Список кредитов, обнаруженных в открытой базе данных.
Size: a a a
2019 March 21
Список точек продаж, где оформлялись кредиты.
2019 March 22
Несколько дней назад нам прислали на анализ IP-адрес одного сервера, на котором оказалась база данных MongoDB не требующая никакой аутентификации.
При заходе на сервер по 80-му порту показывалась страница с заголовком «Utair Администратор» и поля для ввода логина и пароля.
По косвенным признакам мы предположили, что это тестовая база данных компании Utair Digital, ИТ-подразделения авиакомпании Utair.
В свободном доступе находилось:
✅ Более 530 тыс. записей частных клиентов: ФИО, номер телефона, адрес электронной почты, номер паспорта, адрес и т.п. Данные выглядят как тестовые и скорее всего не принадлежат реальным людям. Хотя возможно, что это частично данные реальных людей, просто с искаженными адресами электронной почты и номерами паспортов.
✅ Более 300 записей корпоративных клиентов: название организации, телефон, адрес электронной почты, почтовый адрес и т.п. Эти данные не выглядят искаженными и скорее всего реальные.
✅ Более 250 записей самолетов: название на английском и русском языках, код.
Общий размер базы чуть менее 1 Гб.
Судя по поисковику Shodan база попала в индекс еще 21-го января этого года. 20-го марта базу убрали из открытого доступа после нашего «сигнала».
В целом данный инцидент не выглядит как критичный (если данные 500 тыс. частных клиентов действительно не принадлежат реальным людям).
При заходе на сервер по 80-му порту показывалась страница с заголовком «Utair Администратор» и поля для ввода логина и пароля.
По косвенным признакам мы предположили, что это тестовая база данных компании Utair Digital, ИТ-подразделения авиакомпании Utair.
В свободном доступе находилось:
✅ Более 530 тыс. записей частных клиентов: ФИО, номер телефона, адрес электронной почты, номер паспорта, адрес и т.п. Данные выглядят как тестовые и скорее всего не принадлежат реальным людям. Хотя возможно, что это частично данные реальных людей, просто с искаженными адресами электронной почты и номерами паспортов.
✅ Более 300 записей корпоративных клиентов: название организации, телефон, адрес электронной почты, почтовый адрес и т.п. Эти данные не выглядят искаженными и скорее всего реальные.
✅ Более 250 записей самолетов: название на английском и русском языках, код.
Общий размер базы чуть менее 1 Гб.
Судя по поисковику Shodan база попала в индекс еще 21-го января этого года. 20-го марта базу убрали из открытого доступа после нашего «сигнала».
В целом данный инцидент не выглядит как критичный (если данные 500 тыс. частных клиентов действительно не принадлежат реальным людям).
Список самолетов
Список частных клиентов
Проблема непреднамеренных утечек критичной информации (ключей доступа, паролей, ключей шифрования, API-ключей различных продуктов и т.п.) на сервис для хостинга IT-проектов и их совместной разработки GitHub, сейчас является одной из самых горячих тем обсуждения. 🔥
В конце прошлого года мы выпустили статью «Как предотвращать утечки конфиденциальных данных на GitHub» (https://www.devicelock.com/ru/blog/kak-predotvraschat-utechki-konfidentsialnyh-dannyh-na-github.html), в которой рассказали, как предотвращать непреднамеренные утечки посредством контроля загружаемых на GitHub данных. 👍
Университет штата Северная Каролина (NCSU), в период с 31 октября 2017 года по 20 апреля 2018 года, провел сканирование миллиардов файлов, размещенных в публичных репозиториях GitHub, на предмет наличия в них различных криптографических и API-ключей.
Всего, в более чем 100 тыс. репозиториях, NCSU удалось найти 575,456 ключей, из которых 201,642 были уникальные.
Полное исследование NCSU на английском языке тут: https://www.ndss-symposium.org/wp-content/uploads/2019/02/ndss2019_04B-3_Meli_paper.pdf
Обзор инцидентов, напрямую связанных с сервисом GitHub тут: https://www.devicelock.com/ru/blog/utechki-cherez-github.html
В конце прошлого года мы выпустили статью «Как предотвращать утечки конфиденциальных данных на GitHub» (https://www.devicelock.com/ru/blog/kak-predotvraschat-utechki-konfidentsialnyh-dannyh-na-github.html), в которой рассказали, как предотвращать непреднамеренные утечки посредством контроля загружаемых на GitHub данных. 👍
Университет штата Северная Каролина (NCSU), в период с 31 октября 2017 года по 20 апреля 2018 года, провел сканирование миллиардов файлов, размещенных в публичных репозиториях GitHub, на предмет наличия в них различных криптографических и API-ключей.
