Бывший сотрудник китайского сервиса Ziroom (предоставляет услуги поиска и сдачи в аренду апартаментов) обвиняется в краже персональных данных клиентов своего работодателя.

На ноутбуке, айфоне и USB-флешке, принадлежащим бывшему сотруднику, было обнаружено более 800 тыс. записей с персональными данными. При этом только 70 тыс. из них оказались клиентами Ziroom.

Перед увольнением из Ziroom недобросовестный сотрудник скачал из системы телефонные номера, имена, адреса и т.п. владельцев, сдающих недвижимость, используя некое специальное программное обеспечение, т.к. утверждается, что возможности сохранять данные у него не было – он мог только их просматривать.

В данный момент дело передано в суд.

Bob Diachenko обнаружил очередную открытую базу данных MongoDB с персональными данными 458,388 жителей Дели (Индия).

База данных под названием GNCTD (Government of National Capital Territory of Delhi) имеет размер 4.1 Гб и принадлежит скорее всего компании Transerve (занимается сбором и анализом различных данных для индийских городских властей).

В свободно доступной базе содержались такие данные, как: имена, пол, возраст, адреса, адреса электронной почты, семейные статусы, религиозные убеждения, имена пользователей и их хешированные пароли и т.п.

Открытая база данных MongoDB с персональными данными 458,388 жителей индийской столицы.

Альфа-Банк закончил расследование по факту размещения одним из курьеров снимка клиента с открытыми паспортными данными в Интернете. В банке пояснили, что уволили сотрудника, изменили инструкции и усилили контроль за их выполнением. Пострадавший получил iPhone XS в качестве извинений.

Про сам инцидент писали тут: https://t.me/dataleak/782

На известном DarkNet-форуме Dream Market в продаже появилась база пользователей антивирусной компании Avast. TXT-файл, размером 7.5 Мб содержит более 220 тыс. имен пользователей и их паролей.

Стэндфордский Университет допустил утечку данных студентов из-за ошибки в ИТ-системе (NojiWeb). Студенты университета для доступа к своим личным данным используют специальный URL, содержащий в себе числовой идентификатор. Оказалось, что простая замена своего идентификатора на чужой дает доступ к данным другого студента. 🙈

Из-за этой ошибки неавторизованный доступ можно было получить к номерам социального страхования (SSN), адресам, данным по успеваемости и посещению и т.п.

Система NojiWeb используется в университете с 2009 года. Однако, уязвимость была обнаружена только в конце января этого года. 🤦🏻‍♂️

Запись разговора с мошенником, который представляется сотрудником Сбербанка, называет свой доход, говорит откуда берутся данные, зачем он это делает и т.п.: http://d.zaix.ru/aVnW.mp3 🔥🔥🔥

В открытом доступе обнаружена база данных размером 23 Гб, принадлежащая американской компании Catalina, занимающейся сбором и анализом данных покупателей для крупных торговых сетей.

В Новосибирске суд вынес приговор двум бывшим сотрудникам МТС, которые украли базу данных абонентов Новосибирска, Барнаула, Новокузнецка и Бердска.

На момент совершения кражи, один из злоумышленников уже уволился из МТС, а второй продолжал работать в должности ведущего супервайзера.

Кража была совершена 18 июля 2018 года. Двое злоумышленников свободно зашли в офис и проникли в кабинет с компьютером, который имел доступ в корпоративную сеть под названием "Портмоне". Один из них попросил логин и пароль у начальства. Скачанную базу данных попытались отправить себе на личную почту в виде файла-архива, но из-за большого размера это не удалось сделать. Тогда архив разделили на несколько частей и вновь отправили на почту. 🙈🙈🤦‍♂️🤦‍♂️

Всего в украденной базе были данные 506,185 абонентов, содержащие: фамилии, имена, отчества, номера телефонов и адреса. Во время предварительного следствия злоумышленники признались, что пытались продать данные каждого абонента по одному рублю за запись, заработав таким образом более 500 тысяч рублей.

26 февраля 2019 года суд признал Никиту Черницова и Виталия Иванова виновными по статье 183 УК РФ "Сбор сведений, составляющих коммерческую тайну, причинивший крупный ущерб или совершенный из корыстной заинтересованности". Черницова приговорили к 1 году 6 месяцам условно с аналогичным испытательным сроком, а Иванову дали на три месяца меньше.

Судя по этому твиту, у компании КРОК неприятности - явно оставили в открытом доступе базу данных и исследователь ее обнаружил. Ждем подробностей...

DeviceLock – российский производитель DPL-систем (Data Leak Prevention) проанализировал январскую атаку на клиентов Сбербанка. В компании пришли к выводу, что столь масштабная и успешная атака стала возможной благодаря кратковременному доступу злоумышленников к информации о клиентах банка. По мнению специалистов компании, именно доступ к внутренней информации, а не подмена исходящего номера на номера банка, стал ключевым фактором успеха примененной мошенниками социальной техники.

