Вчера в некоторых СМИ и телеграм-каналах вышла довольно “интересная” новость про то, что «Сбербанк» начал использовать некое израильское чудесное средство для мониторинга даркнета. 😂
Ну использует «Сбербанк» и использует что-то, нам это не особо интересно. Тем более на доступность данных банка на черном рынке это никак не повлияет. 😎 А вот, что действительно интересно, это упоминание неких цифр, которые якобы количественно показывают насколько много в даркнете инцидентов и даже “украденных записей” по тому или иному российскому банку.
Лидером назначен «Тинькофф Банк», ему приписывается 8,952 “угроз в даркнете”. «Сбербанк» - 4,082 “инцидента”, а «Альфа-Банк» - 2,619. 😱
Нас поразили эти невероятно большие цифры, явно взятые с потолка PR-службой одного из сервисов автоматического мониторинга даркнета. Мы даже не можем себе представить, что они могут означать в реальности. 🤷♂️
Наш собственный анализ теневых форумов и чатов показывает, что реальное количество объявлений по продаже данных по этим банкам не превышает двух десятков. Плюс, сюда можно добавить примерно столько же предложений услуг “банковского пробива” и чуть больше предложений различных услуг по открытию счетов и получению карт на подставных людей (“дропы”). Еще около десятка объявлений о поиске сотрудников банков (вербовка инсайдеров).
Чтобы показать абсурдность опубликованных цифр, мы сделали поиск по всем вариантам и словоформам (например, тиня, тинь, желтый банк, тиньков и т.д.), описывающим «Тинькофф Банк» (т.к. именно он был назначен лидером), на всех основных теневых площадках.
Подчеркиваем, что мы искали любые упоминания, включая новостные заметки (на этих форумах встречается и такое), объявления о покупке/продаже данных, перечисления вариантов оплаты совершенно других (не связанных с банками) услуг и т.п. 👇
Итого, за все время было найдено 2,690 упоминаний «Тинькофф Банк». 🤦♂️
Вместо 8,952 “угроз в даркнете” мы получили 2,690 упоминаний. 🤦🏻♂️ Почувствуйте разницу, как говорится. 🤣
Единственный способ, немного приблизить нашу цифру 2,690 к опубликованной 8,952, это считать не просто все упоминания, но и все другие ответы во всех темах, в которых было упоминание искомой строки. Т.е. если в какой-то теме на форуме, в которой 100 ответов, шло обсуждение продажи поддельных документов и как вариант оплаты предлагался перевод на карточку «Тинькофф Банк», то все эти 100 ответов записывать в графу “угрозы в даркнете” для «Тинькофф Банк». 🙈
Ну использует «Сбербанк» и использует что-то, нам это не особо интересно. Тем более на доступность данных банка на черном рынке это никак не повлияет. 😎 А вот, что действительно интересно, это упоминание неких цифр, которые якобы количественно показывают насколько много в даркнете инцидентов и даже “украденных записей” по тому или иному российскому банку.
Лидером назначен «Тинькофф Банк», ему приписывается 8,952 “угроз в даркнете”. «Сбербанк» - 4,082 “инцидента”, а «Альфа-Банк» - 2,619. 😱
Нас поразили эти невероятно большие цифры, явно взятые с потолка PR-службой одного из сервисов автоматического мониторинга даркнета. Мы даже не можем себе представить, что они могут означать в реальности. 🤷♂️
Наш собственный анализ теневых форумов и чатов показывает, что реальное количество объявлений по продаже данных по этим банкам не превышает двух десятков. Плюс, сюда можно добавить примерно столько же предложений услуг “банковского пробива” и чуть больше предложений различных услуг по открытию счетов и получению карт на подставных людей (“дропы”). Еще около десятка объявлений о поиске сотрудников банков (вербовка инсайдеров).
Чтобы показать абсурдность опубликованных цифр, мы сделали поиск по всем вариантам и словоформам (например, тиня, тинь, желтый банк, тиньков и т.д.), описывающим «Тинькофф Банк» (т.к. именно он был назначен лидером), на всех основных теневых площадках.
