Скорее всего слив базы венесуэльских военных связан со взломом сайта президента Венесуэлы. Хакеры получили доступ к PostgreSQL на внутреннем сервере.

Доброе утро!

Пятерка самых популярных статей нашего блога за февраль:

1️⃣ Цены черного рынка. Часть 2. Российские персональные данные: https://www.devicelock.com/ru/blog/tseny-chernogo-rynka-chast-2-rossijskie-personalnye-dannye.html

2️⃣ Четверо жителей Пензы арестованы за продажу персональных данных абонентов сотовых операторов: https://www.devicelock.com/ru/blog/chetvero-zhitelej-penzy-arestovany-za-prodazhu-personalnyh-dannyh-abonentov-sotovyh-operatorov.html

3️⃣ Цены черного рынка на персональные данные: https://www.devicelock.com/ru/blog/tseny-chernogo-rynka-na-personalnye-dannye.html

4️⃣ 1.4 миллиарда паролей обнаружены в единой базе данных: https://www.devicelock.com/ru/blog/14-milliarda-parolej-obnaruzheny-v-edinoj-baze-dannyh.html

5️⃣ Как произошла утечка исходников из Apple: https://www.devicelock.com/ru/blog/kak-proizoshla-utechka-ishodnikov-iz-apple.html

Опять наш любимый Amazon S3 (AWS) 🙈

На этот раз в открытом ведре (bucket) лежало специализированное программное обеспечение для бизнес аналитики (BI), предназначенное для американского банка Capital One.

Со всеми логинами, паролями и ключами шифрования, разумеется...

#безопасность #leak

http://telegra.ph/Utechka-analiticheskogo-PO-krupnogo-banka-SSHA-cherez-Amazon-S3-03-02

И про полезные утечки...

https://ria.ru/arms/20180303/1515685807.html

Вместо почившего databases.today появился аналог: https://nuclearleaks.com

Набор баз данных фактически тот же самый. Точно также базы можно выкачать себе, если перейти в раздел Search.

#безопасность #leak

http://telegra.ph/Skomprometirovany-platezhnye-karty-pokupatelej-video-igr-03-05

Клиент Альфастрахования обнаружил у себя в личном кабинете чужие страховые полисы.

https://geektimes.ru/post/298763/

Открытый (пока) склад разных баз данных. https://cloud.mail.ru/public/8hWf/qzFXQC1H1

Опять обнаружена открытая БД MongoDB. На этот раз с данными более 693 000 читателей французкого издания L'Express.

#безопасность #leak

http://telegra.ph/Francuzskij-novostnoj-sajt-LExpress-obnarodoval-dannye-chitatelej-03-06

Опубликовали новую статью про юридические последствия слежки за сотрудниками, на основании опыта работы на рынке США.

https://www.devicelock.com/ru/blog/yuridicheskie-riski-monitoringa-sotrudnikov.html

"ВКонтакте" заявила об утечке данных пользователей социальной сети третьим лицам через небезопасные VPN-сервисы, говорится в сообщении пресс-службы компании. В ночь на среду специалисты компании провели анализ инцидента, в результате которого в открытом доступе оказались сообщения 400 пользователей соцсети.

Представители "ВКонтакте" подчеркнули, что клиенты сервиса веб-аналитики SimilarWeb получили данные лишь 400 пользователей социальной сети, которые могли передать ненадежным VPN-сервисам доступ к своим личным данным. В свою очередь, не все сервисы аналитики фильтруют передаваемую им информацию, таким образом, в том числе персональные данные, могут оказаться общедоступны.

http://www.interfax.ru/russia/602756

Снова утеря/кража внешнего носителя - жесткого диска с персональными данными.

Разумеется никто и не думал, что данные на внешних дисках нужно шифровать. Ну что может с ними случиться?! 🙈

#безопасность #leak

http://telegra.ph/Krazha-vneshnego-zhestkogo-diska-iz-Universiteta-shtata-Kaliforniya-vo-Fresno-zatronula-personalnye-dannye-ne-menee-15-000-chelo-03-08

В паблике появилась база логинов и паролей для катарского банка QAIB Bank. Удивительно, но логины живые. https://slexy.org/view/s2UmAfUzwb

Крупнейшие утечки 21-го века по одной из версий. Очевидно, что тут учтены только американские утечки и то, далеко не все. Где DMC, например?

