Уважаемые читатели, по традиции мы предлагаем вам дайджест наиболее значимых утечек прошедшего месяца! 🔥

Очередной выпуск ежемесячного дайджеста наиболее интересных публикаций в июне 2021 г.👇

«Киберпанк 2077», «FIFA 21», телемедицина и другое:
https://dlbi.ru/leak-digest-june2021/

Наша любимая рубрика «У Сбера опять все хорошо». 🤣

На VC.ru небольшая заметка про то, как мошенники узнают (один из способов) точные остатки по счетам карт клиентов Сбербанка.

Во время общения с младшим сотрудником, старший звонит на номер 900 подставляя на исходящий мой номер. Там робот предлагает продиктовать мне остаток по картам, просит назвать номер, если назвать номер наугад, то робот дружелюбно сообщает что такой карты нет, и называет номера всех действующих карт (Сбер,это реально круто, спасибо). Далее называешь номер любой из карт, и он сообщает тебе остаток.

🤦🏻‍♂️🤦‍♂️🙈

СМИ наперебой распространяют фейк о базе пользователей Telegram, про которую мы писали вчера.

🤦‍♂️ Коммерсантъ: "В интернет слили базу данных 774 тыс. клиентов сервиса «Глаз Бога»"

🤦‍♂️ Readovka: "В сеть слили базу персональных данных клиентов "Глаза Бога""

🤦‍♂️ Дождь: "База данных клиентов телеграм-бота «Глаз Бога» оказалась в открытом доступе"

❗️Еще раз повторяем - это никакая не база клиентов «Глаза Бога».

Эта база собрана парсингом из Telegram, по тем пользователям, у которых в настройках не скрыт номер телефона. Как утверждает источник, распространивший базу, она была собрана через открытый (на момент сбора) API «Глаза Бога». Другими словами, сначала «Глаз Бога» собрал эти данные парсингом из Telegram, а затем кто-то собрал их из «Глаза Бога». 😎

В марте этого года мы писали, что был взломан теневой форум «Carding Mafia» (cardmafia.cc) и почти 300 тыс. записей зарегистрированных пользователей попали в свободный доступ.

На текущий момент "расшифровано" более 220 тыс. паролей из этой утечки.

Мы проанализировали пары логин/пароль и выяснили, что только 28% из них являются уникальными, т.е. ранее никогда не встречались в фиксируемых нами утечках.

На теневом форуме выставили на продажу файлы, полученные с компьютера сотрудника российской медицинской организации, специализирующейся на гемодиализе. 🏥

Коллеги с канала @In4security выяснили, что документы принадлежат владикавказскому ООО «Алания Хелскеа».

Среди продающихся данных - личная информация пациентов и сотрудников клиники, диагнозы и т.п.

Продавец утверждает, что он собирал эти данные (а значит имел доступ к компьютеру) в течении нескольких месяцев. 😱

В открытый доступ попал небольшой список заказов компании «XenArmor» (xenarmor.com). Компания занимается выпуском ПО для восстановления паролей к различным документам.

В утекших данных содержится информация о клиентах (имя/фамилия, адрес эл. почты) и лицензионные ключи к продуктам компании. 🙈 Всего чуть более 750 уникальных записей.

В июне этого года в открытом доступе появился дамп неизвестного веб-ресурса, содержащий имена/фамилии, логины, адреса эл. почты, хешированные (MD5 с солью) пароли, даты рождения, адреса, телефоны, IP-адреса и т.п.

Всего более 270 тыс. строк.

Мы смогли идентифицировать источник этих данных - интернет секс-шоп «Он и Она» (onona.ru). 🙈🤣

На текущий момент "расшифровано" более 140 тыс. паролей из этой утечки и на 81% пары эл. почта/пароль являются уникальными, т.е. ранее никогда не встречались в фиксируемых нами утечках. 👍

Вчера вечером в Telegram появился лог с платежной информацией, выгруженный из сервиса приема СМС на виртуальные онлайн номера sms-activate.ru.