В пользу этой версии свидетельствует, в частности, тот факт, что первые инциденты со звонками с подмененных номеров происходили еще в декабре 2018, но преступники не достигали успеха потому что не обладали достаточной информацией, чтобы выдавать себя за сотрудников Сбербанка и вынуждать клиентов к необходимым им действиям. Массовый повтор таких инцидентов в конце января уже включал использование преступниками полных паспортных данных, а также информации об остатках на картах клиентов банка. Кроме того, по свидетельствам пострадавших, после блокировки карты атаки немедленно прекращались, что также свидетельствует о доступе мошенников к информации о картхолдерах, причем в режиме реального времени. При этом сама январская атака была массовой, но короткой во времени и длилась всего 2-3 дня, а прекратилась, вероятно, после того, как служба безопасности банка выявила и ликвидировала источник утечки клиентских данных.

Специалисты DeviceLock прогнозируют, что рост телефонных социальных атак в целом связан с повышением уровня защиты банковских приложений и будет продолжаться в течение всего года.

https://www.devicelock.com/ru/news/k-telefonnym-atakam-na-klientov-sberbanka-prichastny-insajdery-26feb.html

В Томске вынесен приговор бывшему участковому уполномоченному полиции, получившему взятку за предоставление в интересах ритуальной фирмы сведений об умерших гражданах.

В суде выяснили, что в со 2 января по 18 июня 2018 года подсудимый, в то время работавший в должности участкового, получил взятку в 42 тысячи рублей за незаконное предоставление конфиденциальных сведений о персональных данных умерших граждан лицу, действующему в интересах коммерческой организации, оказывающей ритуальные услуги. Эти данные в дальнейшем предназначались для обеспечения заключения с родственниками умерших граждан договоров на оказание ритуальных услуг

Суд приговорил подсудимого к трем с половиной годам лишения свободы условно с испытательным сроком три года. Также его лишили права в течение двух лет занимать должности в системе правоохранительных органов РФ.

В Калининграде в заброшенном здании обнаружили тысячи копий паспортов, личные карточки и другие документы с фотографиями людей.

Среди брошенных бумаг есть копии заграничных паспортов и документов иностранных граждан. Практически все они направлялись в разные отделения УМВД по Калининградской области. Некоторые датированы 2005 годом.

Американская компания Dow Jones занимающаяся финансовой аналитикой, оставила в свободном доступе базу данных Elasticsearch с записями из «Dow Jones Watchlist» - список неблагонадежных и представляющих повышенный риск компаний и персон.

База данных размером 4.4 Гб содержала 2,418,862 записей, включающих детальные профили политиков, их родственников и связанных компаний, лиц обвиненных или связанных с криминалом и терроризмом, компаний, находящихся под национальными и международными санкциями и т.п. 🔥🔥

Dow Jones подтвердили проблему с неправильной конфигурации AWS-сервера и сообщили, что база была оставлена в открытом доступе авторизованным третьим лицом (скорее всего имеется ввиду внешний подрядчик).

Про то, как исследователи обнаруживают открытые базы данных MongoDB и Elasticsearch мы писали в отдельной статье: https://www.devicelock.com/ru/blog/obnaruzhenie-otkrytyh-baz-dannyh-mongodb-i-elasticsearch.html

Очередная заметка из серии "журналисты познают мир". 😂

На этот раз редакция Autonews.ru немного погрузилась в мир пробива и выяснила, что оказывается (сюрприз!) за небольшие деньги можно узнать данные по парковочным сессиям в Москве: https://www.autonews.ru/news/5c76f7b69a794773f34663a9

Суд в Новосибирске признал виновным руководителя ритуального агентства в даче взяток.

41-летнего мужчину приговорили к семи годам лишения свободы условно с испытательным сроком три года.

Следствие и суд установили, что предприниматель давал взятки сотрудникам полиции, чтобы получить информацию о персональных данных умерших в Новосибирске, а именно их фамилию, имя, отчество, дату рождения и смерти, а также местонахождение.

Сотрудники филиала французской страховой компании Axa в Манчестере (Великобритания) были приговорены судом к различным срокам заключения (от 14 до 18 месяцев плюс исправительные работы и штрафы) за торговлю персональными данными клиентов компании.

Следствием установлено, что в период между июлем и декабрем 2015 года четверо сотрудников (двое бывших и двое действующих на тот момент) Axa каждую неделю пересылали около 100 записей с данными клиентов через мессенджер Whatsapp.

Данные затем продавались компании Mid North West Ltd. Всего за все время злоумышленниками было получено около $24 тыс.

Мобильное приложение «CARGURU - Car sharing» латвийского каршерингового сервиса CARGURU использует открытую базу данных для хранения информации о клиентах и поездках.

Хакеры взломали почтовый сервер суданской государственной авиакомпании Sudan Airways.

В открытом доступе оказались адреса электронной почты (в основном на домене sudanair.com) и хешированные пароли: https://ghostbin.com/paste/4qqhb

Наверное, уже все знают, что наши персональные данные давно и успешно стали объектом законной и незаконной экономической деятельности (попросту говоря – торговли).

Если судить по огромному количеству предложений по «пробиву» на черном рынке, то может сложиться впечатление, что государство и частные компании - операторы персональных данных (банки, операторы сотовой связи и т.п.) попросту самоустранились от решения данной проблемы.

Однако, случаи, когда продавцов персданных ловят и даже судят, есть.

Я сделал подборку за год всех случаев задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными, про которые писали СМИ:

https://vc.ru/s/devicelock/59882-poymat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi