Сервис GitHub разослал некоторым своим пользователям предупреждение о том, что их пароли в открытом виде попали в системные журналы сервиса и некоторые сотрудники GitHub могли получить к ним доступ. Пользователям предлагается сменить пароли.

Текст письма:
During the course of regular auditing, GitHub discovered that a recently introduced bug exposed a small number of users’ passwords to our internal logging system, including yours. We have corrected this, but you'll need to reset your password to regain access to your account.

GitHub stores user passwords with secure cryptographic hashes (bcrypt). However, this recently introduced bug resulted in our secure internal logs recording plaintext user passwords when users initiated a password reset. Rest assured, these passwords were not accessible to the public or other GitHub users at any time. Additionally, they were not accessible to the majority of GitHub staff and we have determined that it is very unlikely that any GitHub staff accessed these logs. GitHub does not intentionally store passwords in plaintext format. Instead, we use modern cryptographic methods to ensure passwords are stored securely in production. To note, GitHub has not been hacked or compromised in any way.

Надо сказать, что логгирование ввода пароля пользователя это абсолютно порочная практика. Кстати, как и перехват паролей к различным сервисам (вроде Gmail и т.п.) в доморощенных российских DLP-системах. 😎

Про утечки через GitHub мы писали в отдельной статье: https://www.devicelock.com/ru/blog/utechki-cherez-github.html

Данные о клиентах китайского интернет-гиганта Meituan Dianping  поступили в продажу на черном рынке всего за 0.2 доллара за запись.

#безопасность #leak

https://vk.com/@dataleakage-personalnye-dannye-klientov-kitaiskogo-internet-giganta-meit

2-го мая GitHub предупредил (https://t.me/dataleak/330) своих пользователей о том, что их пароли в открытом виде попали в системные журналы сервиса и некоторые сотрудники GitHub могли получить к ним доступ. А уже 3-го мая тоже самое сделал Twitter! 🙈

Текст сообщения:

When you set a password for your Twitter account, we use technology that masks it so no one at the company can see it. We recently identified a bug that stored passwords unmasked in an internal log. We have fixed the bug, and our investigation shows no indication of breach or misuse by anyone.

Out of an abundance of caution, we ask that you consider changing your password on all services where you’ve used this password.

Порочная практика логгирования ввода паролей пользователей похоже заразна. 😂

Крупнейший банк Австралии взял и передал стороннему подрядчику резервные накопители с данными счетов 19,8 млн своих клиентов.

Что произошло с этими накопителями дальше никто не знает. И самое главное – банк два года держал инцидент в тайне и не уведомлял своих клиентов об утере их персональных данных. 🙈


#безопасность #leak

https://vk.com/@dataleakage-krupnyi-avstraliiskii-bank-poteryal-rezervnye-nakopiteli-s-d

Ежегодно 5 мая свой профессиональный праздник — День шифровальщика — отмечает Криптографическая служба России.

Дата для учреждения праздника шифровальщиков была выбрана не случайно. В 1921 году в этот день, согласно Постановлению Совета народных комиссаров РСФСР, для защиты информации и передачи данных за пределы страны, была создана криптографическая служба.

Персональные данные по меньшей мере 2000 филиппинцев были затронуты после нападений на правительственные сайты 1 апреля. Данные содержат имена, адреса, пароли и сведения о школе.

#безопасность #leak

https://vk.com/@dataleakage-2000-chelovek-postradali-ot-utechki-personalnyh-dannyh-s-fil

Обнаружился Telegram-бот, который выдает ФИО человека по номеру телефона: @cesspoolNum_bot

Работает только для украинских номеров в формате: 380ХХХХХХХХХ

Не опять, а снова случайная утечка данных без злого умысла. 🙈

Один из сотрудников компании, которая обрабатывает студенческие кредиты, непреднамеренно отправил файлы, включая имена заемщиков, номера водительских удостоверений и номера социального страхования, в другую компанию.

#безопасность #leak

https://vk.com/@dataleakage-kreditnaya-kompaniya-iz-minnesoty-soobschaet-16-500-zaemschi

Бывший сотрудниник МТС Украина на своем домашнем компьютере держит служебные файлы, которые через открытый FTP доступны всем. 🙈

Представители МТС Украина (Vodafone Ukraine) утверждают, что эти данные уже не актуальны, но сам факт того, что сотрудник утащил служебные файлы домой и вывалил их в сеть - неприятный.

7-го мая руководство Equifax наконец опубликовало финальный отчет по прошлогоднему инциденту. Все оказалось намного хуже, чем считалось до этого.

Во-первых, на 3.6 млн человек возросло общее кол-во пострадавших.

