИО, дата рождения, телефон, образование, должность, фотография, категория водительского удостоверения, аттестации, рабочая смена, числовые показатели интеллекта, силы и духа)

🌵 57 событий/учений (дата, время начала и окончания, название, описание, задействованные сотрудники и транспорт)

🌵 105 объектов (GPS-координаты, адрес, название, ФИО, телефон и должность контактного лица)

🌵 9 транспортных средств (госномер, инвентаризационный номер, фотография, дата выпуска)

🌵 560 оборудования (название, описание, инвентаризационный номер, место нахождение и т.п.)

🌵 и многое другое…

В тот же день в 19:47 мы оповестили компанию, но ответа от них так никогда и не получили. База оставалась свободно доступной (и изменялась) вплоть до 16.05.2019. 🐏

11.05.2019 эту базу обнаружили хакеры из группировки Unistellar (про них тут: https://t.me/dataleak/1017) и немного ее «подправили». 😂🤦‍♂️

В Shodan база находилась с 19.03.2019. 👍