Вчера, после появления в открытом доступе второй части "слива" предположительно клиентов «Почты России», сама почта распространила официальное заявление по этому поводу:

Наши специалисты информационной безопасности исследовали упомянутую в запросе базу данных. Злоумышленники продолжают выкладывать неактуальные данные с подменой даты создания записей. Это компиляция из других утечек информации.

Попробуем разобрать это заявление, т.к. тут содержится одно правдивое утверждение:

1️⃣ Во-первых, в дампе находятся реальные данные граждан, что подтверждается выборочной проверкой случайных записей. Мы не понимаем о какой пресловутой "компиляции" может идти речь. 🤷‍♂️ Рекомендуем отечественным специалистам по информационной безопасности отказаться от этого нелепого термина, чтобы самим не выглядеть нелепо. 🤣

2️⃣ Во-вторых, данные типа: ФИО, ИНН, СНИЛС, даты рождения и частично: паспорта, домашнего адреса и номера телефона не могут считаться неактуальными на коротком отрезке времени в несколько лет.

3️⃣ В третьих, даты создания записей в этом дампе действительно были искажены. ‼️

Мы детально проанализировали дамп (две его части), и пришли к выводу, что перед попаданием в свободный доступ, даты в нем были сфальсифицированы. В частности, во всех записях за 2020 год, он был заменен на 2022. При этом остальные года (2017 и 2021) остались неизменными.

Таким образом, самая свежая запись в первой части "слива" датируется 01.02.2021, во второй - 26.01.2021.

Из-за такой примитивной подмены в некоторых записях, датировавшихся 29.02.2020, образовалась недействительная дата 29.02.2022, т.к. те, кто осуществлял подмену дат не учли, что 2020 год был високосным.

Кроме того, поскольку первая часть "слива" была выложена в открытый доступ в декабре 2022 года, фальсификаторам пришлось заменить в записях за декабрь 2020 года не только год, но и месяц. Таким образом, эти записи получили новую дату - октябрь 2022 года (ноябрь был пропущен, т.к. в нем 30 дней). 😎

В начале декабря прошлого года мы писали, что в г. Сибай (Республика Башкортостан) был задержан 25-летний бывший специалист офиса продаж и обслуживания компании «Вымпелком» («Билайн»), который занимался "мобильным пробивом".

Сейчас стало известно, что суд приговорил Вадима Халиуллина к условному лишению свободы на два с половиной года.


Подробнее про нелегальный рынок "пробива" читайте в нашем новом отчете Обзор черного рынка “пробива” российских физлиц 👉 https://dlbi.ru/illegal-search-in-bases-review-2022/

Вчера на тот же самый форум, куда "слили" исходные коды Яндекса (про которые написали все 😎), были выложены исходные коды предположительно сервиса для инвестиций на фондовом и валютном рынке «Газпромбанк Инвестиции» (gazprombank.investments). 🔥🔥🔥

В отличии от исходников Яндекса, где нет данных пользователей, в этих файлах (всего более 233 тыс. штук) были обнаружены текстовые выгрузки, содержащие персональные данные клиентов. 👇

В самой крупной выгрузке находится 38,997 строк:

🌵 ФИО
🌵 телефон (34,590 уникальных номеров)
🌵 адрес эл. почты (34,623 уникальных адреса)
🌵 пол
🌵 дата рождения
🌵 серия/номер паспорта, кем и когда выдан, код подразделения
🌵 номер договора и его дата (с 12.05.2020 по 17.05.2021)
🌵 признак квалифицированного инвестора

В другой выгрузке содержатся данные этих же клиентов, но уже с адресом.

Судя по всему, данные актуальны на 17.05.2021.

Очередная типичная реакция на утечку случилась у «Газпромбанк Инвестиции»:

Утечка данных через внешний взлом систем на сегодняшний день невозможна, поскольку все базы данных клиентов полностью изолированы от внешней сети. Также стоит отметить, что количество клиентов, указываемое в сообщении, более чем в 10 раз отличается от реального объема клиентской базы брокера.