Во-вторых, оказалось, что помимо похищенных электронных записей с персональными данными, были похищены и сканы документов (карточек SSN, водительских удостоверений, паспортов и т.д.). 🔥🔥🔥

#безопасность #leak

https://vk.com/@dataleakage-okonchatelnye-dannye-po-proshlogodnei-utechke-iz-equifax-pos

Директор по информационной безопасности IBM заявил, что компания приняла решение запретить своим сотрудникам по всему миру пользоваться USB-флешками, картами памяти и другими сменными устройствами хранения файлов.

#безопасность

https://vk.com/@dataleakage-ibm-zapreschaet-svoim-sotrudnikam-ispolzovat-smennye-ustrois

Сайт trello.com раскрывает пароли и логины пользователей через поисковый запрос к google: https://www.google.com/search?q=site%3Atrello.com+AND+intext%3A%40gmail%5C.com+AND+intext%3Apassword

И снова инсайдеры...

В Воронеже бывшую сотрудницу сотовой компании обвинили в незаконной слежке за телефонными звонками.

Ей вменяют нарушение части 2 статьи 138 УК РФ (нарушение тайны переписки, телефонных переговоров и иных сообщений граждан, совершенное лицом с использованием своего служебного положения), сообщает следственный комитет.

Следователи установили, что с 30 ноября 2017 года по 22 февраля 2018-го работница сотовой компании, находясь на рабочем месте, незаконно просматривала детализации телефонных соединений двух знакомых ей девушек.

Затем она использовала полученную информацию для психологического воздействия на приятельниц, переписываясь с ними в социальных сетях и общаясь по сотовой связи от имени вымышленного персонажа.

Хакеры перебором паролей проникли в систему английского кредитного союза и похитили персональные данные 15 000 его членов, включая имена, адреса, номера страховок и банковские реквизиты.

#безопасность #leak

https://vk.com/@dataleakage-personalnye-dannye-15-000-chlenov-angliiskogo-kreditnogo-sou

Мамкины админы в крупнейшем операторе сотовой связи Британии, оставили сервер репозитория с исходным кодом внутренних систем с дефолтным паролем ("admin")! 🙈🙈🙈

Когда им об этом сообщили они еще несколько недель ничего не делали и соизволили сменить пароль только после публикации этой информации в твиттере. 🔥

#безопасность #leak

https://vk.com/@dataleakage-krupneishii-britanskii-operator-sotovoi-svyazi-ostavil-repoz

17 мая (четверг), в Москве состоится бесплатный семинар-конференция «DeviceLock DLP. Настоящее DLP. Реальная защита данных без утечек». 👍

На семинаре будет рассказано о том, как разработчики известной во всем мире системы DeviceLock видят решение задачи задачи защиты организаций от утечек данных, в чем заключаются главные принципы и механизмы работы реальных DLP-технологий и как можно предотвратить утечки данных вместо того, чтобы пассивно созерцать утечки.

Также в программе семинара – рассказ о задачах, решаемых с помощью DeviceLock DLP, живая демонстрация сценариев использования новой бета-версии DeviceLock DLP 8.3 для предотвращения утечек данных в реальном времени,включая новые технологии контроля данных с использованием цифровых отпечатков, и наконец, ответы на любые вопросы участников семинара от представителей разработчика.

Участие бесплатное, но количество мест ограничено, поэтому требуется предварительная регистрация: https://www.devicelock.com/ru/news/3280.html

Только недавно писали про утечку 5 млн. банковских карт из розничной сети Saks Fifth Avenue (https://www.devicelock.com/ru/blog/utechka-5-mln-bankovskih-kart-iz-roznichnyh-setej-saks-fifth-avenue-i-lord-taylor.html), а сегодня стало известно, что крупная американская сеть ресторанов Chili’s обнаружила зловреда, похищавшего данные банковских карт клиентов прямо из POS-терминалов.

Пострадали клиенты, совершавшие оплату в сети ресторанов в период с марта по апрель 2018 года.

«Почетный» список недавних пострадавших от подобных краж платежных карт постоянно пополняется: Saks Fifth Avenue, Sears, Kmart, Whole Foods, Under Armour, Jason's Deli, Forever 21. 😎

В Предгорном районе Ставрополья, в отделение по вопросам миграции, обратилась 37-летняя женщина для оформления гражданства своим несовершеннолетним детям.

Женщина предоставила паспорт гражданина РФ, который по визуальным признакам вызвал сомнение в подлинности.

При проверке по базам данным МВД России выяснилось, что документ с таким же номером выдавался другому лицу. Экспертиза подтвердила, что паспорт изготовлен кустарным способом - в него вклеена другая фотография и изменены персональные данные.

Против женщины возбудили уголовное дело по статье «Использование заведомо подложного документа».

На черном рынке услуги по переклейке паспортов стоят от 20-25 тыс. рублей за паспорт.