Неверно настроенный rsync привел к колоссальной утечке данных таких автопроизводителей как Тойота, Тесла, GM, Форд, VW и многих других. 🔥🔥🔥

157 гигабайт конфиденциальной информации оказались в свободном доступе «благодаря» кривым настройкам программы rsync для удаленного резервного копирования и синхронизации файлов.

Данные оставила в открытом доступе канадская компания-производитель роботов - Level One Robotics and Controls.

Утекли схемы сборочных конвейеров, планы и компоновка цехов, конфигурация роботов, формы запроса доступа для персонала, договора о неразглашении, персональные данные и документы (водительские удостоверения, паспорта) некоторых сотрудников Level One Robotics and Controls, инвойсы, контракты и банковская информация. 🙈

Подробнее напишем завтра… 😎

Не так давно персональные данные более миллиона человек, запрашивавших информацию о высшем образовании, оказались в открытом доступе из-за неправильно настроенной утилиты резервного копирования rsync: https://www.devicelock.com/ru/blog/personalnye-dannye-bolee-milliona-chelovek-zaprashivavshih-informatsiyu-o-vysshem-obrazovanii-okazalis-v-otkrytom-dostupe-iz-za-nepravilno-nastroennoj-utility-rezervnogo-kopirovaniya-rsync.html

Все, что нажито непосильным трудом... Три магнитофона, три кинокамеры заграничных, три портсигара...

74-летний научный сотрудник ЦНИИмаш Виктор Кудрявцев арестован после того, как ФСБ заявила о его причастности к передаче секретной информации о гиперзвуковых технологиях одной из стран НАТО.

https://www.kommersant.ru/doc/3694326

Чувствительные документы более чем 100 компаний-производителей были выставлены на общедоступном сервере, принадлежащем Level One Robotics, канадскому производителю промышленных роботов, специализирующемся на процессе автоматизации и сборки. Среди компаний, чьи данные были обнаружены - VW, Chrysler, Ford, Toyota, GM, Tesla и ThyssenKrupp. 🔥🔥🔥

157 гигабайт данных включают в себя информацию за промежуток времени более чем 10 лет.

Утечка произошла через rsync, общий протокол передачи файлов, используемый для зеркалирования или резервного копирования больших наборов данных. Доступ к серверу rsync не был ограничен по IP-адресам или по пользователям, и набор данных был доступен для загрузки любому клиенту rsync, который подключался к этому серверу по соответствующему порту. 😎

Анализ прав доступа, установленных на сервере rsync, показал, что сервер был публично доступен для записи, а это означает, что кто-угодно мог изменять документы. 🙈

#безопасность #leak

https://vk.com/@dataleakage-postavschik-robototehniki-vystavil-v-otkrytyi-dostup-konfide

В сеть утекло 11 внутренних видеороликов компании Apple, демонстрирующих процедуры ремонта iPhone X (разборка, замена батареи и т.п.) и специальные инструменты для этого.

Вначале видео были размещены в твиттер аккаунте пользователя Arman Haji, но вскоре аккаунт был заблокирован. Затем видео перезалили на YouTube, но в данный момент там они тоже недоступны.

Часть утекших внтуренних видеороликов Apple можно найти на этом канале: https://www.youtube.com/channel/UCuwenKQ7GJQb05GY61HJTZg

Каналы с этими роликами довольно быстро блокируют...

По словам прокуроров, инженер, нанятый ВМС США, загрузил конфиденциальную информацию о подводных беспилотных аппаратах, которые он разрабатывал, в свою личную учетную запись на Dropbox. 🙈

Перед увольнением, сотрудник тайком загрузил тысячи файлов компании в свою личную учетную запись на Dropbox. Эти файлы включали в себя бухгалтерские и инженерные файлы, а также фотографии и изображения, связанные с проектами, используемыми для изготовления и производства беспилотных подводных аппаратов и буев. 🔥🔥🔥

#безопасность #leak

https://vk.com/@dataleakage-podryadchik-voenno-morskogo-flota-zagruzil-sekretnuu-informa

В Сингапуре опять утечка. Несколько дней назад там взломали базу SingHealth и украли персональные данные 1.5 млн. человек (https://t.me/dataleak/477).

А сейчас стало известно, что похищенны данные 70 тыс. человек из Securities Investors Association  (Singapore).

Утекли имена, номера паспортов, домашние адреса, адреса эл. почты, мобильные и городские телефонные номера.

Самое удивительное, что база была взломана аж в 2013 году, но сообщили об этом только 25 июля 2018! 🙈

Очередной «умелый» сотрудник университета сделал массовую рассылку, прикрепив к письму файл Excel с персональными данными 8000 студентов Georgia Tech (Атланта, штат Джорджия). 🙈

Всего в университете Georgia Tech учится 30,000 студентов.