Давайте попробуем разобраться с написанным в официальном заявлении. 😎

1️⃣ Судя по всему, утечка произошла не из "полностью изолированных от внешней сети" баз данных брокера, а из репозитория разработчика. Среди тысяч файлов с исходным кодом находились несколько текстовых файлов с персональными данными почти 39 тыс. человек.

2️⃣ Достоверно утверждать, что обнаруженные персональные данные принадлежат именно клиентам брокера мы не можем. Однако, выборочная проверка случайных записей показывает, что в файлах находятся реальные данные граждан. Возможно для тестирования, разработчики системы использовали информацию из базы данных брокера или другой базы данных с реальными данными реальных людей.

3️⃣ 01.02.2022 на официальном сайте «Газпромбанка» размещена информация о количестве клиентов брокера в 2021 году:

Количество клиентов, заключивших договоры на брокерское обслуживание с помощью приложения «Газпромбанк Инвестиции» за год выросло с 7 954 до 95 120

Поскольку в утечке фигурируют данные (38,997 записей) за май 2021 года, то ни о каких отличиях в 10 раз не может быть и речи. 🤦‍♂️

Однако, даже если бы на самом деле размер утечки отличался от клиентской базы в 10 раз это достаточно слабое оправдание, учитывая, что в утечке фигурируют данные реальных людей. 🙈

В открытый доступ попали 20,000 строк из украинской CRM-системы для бизнеса 1b.app.

Данные датируются 14.05.2021 и содержат:

🌵 ФИО/название организации
🌵 телефон
🌵 адрес эл. почты
🌵 адрес

Интересно в этой истории то, что данные утекли через форум поддержки этой CRM-системы, куда был выложен, доступный всем, Excel-файл. 🤦‍♂️

В свободный доступ был выложен частичный дамп онлайн-издания про Apple - appleinsider.ru.

В таблице зарегистрированных пользователей находится 282,743 строки:

🌵 имя
🌵 логин
🌵 адрес эл. почты
🌵 хешированный пароль
🌵 дата регистрации (с 28.02.2010 по 17.12.2021)

Мы выборочно проверили случайные записи через функцию восстановления пароля на сайте appleinsider.ru - логины и эл. почты из этих записей оказались действительными. 😭

В открытый доступ попали данные, принадлежащие предположительно российскому производителю оборудования и разработчику программного обеспечения для автоматизации торговли «Атол» (atol.ru).

Интерес для анализа представляют несколько файлов. В частности дампы баз данных сайтов partner.atol.ru и forum.atol.ru. В них содержится 13,238 и 30,464 строки соответственно:

🌵 логин
🌵 ФИО
🌵 адрес эл. почты
🌵 телефон (не для всех)
🌵 хешированный пароль
🌵 название компании
🌵 Город
🌵 IP-адрес

Кроме того, в архиве находится текстовый файл, содержащий скорее всего данные для почтовых и СМС рассылок - 157,101 строка.

Судя по информации из этих файлов, данные были "слиты" 31.01.2023.

Вчера хакеры из группировки Народная CyberАрмия сообщили о взломе сетевой инфраструктуры 5 украинских интернет-провайдеров и выложили в свободный доступ персональные данные их клиентов.

Пострадали клиенты провайдеров:

1️⃣ imperial.net.ua
2️⃣ komitex.net
3️⃣ skyline.kh.ua
4️⃣ g-net.net.ua
5️⃣ kopiyka.org

Среди опубликованных данных:

🌵 ФИО
🌵 адрес эл. почты (около 5,7 тыс. уникальных адресов)
🌵 телефон (около 44 тыс. уникальных номеров)
🌵 адрес (не для всех)
🌵 логин
🌵 пароль к личному кабинету в открытом (текстовом) виде
🌵 паспорт (не для всех)

Самые "свежие" данные датируются 30.01.2023. 😎


До этого хакеры из этой группировки "слили" базу данных украинской службы доставки «Новая Почта» и крупного украинского интернет-магазина картриджей для принтеров p.ua.