Подчеркиваем, что мы искали любые упоминания, включая новостные заметки (на этих форумах встречается и такое), объявления о покупке/продаже данных, перечисления вариантов оплаты совершенно других (не связанных с банками) услуг и т.п. 👇
Итого, за все время было найдено 2,690 упоминаний «Тинькофф Банк». 🤦♂️
Вместо 8,952 “угроз в даркнете” мы получили 2,690 упоминаний. 🤦🏻♂️ Почувствуйте разницу, как говорится. 🤣
Единственный способ, немного приблизить нашу цифру 2,690 к опубликованной 8,952, это считать не просто все упоминания, но и все другие ответы во всех темах, в которых было упоминание искомой строки. Т.е. если в какой-то теме на форуме, в которой 100 ответов, шло обсуждение продажи поддельных документов и как вариант оплаты предлагался перевод на карточку «Тинькофф Банк», то все эти 100 ответов записывать в графу “угрозы в даркнете” для «Тинькофф Банк». 🙈
BBC News Русская служба
"Акула" даркнета: как израильские киберразведчики помогают Сбербанку
Компания SixGill, исторически связанная с "подразделением 8200", занимающимся радиоэлектронной разведкой в израильской армии, оказывает Сбербанку "информационные услуги" по выявлению угроз в даркнете и Telegram. Ряд других российских банков тоже использует…
В начале мая мы писали про то, что был взломал официальный сервер многопользовательской игры «Stalker-Online» (stalker.so).
127 тыс. паролей из этой утечки изначально были в текстовом виде, а сейчас стали доступны почти 700 тыс. "восстановленных" из хешей (SHA-1 с солью) паролей.
54% пар логин/пароль уникальные.
127 тыс. паролей из этой утечки изначально были в текстовом виде, а сейчас стали доступны почти 700 тыс. "восстановленных" из хешей (SHA-1 с солью) паролей.
54% пар логин/пароль уникальные.
В Перми к уголовной ответственности привлечен главный специалист по клиентскому сервису местного филиала ПАО «Вымпел-Коммуникации» (торговая марка «Билайн»).
Подозреваемый отвечал за информационно-справочное обслуживание клиентов компании и незаконно копировал сведения о телефонных переговорах абонентов и их персональные данные, а также пароли доступа к личным кабинетам. Собранную информацию злоумышленник передавал неустановленным лицам при помощи мессенджера Telegram.
В отношении него было возбуждено 14 уголовных дел по ч. 3 ст. 138 УК РФ (нарушение тайны телефонных переговоров с использованием служебного положения), и ч. 3 ст. 272 УК РФ (неправомерный доступ к компьютерной информации с использованием служебного положения).
Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: 👇
https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html
Подозреваемый отвечал за информационно-справочное обслуживание клиентов компании и незаконно копировал сведения о телефонных переговорах абонентов и их персональные данные, а также пароли доступа к личным кабинетам. Собранную информацию злоумышленник передавал неустановленным лицам при помощи мессенджера Telegram.
В отношении него было возбуждено 14 уголовных дел по ч. 3 ст. 138 УК РФ (нарушение тайны телефонных переговоров с использованием служебного положения), и ч. 3 ст. 272 УК РФ (неправомерный доступ к компьютерной информации с использованием служебного положения).
Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: 👇
https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html
Киберпротект
DLP-система Кибер Протего – защита от утечки конфиденциальных данных
DLP-система Кибер Протего предотвращает утечку конфиденциальной информации, контролирует передачу данных и позволяет обнаруживать нарушения политики их хранения.
В самом конце 2018 года хакер Gnosticplayers (также взламывал Zynga, MyHeritage, MyFitnessPal, 500px и др.) получил доступ к данным 16 млн. пользователей сайта для размещения фотографий Fotolog.com.
"Расшифрован" 1 млн. паролей из этой утечки. Мы проверили пары логин/пароль и 95% из них оказались уникальными.
"Расшифрован" 1 млн. паролей из этой утечки. Мы проверили пары логин/пароль и 95% из них оказались уникальными.
В паблик попал небольшой кусок, продающейся в данный момент базы пользователей онлайнового фоторедактора «piZap» (pizap.com).
В полном дампе 60,9 млн. строк и продается он за $4 тыс. 💰
В выложенном куске 3,094,068 строк, содержащих:
🌵 имя пользователя
🌵 адрес эл. почты
🌵 пол
🌵 идентификаторы соц. сетей (Facebook, Twitter)
🌵 хешированный (SHA-1 с солью) пароль
Поскольку даже в полном дампе нет соли, с которой хешировались пароли, то “взлом” хешей представляет существенную проблему и пока текстовые варианты паролей из этой утечки недоступны. 😎
Изначально сервис «piZap» был взломан пакистанским хакером Gnosticplayers (также взламывал Zynga, MyHeritage, MyFitnessPal, 500px и др.) в апреле 2018 г.
В полном дампе 60,9 млн. строк и продается он за $4 тыс. 💰
В выложенном куске 3,094,068 строк, содержащих:
🌵 имя пользователя
🌵 адрес эл. почты
🌵 пол
🌵 идентификаторы соц. сетей (Facebook, Twitter)
🌵 хешированный (SHA-1 с солью) пароль
Поскольку даже в полном дампе нет соли, с которой хешировались пароли, то “взлом” хешей представляет существенную проблему и пока текстовые варианты паролей из этой утечки недоступны. 😎
Изначально сервис «piZap» был взломан пакистанским хакером Gnosticplayers (также взламывал Zynga, MyHeritage, MyFitnessPal, 500px и др.) в апреле 2018 г.
Telegram
Утечки информации
В свободный доступ на нескольких форумах выложен дамп базы пользователей американского разработчика онлайновых игр «Zynga». 🔥🔥🔥
Про этот дамп мы писали тут: https://t.me/dataleak/1359
Размер файла («очищенного» от мусора) с данными - 68 Гб и в нем находится…
Про этот дамп мы писали тут: https://t.me/dataleak/1359
Размер файла («очищенного» от мусора) с данными - 68 Гб и в нем находится…
24-го апреля этого года система DeviceLock Data Breach Intelligence обнаружила свободно доступный Elasticsearch-сервер, в индексах которого содержались ответы (тикеты) службы технической поддержки платформы для handmade-мастеров «Ярмарка Мастеров» (livemaster.ru).
Всего в индексе находилось более 550 тыс. сообщений, содержащих:
🌵 имя/фамилия
🌵 адрес эл. почты
🌵 текст сообщения
🌵 дата/время
🌵 IP-адрес
🌵 User-Agent, тип браузера, ОС и т.п.
Мы немедленно оповестили владельца сервера и в тот же день доступ к данным был “тихо” закрыт. 🤷♂️
По информации Shodan, данный сервер с этими индексами появился в свободном доступе 16.04.2020, а до этого эти индексы “всплывали” начиная с 29.07.2019, перемежаясь с другими (явно тестовыми) индексами. 🤦♂️
Всего в индексе находилось более 550 тыс. сообщений, содержащих:
🌵 имя/фамилия
🌵 адрес эл. почты
🌵 текст сообщения
🌵 дата/время
🌵 IP-адрес
🌵 User-Agent, тип браузера, ОС и т.п.
Мы немедленно оповестили владельца сервера и в тот же день доступ к данным был “тихо” закрыт. 🤷♂️
По информации Shodan, данный сервер с этими индексами появился в свободном доступе 16.04.2020, а до этого эти индексы “всплывали” начиная с 29.07.2019, перемежаясь с другими (явно тестовыми) индексами. 🤦♂️
Недавно написали, что сотрудник «Вымпелком» (торговая марка «Билайн») публично, через СМИ, извился за “слив” данных клиента компании.
Суд прекратил уголовное преследование в отношении Ивана Дятлова и применил к нему наказание в виде штрафа в размере 60 тыс. руб.
Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: 👇
https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html
Суд прекратил уголовное преследование в отношении Ивана Дятлова и применил к нему наказание в виде штрафа в размере 60 тыс. руб.
Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: 👇
https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html
Telegram
Утечки информации
Достаточно уникальный случай в нашей практике – в редакцию издания «Версия-Саратов» пришло письмо от сотрудника «Вымпелком» (торговая марка «Билайн»), в котором он извиняется за то, что незаконно получил доступ к детализации телефонных звонков одного из абонентов…
В Нижегородском областном суде закончилось рассмотрение засекреченного уголовного дела в отношении бывшего начальника отдела оперативно-розыскной информации (ОРИ) ГУ МВД по Нижегородской области полковника в отставке Андрея Солдаткина.
Уголовное дело было возбуждено по факту предоставления доступа к служебным данным нижегородской полиции для некоммерческой организации «Центр информационно-аналитической и правовой поддержки органов исполнительной власти и правоохранительных структур». Андрей Солдаткин, уволившийся из полиции, работал в этой некоммерческой организации заместителем директора по развитию.
Службы безопасности нижегородских банков и крупных предприятий вносили ежемесячную абонентскую плату около 10 тыс. руб. на функционирование некоммерческой организации и получали возможность проверять заемщиков, контрагентов, резюме соискателей работы, запрашивая справки на граждан с их персональными данными, наличием или отсутствием у них судимостей и т.п.
Обмен информацией был организован по закрытым шифрованным каналам (VPN) на базе ПО VipNet. База данных накапливалась с 2006 по 2013 год. Сервер некоммерческой организации находился прямо в помещении областного управления МВД. 🙈
По словам Солдаткина, он свободно заходил в служебную базу данных под своим логином и паролем (после увольнения из полиции остались действующими его учетные данные). 🤦♂️
Суд признал Андрея Солдаткина виновным по ч. 2 ст. 272 УК РФ (неправомерный доступ к компьютерной информации) и приговорил его к трем годам лишения свободы условно.