Еще один случай расплаты за нелепую утечку данных - номера социального страхования были напечатаны так, что их можно было прочитать не вскрывая конверты.

http://telegra.ph/Utechka-dannyh-cherez-pochtovuyu-rassylku-privela-k-shtrafu-v-575-tysyach-dollarov-SSHA-03-12

Чуть менее месяца назад мы обнаружили в Dark Web базу данных, содержащую  данные учеников, их родителей и учителей из школ округа Леон, штат Флорида. Подробно рассмотрели все эти данные тут: https://www.devicelock.com/ru/blog/utechka-personalnyh-dannyh-uchenikov-i-uchitelej-iz-neskolkih-shkol-floridy.html

А вчера стало известно, что Leon County Schools официально признали утечку и начали внутренее расследование.

Винят во всем подрядчика - Florida Virtual School, который якобы и допустил утечку данных.

Полное официально заявление выглядит так:

"Leon County Schools (LCS) learned of a recent data incident with a third party vendor, Florida Virtual School (FLVS), involving certain staff and student personal information from 2013. Additionally, Florida Virtual School has indicated that other student and teacher records may have been compromised from May 2016 to February 2018.

LCS immediately launched an internal investigation. In addition, we immediately contacted the Florida Department of Law EEnforcement (FDLE) who opened an investigation. Florida Virtual School has contacted the Federal Bureau of Investigation (FBI) who is also conducted an investigation.

Through the efforts of forensic experts, a FLVS misconfigured server was identified as the source of some of this compromised information. The data on this server was from a 2013 partnership between Leon County Schools and UCompass, subsequently purchased by FLVS. From this 2013 partnership, it was identified that some current and former teachers' social security numbers were compromised. LCS has notified those affected current and former employees through traditional mail. While the FBI and FDLE investigations are ongoing, LCS has initiated personal identity protection, inclusive of credit monitoring, immediately for these affected parties.

Forensic experts also identified additional student and teacher information that may have been compromised at FLVS. As required by law, Florida Virtual School has posted information about this data security incident on their website.

Leon County Schools is in the process of directly notifying these teachers and students.
Although the investigations are on-going, we do believe that the scope of the breach may be substantial. We are taking this matter very seriously. We want to assure you that the privacy and security of the information in our care is one of our highest priorities.

#утечка

DeviceLock - ключевой участник ежегодной конференции IDC по информационной безопасности IDC IT Security Roadshow 2018, проходящей 15 марта 2018 г. в Москве.

В рамках конференции IDC IT Security Roadshow у вас будет возможность услышать мнения экспертов по наиболее актуальным вопросам обеспечения информационной безопасности и обсудить интересующие вопросы напрямую с экспертами.

В программе конференции – доклад Сергея Вахонина, директора по решениям Смарт Лайн Инк “Европейский общий регламент по защите данных GDPR и его влияние на российские компании”. Данный регламент вводит значительную ответственность для организаций, достигающую 20 млн.евро, устанавливает жесткие требования к уведомлениям о нарушении защиты персональных данных и вводит концепцию защиты персональных данных как обязательную. Данный закон имеет актуальность и для российских компаний, работающих с европейским рынком – поскольку требования защиты данных, устанавливаемые GDPR, распространяются и на иностранные организации, клиентами которых являются граждане Европейского Союза.

Детальный анализ GDPR и его влияния на ИТ-безопасность при работе с персональными данными уже публикуется в англоязычном блоге DeviceLock (https://www.devicelock.com/blog/), а краткий анализ GDPR и некоторых особенностей обеспечения соответствия требованиям данного закона будет представлен на конференции IDC IT Security Roadshow.

Конференция состоится 15 марта 2018 г. в гостинице Holiday Inn Sokolniki, г.Москва.

Статья с примерами о том, как получить номер телефона, человека, использующего бесплатный вайфай в московском метрополитене.

https://habrahabr.ru/post/351114/

Снова утекли данные американских пациентов.

#безопасность #leak

http://telegra.ph/Medicinskaya-organizaciya-iz-Missuri-obyavlyaet-ob-utechke-dannyh-zatragivayushchej-bolee-30-000-pacientov-03-14

Как сообщает прокуратура Нижегородской области, надзорным ведомством утверждено обвинительное заключение по уголовному делу в отношении бывших сотрудников полиции, которые продавали персональные данные граждан.

По версии следствия 30–летний оперуполномоченный уголовного розыска ОМВД России по Богородскому району в 2015 году за денежное вознаграждение организовал незаконную передачу информации из ведомственных банков данных МВД. В 2016 году он привлёк к этому и своего младшего брата, также занимавшего должность оперуполномоченного уголовного розыска.

По данным ведомства, злоумышленники систематически использовали доступ в базы данных МВД России для получения и передачи через интернет неопределенному кругу лиц служебной информации. Эта преступная деятельность подолжалась более года. Отмечается, что таким образом мужчины получили доход свыше 700 тыс. рублей.