Файл, размером 2,35 Гб, содержит имена, адреса эл. почты, IP-адреса, частичные номера платежных карт, суммы платежей и т.п.

После очистки от дубликатов остается 163,317 уникальных адресов эл. почты.

Самое забавное это то, как сервис отреагировал на утечку - с одной стороны это "дезинформация", а с другой стороны "Если вы оплачивали со следующих платежных систем, то ваши данные могут быть скомпрометированы" и "Если ваш e-mail скомпрометирован, то рекомендуем потратить средства и сменить на новый". 🤦‍♂️🤦🏻‍♂️🤣

В начале июня мы писали о продаже базы данных проекта иноагентов «Умное голосование» («УГ») по Москве и Московской области.

Вчера вечером на анонимном форуме появилась ссылка на скачивание текстового файла с адресами эл. почты якобы из московской базы «УГ».

Всего в файле 191,540 строк, а после удаления мусора остается - 191,426.

По некоторым адресам эл. почты видно, что эта база содержит неподтвержденные адреса (т.е. адреса попали в базу без подтверждения со стороны их владельцев). 😎

Достоверно утверждать, что данные адреса получены из базы «УГ» мы не можем, но некоторые пользователи форума (разумеется, анонимные) пишут, что нашли свои адреса в этой базе.

Осенью 2020 года 21-летняя сотрудница одного из салонов связи Новокузнецка откликнулась на объявление в интернете, продать детализацию телефонных звонков разных абонентов сотовой компании.

Она связалась с заказчиком и по электронной почте передала ему детализацию разговоров четырех абонентов.

Уголовное дело направлено в суд по четырем эпизодам преступления, предусмотренного ч. 2 ст. 138 УК РФ (нарушение тайны телефонных переговоров граждан, совершенное лицом с использованием своего служебного положения), ч. 3 ст. 272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации), ч. 4 ст. 274.1 УК РФ (неправомерное воздействие на критическую информационную инфраструктуру РФ).


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут.

На продажу был выставлен административный доступ к новостному сайту телеканала «Енисей» (enisey.tv) и базе данных. 😱

Вчера система DLBI обнаружила свободно доступный сервер Elasticsearch, в индексе которого содержались “лиды”, собранные предположительно сервисом автоматизации процесса подбора сотрудников skillaz.ru.

Как это часто бывает - чувствительные данные содержались в логах системы. Всего несколько тысяч записей, содержащих:

🌵 имя/фамилия
🌵 мобильный телефон
🌵 адрес эл. почты
🌵 дата рождения
🌵 гражданство
🌵 город проживания

Мы оповестили сервис и через несколько часов сервер "тихо" исчез из открытого доступа. 🤷‍♂️

С нами связались представители skillaz.ru и дали свой комментарий, относительно обнаруженного в свободном доступе сервера с “лидами” кандидатов, ищущих работу:

Данные, указанные на скринах – это не данные Skillaz, а данные компании, которая сотрудничает с кем-то из клиентов Skillaz и передает отклики кандидатов через публичное АПИ.

Мы несколько раз писали про утечки из организаций, так или иначе связанных с осужденным блогером Навальным: тут, тут и тут.

Каждый раз открытым оставался вопрос - а как собственно произошла утечка? 🤷‍♂️

На Хабре вышла статья с описанием одного случая. Как обычно - оставленный в открытом доступе сервер. 🤣

👉 https://habr.com/ru/post/568842/

Вы будете смеяться, но в открытый доступ снова попал список адресов эл. почты якобы из базы «Умное голосование» («УГ»). На этот раз утверждается, что данные относятся к Санкт-Петербургу. 🤣😂🤦‍♂️

Всего в файле 96,542 адреса эл. почты, после удаления мусора остается - 96,538.

Как и в случае с "московским" списком подтвердить, что эти адреса действительно получены из базы «УГ» мы не можем.

По версии следствия, с декабря 2020 по январь 2021 года 23-летняя сотрудница офиса продаж сотовой компании во Владимире осуществила неправомерный доступ к компьютерной информации, находящейся в базе данных ПАО «МТС», скопировала персональные данные абонентов и передала их третьему лицу за вознаграждение (см. “мобильный пробив”).

Возбуждены уголовные дела по признакам составов преступлений, предусмотренных ч. 3 ст. 272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации из корыстной заинтересованности, совершенный лицом с использованием своего служебного положения) и ч.3 ст.183 УК РФ (незаконное разглашение сведений, составляющих коммерческую тайну, совершенное с использованием служебного положения из корыстной заинтересованности).


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут.

Немного статистики по обработанным нами паролям из различных утечек:👇

🔥 34,415,770,891 - столько строк из утечек, содержащих пароли, мы в Data Leakage & Breach Intelligence проверили и идентифицировали с 2019 года.

🔥 6,134,534,620 - уникальные пары логин/пароль, проанализированные нами за все время.

Для наших корпоративных заказчиков мы осуществляем мониторинг скомпрометированных учетных записей - обращайтесь. 😎


Здесь можно почитать наш анализ более 5,1 миллиарда скомпрометированных уникальных пар логин/пароль, вышедший в марте этого года. Как видно, за столь короткий срок, прошедший с данного обзора, уже обработано более 1 миллиарда новых уникальных пар. 👍

И так, продолжим тему с утечкой адресов электронной почты из проекта «Умное голосование» («УГ»). 👇

Как многие уже знают, день назад появился список адресов из Саратова. Это в дополнение к ранее выложенным московским и питерским адресам.

Кроме того, на Хабре вышла статья с описанием того, как эти адреса оказались в открытом доступе. Команда, поддерживающая проект «УГ», просто оставила в свободном доступе логи за 40 дней работы сервисов «УГ».

В ответ на это от команды «УГ» последовал ответ в традиционном для российского рынка стиле "вы все врете". Цитата: "если вы видите информацию о новых утечках из нашей базы данных, знайте, что это с высокой вероятностью обычный вброс." 😂

По нашей информации открытый сервер с логами был обнаружен в начале апреля, а команда «УГ» пишет, что они узнали про уязвимость и устранили ее только в июне: "пользователь заблаговременно с нами связался через саппорт месяц назад. Мы эскалировали проблему, устранили ее в первые же минуты после обнаружения".

Логи сервисов «УГ», которые находились в открытом доступе на сервере new.fbk.info более 2 месяцев, попали (по состоянию на 15 июня 2021) в кэш Google и частично доступны даже сейчас:

🤦‍♂️ https://webcache.googleusercontent.com/search?q=cache:y0kWR9ZbczwJ:https://new.fbk.info/clusters/local/namespaces/staging/pods/ganimed-django-rq-685597bfd4-s5bb4/logs

🤦‍♂️ https://webcache.googleusercontent.com/search?q=cache:bB9-sWi6cVsJ:https://new.fbk.info/clusters/local/namespaces/staging/pods/ganimed-cronjob-1623738180-d8tw8/logs

В мае прошлого года облачный сервис для майнинга криптовалют unmined.io допустил утечку базы данных зарегистрированных пользователей и собственного исходного кода. 😱

С апреля 2021 г. эти данные продавались на различных площадках, а несколько дней назад появились в свободном доступе.

Мы проанализировали пары эл. почта/пароль из этой утечки и выяснили, что из 84,5 тыс. пар 63% являются уникальными, т.е. ранее никогда не встречались в фиксируемых нами утечках. 👍

В июне мы писали, что вымогатели пытались продать исходный код игры «FIFA 21», похищенный у «Electronic Arts».

Видимо отчаявшись получить деньги с «Electronic Arts» и не найдя покупателя на исходники, вымогатели выложили их в свободный доступ. 🤷‍♂️

Архив с исходным кодом игры имеет размер 751 Гб. 😱

Кроме исходников у вымогателей имеются данные игроков в «SIMS 4», за которые они все еще надеются получить выкуп с компании.