Утекшая таблица содержала: идентификационные номера студентов, домашние адреса, информацию о визах (для не граждан США), посещаемые предметы и кол-во часов по каждому предмету.

Случай просто классический и от того еще более унылый. В начале месяца сотрудник чикагской государственной школы (Chicago Public Schools - CPS) уволен с работы после случайной массовой отправки электронной почты, которая включала ссылку на конфиденциальные данные: https://www.devicelock.com/ru/blog/utechka-dannyh-o-3700-uchenikah-v-chikago.html

Как избежать такой примитивной утечки данных? На самом деле это очень просто, при наличии настоящей DLP-системы. Настоящая DLP-система – это система, которая способна блокировать передачу данных, а не только оповещать и осуществлять расследования уже случившихся утечек.

1️⃣ Во-первых, DLP-система проверила бы содержимое вложения (Excel-файл) электронного письма и обнаружила бы там персональные данные студентов.

2️⃣ Во-вторых, DLP-средство посмотрело бы список получателей электронного письма и обнаружило бы там внешние адреса сторонних людей, не имеющих доступа к данным студентов.

3️⃣ Ну и в конце концов, DLP-продукт запретил бы отсылку такого письма, сообщив о нарушении.

Американская компания ComplyRight, оказывающая услуги по ведению бухгалтерии и кадровому учету, допустила утечку персональных данных 660 тыс. человек. 🔥

С вебсайта компании (efile4biz.com) утекли имена, адреса, телефонные номера, номера социального страхования и адреса электронной почты.

ComplyRight заявляет, что зафиксировала неавторизованный доступ к своему облаку в период с 20 апреля  по 22 мая  2018 года.

В июне писали, что британская розничная сеть электроники Dixons Carphone заявила об утечке более миллиона персональных данных покупателей и более 100 тыс. данных платежных карт (https://www.devicelock.com/ru/blog/britanskaya-roznichnaya-set-elektroniki-zayavila-ob-utechke-bolee-milliona-personalnyh-dannyh-pokupatelej-i-bolee-100-tys-dannyh-platezhnyh-kart.html?phrase_id=2218788).

А сегодня стало известно, что на самом деле утекли персональные данные более 10 млн. покупателей! 🙈

В знаменитом Йельском университете произошел «взрыв из прошлого». 😎

16-го июня этого года «специалисты» университета обнаружили утечку персональных данных студентов и сотрудников, произошедшую в период между апрелем 2008 и январем 2009. 🙈

Как положено, утекли номера социального страхования (SSN), имена и даты рождения.

Когда будете в конце года, начале следующего - читать отчеты об утечках данных от псевдоаналитических центров российских DLP-вендоров, содержащие цифры объема утекших данных, размер баз и т.п. наукообразную ерунду, помните о таких случаях. Это довольно типичный случай, когда спустя много лет обнаруживают утекшие данные. 😂

Утечка персональных данных 1.3 млн. покупателей британских онлайн магазинов модной одежды.

Утекли имена, даты рождения, телефонные номера, адреса электронной почты, MD5 и SHA-1 хеши паролей от аккаунтов онлайн магазинов, обслуживаемых компанией Fashion Nexus и ее дочерней структурой White Room Solutions.

Эти компании обеспечивали функционирование магазинов таких брендов, как: Jaded London, AX Paris, Elle Belle Attire, Perfect Handbags, DLSB (Dirty Little Style Bitch) и Traffic People.

Руководительницу магнитогорского подразделения пенсионного фонда отправили под домашний арест. Она обвиняется в злоупотребление должностными полномочиями и в получение взятки за незаконные действия.

По версии следователей ФСБ, начальница получила 60 тысяч рублей, предоставив банку персональные данные граждан.

Крупнейший портал Reddit подтвердил взлом нескольких аккаунтов своих сотрудников, кражу исходников, логов и адресов электронной почты пользователей.

В промежуток между 14 и 18 июнем, неизвестный злоумышленник смог перехватить SMS-коды, использующиеся для двухфакторной аутентификации и получить доступ к нескольким аккаунтам сотрудников Reddit.

После чего хакер получил доступ на чтение к некоторым внутренним системам сайта и скачал базу данных пользователей от 2007 года (старую резервную копию), содержащую адреса электронной почты и хешированные пароли.

Арестованный по обвинению в госизмене сотрудник  Центрального научно-исследовательского института машиностроения (ЦНИИмаш), по данным следствия, передавал секретные материалы по электронной почте.

В Jira Service Desk с начала 2017 года был прекрасный баг, из-за которого учетные данные (логин, пароль) от почтового ящика техподдержки одной компании (если компания использовала сервис техподдержки через электронную почту) отправлялись на сервера других компаний.

Баг обнаружили 12 июля этого года, а исправили 16-го июля.