Источник, который уже "сливал" данные одного из сервисов mail.ru, образовательного портала «GeekBrains» и многих других, выложил в открытый доступ частичный дамп с транзакциями предположительно платежной системы best2pay.net.

В дампе содержится ровно 1 млн строк:

🌵 ФИО
🌵 адрес эл. почты (около 440 тыс. уникальных адресов)
🌵 телефон (около 340 тыс. уникальных номеров)
🌵 частичный номер банковской карты и ее тип
🌵 город/страна
🌵 сумма транзакции
🌵 номер банковского счета
🌵 дата операции (с 01.02.2019 по 23.05.2021)

На теневой форум выставлена на продажу информация, полученная, по словам продавца, из базы данных интернет-аптеки zdravcity.ru.

Заявлено наличие в базе 8,936,738 уникальных номеров телефонов и 3,398,814 уникальных адресов электронной почты. 🔥🔥🔥

Мы выборочно проверили записи из выложенного примера и можем подтвердить, что там указаны данные реальных людей.

Относительно утренней новости про выставленную на продажу базу данных предположительно (со слов продавца) интернет-аптеки zdravcity.ru. 👇

Мы смогли проанализировать информацию, содержащуюся в этой базе и обнаружили там точные данные известных нам людей, совершавших покупки в этой сети аптек. 😱

Кроме того, продавец предоставил расширенную информацию из базы, в которой видны даты и суммы покупок, адреса аптек и т.п.

В январе американская авиакомпания «CommuteAir» оставила на незащищенном Jenkins-сервере учетные записи для доступа к хранилищу Amazon S3 (AWS), где лежали списки пассажиров, которым запрещено летать (т.н. No Fly List) в США.

Сейчас эти списки попали в свободный доступ. 😎

В первом файле 1,566,062 строки, во втором - 251,169:

🌵 имя/фамилия
🌵 дата рождения

Данные актуальны на 2019 г.

В открытый доступ был "слит" SQL-дамп базы данных украинского сервиса онлайн-бронирования столиков в ресторанах Киевa - RestOn.ua.

Дамп датируется 05.02.2023 и содержит 44,665 записей зарегистрированных пользователей:

🌵 имя/фамилия
🌵 телефон (14,065 уникальных номеров)
🌵 адрес эл. почты (1,830 уникальных адресов)
🌵 пол
🌵 дата рождения
🌵 логин
🌵 хешированный (MD5) пароль
🌵 IP-адрес

Кроме данных пользователей, в дампе находится информация (312,430 строк) о бронированиях:

🌵 комментарий к бронированию
🌵 дата бронирования

В открытом доступе появилась база данных профилей, собранных из социальной сети Instagram, позже утекшая из взломанного в 2020 году сервера сервиса dataviper.io. 😎

Всего 17,017,213 строк:

🌵 имя пользователя
🌵 адрес эл. почты (6,233,162 уникальных адреса)
🌵 телефон (3,494,383 уникальных номера, около 125 тыс. - российские)
🌵 ID


Более двух лет назад мы обнаружили в открытом доступе сервер с данными из 212 млн. профилей Instagram. Кроме того, примерно в тоже самое время мы нашли еще один открытый сервер с 11,5 млн. записями Instagram.

Уважаемые читатели нашего канала, мы по традиции предлагаем вам дайджест наиболее интересных публикаций прошлого месяца! 🔥

Очередной выпуск ежемесячного дайджеста самых значимых утечек, о которых мы писали в январе 2023 г.👇

Спортмастер, Mail.ru и другие:
https://dlbi.ru/leak-digest-january2023/

‼️ Модераторы Telegram повесили на наш канал плашку "Scam". 😱

Произошло это после нескольких жалоб от испанской конторы Innotec Security, которые утверждают, что представляют интересы своего клиента. 👇

Некоторое время назад мы связались с этой конторой и выяснили, что их клиентом является сервис международных переводов «PagoFX», который допустил утечку данных своих клиентов. Про этот случай мы написали в октябре 2020 г.