Уголовное дело было возбуждено по факту предоставления доступа к служебным данным нижегородской полиции для некоммерческой организации «Центр информационно-аналитической и правовой поддержки органов исполнительной власти и правоохранительных структур». Андрей Солдаткин, уволившийся из полиции, работал в этой некоммерческой организации заместителем директора по развитию.
Службы безопасности нижегородских банков и крупных предприятий вносили ежемесячную абонентскую плату около 10 тыс. руб. на функционирование некоммерческой организации и получали возможность проверять заемщиков, контрагентов, резюме соискателей работы, запрашивая справки на граждан с их персональными данными, наличием или отсутствием у них судимостей и т.п.
Обмен информацией был организован по закрытым шифрованным каналам (VPN) на базе ПО VipNet. База данных накапливалась с 2006 по 2013 год. Сервер некоммерческой организации находился прямо в помещении областного управления МВД. 🙈
По словам Солдаткина, он свободно заходил в служебную базу данных под своим логином и паролем (после увольнения из полиции остались действующими его учетные данные). 🤦♂️
Суд признал Андрея Солдаткина виновным по ч. 2 ст. 272 УК РФ (неправомерный доступ к компьютерной информации) и приговорил его к трем годам лишения свободы условно.
В начале года был выложен дамп базы пользователей форума MMORPG-игры Bleach Online (forums.gogames.me).
Из 3,815,710 записей этого дампа, "расшифровано" более 1,8 млн. паролей. Почти 70% пар логин/пароль - уникальные. 👍
Из 3,815,710 записей этого дампа, "расшифровано" более 1,8 млн. паролей. Почти 70% пар логин/пароль - уникальные. 👍
В открытый доступ выложили дамп базы американского сервиса rushmytravelvisa.com, помогающего американцам оформлять визы для посещения других стран.
Дамп получен 11.06.2020 через одну из SQL-уязвимостей и содержит 379,541 строку:
🌵 полное имя
🌵 дата рождения
🌵 адрес эл. почты
🌵 почтовый адрес
🌵 рабочий телефон
Дамп получен 11.06.2020 через одну из SQL-уязвимостей и содержит 379,541 строку:
🌵 полное имя
🌵 дата рождения
🌵 адрес эл. почты
🌵 почтовый адрес
🌵 рабочий телефон
В конце апреля на одном из форумов появилось объявление о продаже базы данных российских граждан, находящихся за границей в ожидании эвакуации на родину. 😱
Базу данных продавал пользователь «Artist» за $240 тыс. (около 210 руб. за одну строку) и утверждал, что в ней 79,6 тыс. строк. Никаких доказательств наличия этой базы продавец не предоставлял. Спустя несколько дней объявление было убрано с форума.
И вот вчера, на том же самом форуме появилось новое объявление, уже от другого пользователя «Fullflex». Утверждается, что база актуальна на июнь 2020 и в ней около 115 тыс. строк. Теперь за эту базу данных хотят получить 66,6 биткоинов (примерно $627 тыс.) или около 385 руб. за одну строку. 😱
Базу данных продавал пользователь «Artist» за $240 тыс. (около 210 руб. за одну строку) и утверждал, что в ней 79,6 тыс. строк. Никаких доказательств наличия этой базы продавец не предоставлял. Спустя несколько дней объявление было убрано с форума.
И вот вчера, на том же самом форуме появилось новое объявление, уже от другого пользователя «Fullflex». Утверждается, что база актуальна на июнь 2020 и в ней около 115 тыс. строк. Теперь за эту базу данных хотят получить 66,6 биткоинов (примерно $627 тыс.) или около 385 руб. за одну строку. 😱
В продолжении темы базы данных российских граждан, находящихся за границей в ожидании эвакуации на родину - продавец выложил несколько скриншотов из этой базы.
В начале апреля этого года система DeviceLock Data Breach Intelligence обнаружила свободно доступный Elasticsearch-сервер, в индексах которого были логи блог-платформы «Мел» (mel.fm).
В логах содержались логины (адреса эл. почты) и текстовые пароли пользователей.
Мы немедленно оповестили владельцев сервера и в течении часа доступ к нему был закрыт, а мы даже получили ответ.
По данным Shodan этот сервер впервые появился в открытом доступе 31.12.2019.
В логах содержались логины (адреса эл. почты) и текстовые пароли пользователей.
Мы немедленно оповестили владельцев сервера и в течении часа доступ к нему был закрыт, а мы даже получили ответ.
По данным Shodan этот сервер впервые появился в открытом доступе 31.12.2019.