В октябре мы писали про то, что Google обнаружили в своей социальной сети Google+ потенциальную утечку данных 500 тыс. пользователей: https://t.me/dataleak/583

А сегодня Google заявили, что они обнаружили еще одну уязвимость в Google+, которая привела к утечке данных 52,5 млн. пользователей. 🔥

Уязвимость существовала 6 дней в ноябре 2018 года и позволяла приложениям получать из профилей пользователей информацию (имя, адрес электронной почты, пол, дату рождения, возраст и т.п.), даже если эти данные были приватными. 🙈

Кроме того, через профиль одного пользователя можно было получать данные других пользователей.

В сентябре мы писали про то, что онлайн ритейлер Amazon расследует продажу своими сотрудниками данных клиентов: https://t.me/dataleak/549

А сейчас стало известно, что компания предприняла серьезные меры технического характера, по предотвращению утечек данных.

В частности, в Индии и Китае Амазон существенно ограничил сотрудников техподдержки в возможностях поиска по базе данных клиентов. В Индии сотрудникам техподдержки закрыли доступ к USB-портам на запись.

У сотрудника компании Lenovo в Сингапуре был похищен корпоративных ноутбук, содержащий незашифрованную информацию по заработной плате персонала компании в Азиатско-Тихоокеанском регионе.

На ноутбуке в открытом виде хранилась информация по заработной плате, включая имена, размер зарплаты и номера банковских счетов.

Всего в Lenovo работает более 54 тыс. человек по всему миру.

Из ратуши датского муниципального образования (коммуны) Гладсаксе похитили компьютер с персональными данными.

В компьютере находились персональные регистрационные номера, возраст, пол, адреса и семейное положение 20 тыс. жителей коммуны. Все данные были сохранены в один незащищенный файл электронной таблицы. 🙈

Всего в Гладсаксе проживает около 62 тыс. человек.

В марте 2017 года 36-летний начальник одного из управлений Комитета по управлению городским имуществом и земельными ресурсами администрации Нижнего Новгорода, предложил своему знакомому в течение года передавать персональные данные граждан, содержащиеся в информационных системах по учету объектов недвижимого имущества и земельных участков).

За год «подписки» на подобные услуги начальник управления попросил 1,2 млн. рублей. В подтверждение своих слов он сразу передал USB-флешку с частью данных, за что получил 355 тыс. рублей.

Суд приговорил бывшего начальника к лишению свободы на срок 8 лет с отбыванием в колонии строго режима, а также штрафу в размере 3,6 млн рублей, по статье за взяточничество. Кроме того, в течение 5 лет он не сможет занимать определенные должности.

Тенденция последних лет-  забывать и занижать уровень угрозы утечки данных, связанной с использованием USB-устройств.

Да, сегодня в ходу мессенджеры и облачные хранилища, но старый добрый интерфейс USB и примитивная флешка на пару гигабайт по-прежнему доступны каждому потенциальному злоумышленнику в любой организации, а значит, их использование для хищения конфиденциальной информации все еще актуально, и более того – намного проще и эффективнее, чем атака через внешний периметр или слив данных через облака и почту.

https://habr.com/company/devicelockdlp/blog/433008/

Шотландский онлайн магазин горнолыжного снаряжения Freeze Pro Shop допустил утечку 4 млн. записей с персональными данными своих клиентов.

В открытом доступе оказалась база данных Elasticsearch, содержащая имена, адреса электронной почты, почтовые адреса, телефонные номера и детали заказов.

Магазин осуществляет бесплатную доставку товаров по всему миру, включая Россию и публикует цены в рублях. Поэтому есть вероятность, что среди пострадавших, чьи данные утекли, были и жители РФ.

Прокуратура Ленинского района Магнитогорска направила в суд уголовное дело в отношении бывшей начальницы городского управления пенсионного фонда, обвиняемой в получении взятки и злоупотреблении полномочиями.

В 2017 году женщина передала сотруднику коммерческого банка персональные данные горожан, которые незаконно использовались в служебной деятельности кредитного учреждения. За это начальница пенсионного фонда получила взятку в размере 61,4 тыс. руб. Эти деньги были перечислены на банковский счет ее дочери под видом оказания материальной помощи от работодателя.

МИД Франции заявил о краже персональных данных 540 тыс. граждан, зарегистрированных в системе Ariane.

Ariane это онлайн сервис, созданный в 2010 году, который позволяет гражданам Франции, отправляющимся в «небезопасные» страны, оповестить об этом МИД страны.

Из Ariane украли записи, содержащие имена, адреса электронной почты и телефоны.

Утверждается, что 5 декабря неизвестные получили доступ к базе данных с контактами на случай чрезвычайных происшествий, всех зарегистрированных в системе граждан. Однако, неавторизованного доступа к базе данных с информацией о поездках – не было.

Потешная новость про псевдо-утечки пришла из Украины. 😝

Там местная спецслужба – СБУ, выявила «страшную» утечку «военных» баз данных в Россию.

Цитата из заявления СБУ: "Сотрудники Службы безопасности Украины разоблачили коммерческую структуру, которая с помощью запрещенного в Украине программного обеспечения "Парус" и "Афина", внесенного в санкционные списки в соответствии с Указом Президента, завладела базами данных и массивами информации, принадлежащими государственным учреждениям, воинским подразделениям и предприятиям во Львовской области". 🙈🙈

Для пущей убедительности привели скриншоты, на которых доказывается что-то очень непонятное, но написано Россия. 😱😱😱

По факту скорее всего имеет место обычная пиар-спецоперация против коммерческой структуры, которая занималась обслуживанием каких-то ИТ-систем с установленным ПО, попавшим в список запрещенных на Украине. Причем обслуживание велось через программу удаленного доступа TeamViewer.