Всего, в более чем 100 тыс. репозиториях, NCSU удалось найти 575,456 ключей, из которых 201,642 были уникальные.
Полное исследование NCSU на английском языке тут: https://www.ndss-symposium.org/wp-content/uploads/2019/02/ndss2019_04B-3_Meli_paper.pdf
Обзор инцидентов, напрямую связанных с сервисом GitHub тут: https://www.devicelock.com/ru/blog/utechki-cherez-github.html
Не только в России финансовые данные находятся в открытом доступе – см. наш отчет по базе данных компании Финсервис: https://t.me/dataleak/863
В открытом доступе обнаружили полностью открытую базу данных размером 2.1 Тб, содержащую 1,933,515,811 банковских транзакций за 2018 год из американского банка! 🔥🔥🔥
Все транзакции были категоризированы по тратам/доходам и явно представляли собой модель для машинного обучения.
В настоящий момент база данных уже недоступна и скоро будут подробности…
В открытом доступе обнаружили полностью открытую базу данных размером 2.1 Тб, содержащую 1,933,515,811 банковских транзакций за 2018 год из американского банка! 🔥🔥🔥
Все транзакции были категоризированы по тратам/доходам и явно представляли собой модель для машинного обучения.
В настоящий момент база данных уже недоступна и скоро будут подробности…
2019 March 23
Управление здравоохранения Липецкой области на портале госзакупок (zakupki.gov.ru), объявляя на этот год аукционы на "оказание медицинских услуг в неотложной форме", выложило персональные данные пациентов (ФИО, домашний адрес, диагноз, код по МКБ, профиль и тд.).
Всего обнаружено восемь закупок с открытыми личными данными пациентов начиная с 2018 года.
Всего обнаружено восемь закупок с открытыми личными данными пациентов начиная с 2018 года.
Крупная утечка файлов из СБУ, МВД и МИД Украины. 🔥🔥
Для скачивания доступен архив, размером 2.45 Гб: http://odesa.md/ (прямая ссылка: https://mega.nz/#!x44zwKIZ!LbCumq8ERBFUcyGxicfbGSjKWQsu9Nt5OPxp39HWdyg).
Внутри архива находятся файлы (более 16 тыс.) в формате MS Word, MS Excel, JPG, общим размером 2.6 Гб.
Большинство документов относятся к 2014-2016 гг., попадаются и более ранние.
Видно, что некоторые документы скачивались напрямую с компьютеров, вместе со всеми стандартными директориями (типа Desktop, “Мои документы” и т.п.) и даже установленными программами ("Производственный календарь 2017").
Разумеется, украинская служба безопасности (СБУ) уже успела сделать стандартное заявление «вы все врете», объявив все документы «фейками».
Для скачивания доступен архив, размером 2.45 Гб: http://odesa.md/ (прямая ссылка: https://mega.nz/#!x44zwKIZ!LbCumq8ERBFUcyGxicfbGSjKWQsu9Nt5OPxp39HWdyg).
Внутри архива находятся файлы (более 16 тыс.) в формате MS Word, MS Excel, JPG, общим размером 2.6 Гб.
Большинство документов относятся к 2014-2016 гг., попадаются и более ранние.
Видно, что некоторые документы скачивались напрямую с компьютеров, вместе со всеми стандартными директориями (типа Desktop, “Мои документы” и т.п.) и даже установленными программами ("Производственный календарь 2017").
Разумеется, украинская служба безопасности (СБУ) уже успела сделать стандартное заявление «вы все врете», объявив все документы «фейками».
2019 March 25
Уязвимость в системе румынского TBI Bank позволяет злоумышленникам получать доступ ко всем данным клиентов банка (в том числе к отсканированным копиям документов, хранящимся в PDF-файлах).
В открытом доступе обнаружена база данных Elasticsearch российского информационного портала «ИНВЕСТИЦИОННЫЕ ПРОЕКТЫ» (investprojects.info).
На сайте проекта про эту базу пишут так: «Информация о планируемых и реализуемых стройках с проверенными контактами Инвесторов, проектировщиков, подрядчиков и т.д. Проекты с инвестициями от 100 млн. руб. Более 12 000 проектов на сегодня из них 8 000 с частными инвестициями. 30 проектов обновляем и 20 новых добавляем в день. 1 000 на ранней стадии реализации. Контакты 22 тыс инвесторов, 13 тыс подрядчиков/проектировщиков.»
Доступ к базе предполагался только для зарегистрированных пользователей, но закрыть Elasticsearch от посторонних глаз никто не догадался.
На сайте проекта про эту базу пишут так: «Информация о планируемых и реализуемых стройках с проверенными контактами Инвесторов, проектировщиков, подрядчиков и т.д. Проекты с инвестициями от 100 млн. руб. Более 12 000 проектов на сегодня из них 8 000 с частными инвестициями. 30 проектов обновляем и 20 новых добавляем в день. 1 000 на ранней стадии реализации. Контакты 22 тыс инвесторов, 13 тыс подрядчиков/проектировщиков.»
Доступ к базе предполагался только для зарегистрированных пользователей, но закрыть Elasticsearch от посторонних глаз никто не догадался.
2019 March 26
Жители Ростовской области обнаружили на помойке документы с личными данными пациентов районной больницы.
Среди документов есть данные паспортов и свидетельств о рождении, а также медицинских полисов. Кроме того там есть отчетность центральной районной больницы Багаевского района.
Прокуратура Багаевского района Ростовской области возбудила административное дело.
Среди документов есть данные паспортов и свидетельств о рождении, а также медицинских полисов. Кроме того там есть отчетность центральной районной больницы Багаевского района.
Прокуратура Багаевского района Ростовской области возбудила административное дело.
Сегодня в 17:00 (МСК) поговорим в прямом эфире про "Утечки персональных данных. Проблема защиты данных пациентов и врачей в телемедицинских проектах."
Основатель и технический директор DeviceLock Ашот Оганесян, обсудит с ведущим недавние случаи с телемедицинскими сервисами DOC+ и "Доктор рядом", про которые он писал в Telegram-канале "Утечки информации" (@dataleak).
Подключайтесь к трансляции:
https://evercare.ru/utechki-personalnykh-dannykh-problema-zashchity-da
Основатель и технический директор DeviceLock Ашот Оганесян, обсудит с ведущим недавние случаи с телемедицинскими сервисами DOC+ и "Доктор рядом", про которые он писал в Telegram-канале "Утечки информации" (@dataleak).
Подключайтесь к трансляции:
https://evercare.ru/utechki-personalnykh-dannykh-problema-zashchity-da
2019 March 27
Группировка хакеров #Pryzraky выложила в свободный доступ базу данных логинов, адресов электронной почты и паролей клиентов итальянского производителя стрелкового оружия Chiappa Firearms.
Интересно то, что пароли от аккаунтов (https://www.chiappafirearms.com/login-user.php) хранятся в текстовом виде и лишь слегка модифицированы (перекодированы в Base64). 🤦♂️🤦🏻♂️
Всего утекло 255 учетных записей: https://www.hastebin.com/dodepuxuqi.nginx
Интересно то, что пароли от аккаунтов (https://www.chiappafirearms.com/login-user.php) хранятся в текстовом виде и лишь слегка модифицированы (перекодированы в Base64). 🤦♂️🤦🏻♂️
Всего утекло 255 учетных записей: https://www.hastebin.com/dodepuxuqi.nginx
Волгоградская межрайонная природоохранная прокуратура выявила нарушения в деятельности Комитета природных ресурсов, лесного хозяйства и экологии Волгоградской области. Было вынесено постановление о возбуждении административного производства.
Установлено, что в открытом доступе, на официальном сайте Комитета, был размещен план проведения проверок юридических лиц и индивидуальных предпринимателей на 2019 год. Документ, в котором содержались адреса регистрации физических лиц, был доступен для просмотра и скачивания любым пользователем Интернет.
Мировой суд назначил виновному сотруднику штраф 10 тыс. рублей.
Установлено, что в открытом доступе, на официальном сайте Комитета, был размещен план проведения проверок юридических лиц и индивидуальных предпринимателей на 2019 год. Документ, в котором содержались адреса регистрации физических лиц, был доступен для просмотра и скачивания любым пользователем Интернет.
Мировой суд назначил виновному сотруднику штраф 10 тыс. рублей.
Запись вчерашней беседы про проблемы защиты медицинских и персональных данных: https://www.youtube.com/watch?v=a8UlusVy2qo
2019 March 28
Файл с персональными данными выпускников московских ВУЗов за 2010-2018 «гуляет» в свободном доступе. 198652 записей, содержащих ФИО, даты рождения, названия ВУЗов, номера телефонов, названия кафедр и т.п.
Китайское мобильное приложение для знакомств геев и лесбиянок Rela допустило утечку данных пользователей, оставив незащищенным сервер приложения с базой данных. 👩❤️👩👨❤️💋👨🌈
В базе данных находилось 5.3 млн. пользователей (имена, даты рождения, рост, вес, сексуальные предпочтения, национальность, геолокация) и более 20 млн. «моментов» (обновлений статусов и т.п.).
Кроме того, в среднем за день в системе фиксировалось от 240 млн. до 1 млрд. частных сообщений (от пользователя к пользователю). 🔥
В апреле стало известно, что другое мобильное приложение для гей-знакомств Grindr отдает сторонним компаниям ВИЧ-статус и дату тестирования, а также GPS-координаты пользователей: https://t.me/dataleak/266
В базе данных находилось 5.3 млн. пользователей (имена, даты рождения, рост, вес, сексуальные предпочтения, национальность, геолокация) и более 20 млн. «моментов» (обновлений статусов и т.п.).
Кроме того, в среднем за день в системе фиксировалось от 240 млн. до 1 млрд. частных сообщений (от пользователя к пользователю). 🔥
В апреле стало известно, что другое мобильное приложение для гей-знакомств Grindr отдает сторонним компаниям ВИЧ-статус и дату тестирования, а также GPS-координаты пользователей: https://t.me/dataleak/266
2019 March 29
Читатель канала сообщает, что «Файл с персональными данными выпускников московских ВУЗов за 2010-2018», про который мы писали вчера (https://t.me/dataleak/883), это парсинг данных с сайта Российского университета транспорта (МИИТ). 👍
Перебором «Табельных номеров» можно получить до полумиллиона записей. Например: http://miit.ru/portal/page/portal/miit/pers?id_e_pi=666666
Перебором «Табельных номеров» можно получить до полумиллиона записей. Например: http://miit.ru/portal/page/portal/miit/pers?id_e_pi=666666
Не такая уж и утечка, но просто информация к размышлению по поводу популярности в соцсетях. 😄
Всплыла небольшая открытая база данных MongoDB, использующаяся для продвижения в Instagram аккаунтов модельного агенства SIGMA (sigmafamily.ru, sigma-m.com):
{
"db" : "instaparse",
"collections" : NumberInt(10),
"views" : NumberInt(0),
"objects" : NumberInt(293170),
"avgObjSize" : 166.12929358392742,
"dataSize" : 48704125.0,
"storageSize" : 13754368.0,
"numExtents" : NumberInt(0),
"indexes" : NumberInt(10),
"indexSize" : 3604480.0,
"fsUsedSize" : 9352089600.0,
"fsTotalSize" : 15426048000.0,
"ok" : 1.0
}
Продвигаются аккануты:
✅ https://www.instagram.com/sigma_management/
✅ https://www.instagram.com/sigmakids_samara/
✅ https://www.instagram.com/sigma__krsk/
✅ https://www.instagram.com/sigma__ulanude/
✅ и более 70 других.
В базе 18 пользователей от чьего имени идет продвижение, из них на текущий момент только 3 активных. У всех пользователей одинаковый пароль (хранится в текстовом виде) от Instagram.
С октября 2018 сделано более 12 тыс. постов и 21 тыс. сторис.
Управлением явно занимаются аккаунты:
✅ https://www.instagram.com/Dumai_Golovoi/
✅ https://www.instagram.com/alexkozh/
Всплыла небольшая открытая база данных MongoDB, использующаяся для продвижения в Instagram аккаунтов модельного агенства SIGMA (sigmafamily.ru, sigma-m.com):
{
"db" : "instaparse",
"collections" : NumberInt(10),
"views" : NumberInt(0),
"objects" : NumberInt(293170),
"avgObjSize" : 166.12929358392742,
"dataSize" : 48704125.0,
"storageSize" : 13754368.0,
"numExtents" : NumberInt(0),
"indexes" : NumberInt(10),
"indexSize" : 3604480.0,
"fsUsedSize" : 9352089600.0,
"fsTotalSize" : 15426048000.0,
"ok" : 1.0
}
Продвигаются аккануты:
✅ https://www.instagram.com/sigma_management/
✅ https://www.instagram.com/sigmakids_samara/
✅ https://www.instagram.com/sigma__krsk/
✅ https://www.instagram.com/sigma__ulanude/
✅ и более 70 других.
В базе 18 пользователей от чьего имени идет продвижение, из них на текущий момент только 3 активных. У всех пользователей одинаковый пароль (хранится в текстовом виде) от Instagram.
С октября 2018 сделано более 12 тыс. постов и 21 тыс. сторис.
Управлением явно занимаются аккаунты:
✅ https://www.instagram.com/Dumai_Golovoi/
✅ https://www.instagram.com/alexkozh/