Сотрудники конторы Innotec Security намеренно ввели модераторов Telegram в заблуждение, заявив, что в этом посте были опубликованы персональные данные клиентов «PagoFX». На скриншоте, который мы опубликовали (как и всегда) мы скрыли (размыли) все персональные данные и не нарушили никаких правил Telegram.

К сожалению, никакого прямого контакта с модераторами Telegram у нас нет, но по всем публичным адресам и контактам мы попытались с ними связаться. 🤷‍♂️

Спасибо подписчикам за ценные советы (без иронии) в личных сообщениях!

Кажется нам удалось убедить Telegram убрать плашку "Scam", которой нас несправедливо "наградили". 🔥

Желаем испанским "безопасникам" из конторы Innotec Security здоровья, процветания и долгих лет жизни. 😂

В Саратове суд признал 22-летнего сотрудника компании «ВымпелКом» («Билайн») виновным в нарушении тайны телефонных переговоров и приговорил его к штрафу в 250 тыс. руб.

Уголовное дело было возбуждено по ч. 2 ст. 138 УК РФ (нарушение тайны переписки, телефонных переговоров и иных сообщений, совершенное лицом с использованием своего служебного положения).

С декабря 2021 по март 2022 года злоумышленник осуществил просмотр и копирование информации, содержащей сведения о дате и времени соединений, номера исходящих и входящих соединений трех абонентов сотовой связи.

Подробнее про нелегальный рынок "пробива" читайте в нашем новом отчете Обзор черного рынка “пробива” российских физлиц 👉 https://dlbi.ru/illegal-search-in-bases-review-2022/

‼️ Мы проанализировали около 5,5 миллиардов скомпрометированных уникальных пар эл. почта/пароль (110 млн за 2022 год). 🔥

За все время, начиная с самого первого исследования в 2017 году, нами было проанализировано более 36,4 млрд учетных записей, включая неуникальные. 😎

В 10 самых популярных паролей за все время вошли:

1️⃣ 123456
2️⃣ 123456789
3️⃣ qwerty123
4️⃣ 12345
5️⃣ qwerty
6️⃣ qwerty1
7️⃣ password
8️⃣ 12345678
9️⃣ 111111
1️⃣0️⃣ 1q2w3e

10 самых популярных паролей из утечек только за 2022 год:

1️⃣ a123456
2️⃣ 123456
3️⃣ 123456789
4️⃣ 12345
5️⃣ 33112211
6️⃣ 111111
7️⃣ 12345678
8️⃣ 1234567890
9️⃣ 1234567
1️⃣0️⃣ 1q2w3e4r

10 самых популярных паролей зоны «РУ» за все время:

1️⃣ 123456
2️⃣ qwerty
3️⃣ 123456789
4️⃣ 12345
5️⃣ qwerty123
6️⃣ 1q2w3e
7️⃣ password
8️⃣ 12345678
9️⃣ 111111
1️⃣0️⃣ 1234567890

10 самых популярных кириллических паролей:

1️⃣ йцукен
2️⃣ пароль
3️⃣ любовь
4️⃣ привет
5️⃣ наташа
6️⃣ максим
7️⃣ марина
8️⃣ люблю
9️⃣ андрей
1️⃣0️⃣ кристина

Полное исследование можно найти тут: 👇
https://dlbi.ru/five-billion-password-2022/


‼️ Для интернет-сервисов и облачных платформ, хранящих данные пользователей мы предлагаем подключиться к нашему API и оповещать своих пользователей в случае компрометации их логинов (имена пользователей, адреса эл. почты, телефоны) и паролей.

Кроме того, для наших корпоративных клиентов мы осуществляем мониторинг скомпрометированных учетных записей (логинов и паролей).

👉 Обращайтесь ‼️