"Парус" — это серия программных продуктов, предназначенных для автоматизации деятельности организаций.

Что такое "Афина" нам пока понять не удалось. Есть информационная система управления банковской деятельностью "Новая Афина", которая до 1998 года называлась "Афина".

"Убедительные" украинские доказательства похищения баз данных.

Документы с персональными данными, в том числе копии паспортов, обнаружили на улице в Чите

Домодедовского городской суд Московской области признал сотрудника полиции виновным в совершении коррупционных преступлений и приговорил к четырем годам шести месяцам лишения свободы.

Кроме того, осужденный оштрафован на 600 тыс. руб.

Суд установил, что полицейский на протяжении нескольких месяцев неоднократно получал взятки в размере до 15 тыс. руб. через посредника за предоставление бланков миграционных карт и персональных данных иностранцев из автоматизированной базы данных.

Китайская компания Nixi Technology, производящая мобильное приложение Boomoji для создания анимированных 3D-аватаров, оставила в открытом доступе персональные данные более 5 млн. пользователей этого приложения по всему миру. 🔥🔥

В свободном доступе находилось две базы данных Elasticsearch – одна, расположенная в США, предназначалась для хранения данных международных клиентов, а вторая, расположенная в Гонконге, содержала данные китайских пользователей (китайское законодательство требует хранить персональные данные граждан на территории Китая).

Базы данных были свободно доступны как на чтение, так и на запись (включая редактирование и удаление). В них содержалось 5.3 млн. пользователей iOS и Android версий Boomoji.

Помимо данных (имя пользователя, возраст, пол, страна, модель телефона и даже название учебного заведения) непосредственно самих пользователей приложения, в базах данных лежало 125 млн. контактов их адресных книг (копия с телефонов), а также история геопозиционирования для 375 тыс. пользователей. 👍

Разумеется, все данные лежали открытым текстом, без какого-либо шифрования. 🙈

Американское национальное управление по аэронавтике и исследованию космического пространства (НАСА) сообщило, что 23-го октября этого года неизвестные злоумышленники получили доступ к внутренним серверам, на которых хранились персональные данные текущих и бывших сотрудников НАСА.

Количество затронутых инцидентом сотрудников пока неизвестно. Известно только, что пострадали гражданские сотрудники, имевшие отношения с НАСА в период с июля 2006 по октябрь 2018.

Похожие инциденты уже происходили с НАСА в 2011 и 2016 годах.

Крупнейшая бразильская IT-аутсорсинговая компания Tivit, пострадала от утечки данных.

Неизвестными в открытый доступ (через специально созданный аккаунт в Твиттере и запись в сервисе обмена текстами Pastebin) было выложено множество файлов с информацией, затрагивающей клиентов Tivit.

Утекли учетные записи доступа к облачным сервисам, принадлежащим клиентам Tivit и около 1000 строк исходных кодов, внутренняя документация Tivit (около 900 Мб в PDF-файлах), а также переписка (около 150 Мб в заархивированном виде).

Среди пострадавших клиентов Tivit такие организации, как страховая компания Zurich, бразильский банк Original, японская компания Mitsui и другие (всего 13 клиентов было затронуто этой утечкой).

В Сингапуре сотрудник туристической компании Insight Vacations взял без разрешения из офиса диск с данными клиентов и забыл его в такси по дороге домой. 😂

На диске содержались мобильные телефоны, имена, почтовые адреса 5200 человек, при этом для 200 человек там также были национальные идентификационные номера (NRIC).

Разумеется, данные на диске не были зашифрованы. 👍

РБК обнаружили, что простейший поисковый запрос (https://yandex.ru/search/?text=%D0%B1%D0%B0%D0%BD%D0%BA&lr=213&site=pay.mos.ru&p=0) по сайту мэрии Москвы, раскрывал более 400 квитанций по счетам за жилищно-коммунальные услуги. Сейчас эти документы убраны из результатов поисковой выдачи.

2018-й год подходит к концу — а значит, пришло время подвести его итоги и перечислить наиболее значимые утечки данных.

В данный обзор попали только действительно крупные случаи утечек информации по всему миру. Однако, даже несмотря на высокий порог отсечения, случаев утечек так много, что обзор пришлось разбить на две части – по полугодиям.

Давайте посмотрим, что и как утекало в этом году с июля по декабрь.

https://www.devicelock.com/ru/blog/kak-protekal-2018-god-chast-vtoraya-iyul-dekabr.html

Рады сообщить вам о том, что мы выпустили обновление DeviceLock DLP Suite версии 8.3!

Помимо прочего:

✅ Добавлена новая функция - консолидация журналов DeviceLock Enterprise Server’ов, которая позволяет обеспечить сбор всех журналов (событийного протоколирования, теневого копирования и др.) с удаленных серверов DeviceLock Enterprise Server на назначенный центральный сервер DeviceLock Enterprise Server (мастер-сервер).

✅ Реализована полная поддержка ОС Apple macOS 10.14 (Mojave).

✅ Реализована поддержка ОС Windows 10 версии 1809.

https://www.devicelock.com/ru/news/obnovlenie-devicelock-dlp-suite-versii-83-22dec.html