В свободном доступе появилась база должников управляющей компании ГБУ "Жилищник района Дорогомилово", актуальностью на 22.04.2019.

В Excel-файле находится 3276 записей, содержащих:

✅ адрес
✅ домашний телефон
✅ ФИО
✅ сумму задолженности
✅ площадь квартиры
✅ количество зарегистрированных (включая детей, пенсионеров, льготников)

Районный суд Великого Новгорода вынес обвинительный приговор частному детективу, признанному виновным в совершении четырех преступлений, предусмотренных ч. 1 ст. 272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло копирование компьютерной информации), и одного преступления, предусмотренного ч. 2 ст. 272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло копирование компьютерной информации, совершенный из корыстной заинтересованности). Ему назначено наказание в виде штрафа в размере 150 тысяч рублей.

Частный детектив, используя доверительные отношения с сотрудниками областного УМВД, неоднократно получал неправомерный доступ к персональных данным неопределенного числа граждан, посредством предоставленного ему во временное пользование компьютера, подключённого к интегрированным банкам данных (ИБД) ИЦ УМВД России по Новгородской области.

Со своих клиентов детектив получал по 3 тысячи рублей за собранные из баз УМВД данные.

Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: 👇
https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html

Уважаемые читатели канала, напоминаем вам про подписку на дайджест наиболее значимых утечек месяца! 🔥

Если нет времени читать все публикации на канале или захотите по итогам месяца освежить память - рекомендуем подписаться. 😎 Только раз в месяц, никакого спама.

Подписаться на дайджест можно по этой ссылке: 👇
https://www.devicelock.com/ru/subscribe.html

А вот, например, сервер ООО «Котласгазсервис»: http://www.kotlasgaz.ru/content/request/ 🤦‍♂️

В директориях лежат сканы паспортов, свидетельств о регистрации собственности, справок и других документов. 🔥

Все файлы уже «утекли» в открытый доступ и распространяются в виде одного архива, размером 340 Мб. 😎

Недавно та же самая проблема была (и есть до сих пор) с сервером службы «Али такси» (https://t.me/dataleak/1049).

18-го мая обнаружили свободно доступный сервер Elasticsearch с данными «Департамента информационных технологий города Москвы» (dit.mos.rudit.mos.ru).

В индексе unidata-backend-log-2019.05 находились в открытом виде административные логины и пароли к платформе «Юнидата», расположенной на том же самом IP-адресе (92.53.100.134:8080/unidata-frontend-admin/92.53.100.134:8080/unidata-frontend-admin/).

Кроме того, в самом индексе находилось несколько сотен ФИО, полных паспортных данных, адресов, номеров СНИЛС, адресов электронной почты и т.п.

Большинство данных однозначно идентифицируется как тестовые данные. Небольшая часть выглядит как данные реальных людей, но возможно таковыми не являются.


13-го апреля мы уже обнаруживали другую (реальную) открытую базу данных Elasticsearch, содержащую данные проекта Правительства Москвы - «Московское долголетие»: https://t.me/dataleak/954

Если у вас не было возможности посетить форум PHDays и услышать презентацию Ашота Оганесяна, технического директора и основателя DeviceLock, о том, как происходят утечки данных из незащищенных хранилищ, как их обнаруживают исследователи и что может дать заказчикам сервис DeviceLock Data Breach Intelligence - можно это исправить.
 
Во вторник, 4 июня 2019 г. в 15:00 (MSK) состоится бесплатный вебинар "Разведка уязвимостей хранения данных, или DeviceLock Data Breach Intelligence". Для участия необходима предварительная регистрация:

http://dialognauka.ru/press-center/events/21330/

Новая напасть на открытые MongoDB – 4 базы (3 в США и 1 в Гонконге) «заражены» новым сообщением «unistellar_petushara_ho_ho». 😂

Про «hacked_by_unistellar» мы писали ранее (https://t.me/dataleak/1017). На текущий момент этими вымогателями «заражено» 12,817 по всему миру, из них 272 в России.

Скоро напишем технические подробности этого инцидента. 🔥🔥🔥


Более 400 тысяч адресов электронной почты и 160 тысяч телефонных номеров, а также 1200 пар логин-пароль для доступа в личные кабинеты клиентов крупнейшей транспортной компании Fesco оказались в открытом доступе, сообщили D-Russia.ru в российской компании DeviceLock, производителе средств защиты от утечек информации.

D-Russia.ru в российской компании DeviceLock, производителе средств защиты от утечек информации.

http://d-russia.ru/proizoshla-utechka-dannyh-iz-krupnoj-rossijskoj-transportnoj-kompanii.html

Как и обещали ранее – подробности утечки из крупнейшей российской транспортно-логистической компании FESCO (www.fesco.ruwww.fesco.ru). 🔥🔥🔥

Утром 22.05.2019 система DeviceLock Data Breach Intelligence обнаружила в открытом доступе сервер Elasticsearch с индексами:

graylog_20
graylog_21
graylog_18
graylog_19
graylog_24
graylog_22
graylog_17
graylog_23

На момент обнаружения суммарный размер этих индексов превышал 52 Гб. 👍

Анализ показал, что логи принадлежат специализированному программному продукту CyberLines (www.cyberlines.ruwww.cyberlines.ru), а сам сервер Elasticsearch с большой долей вероятности содержит данные компании FESCO:

"settings": "{\"description\":\"Киберлайнз\",\"url\":\"msk-sql04.hq.fesco.com\",\"user\":\"personal_area\",\"options\":{\"appName\":\"my.fesco.ru\",\"debug\":1,\"port\":1433,\"database\":\"Cyberlines\",\"requestTimeout\":45000},\"poolConfig\":{\"min\":2,\"max\":4,\"log\":false}}"

msk-sql04.hq.fesco.com\",\"user\":\"personal_area\",\"options\":{\"appName\":\"my.fesco.ru\",\"debug\":1,\"port\":1433,\"database\":\"Cyberlines\",\"requestTimeout\":45000},\"poolConfig\":{\"min\":2,\"max\":4,\"log\":false}}"

В 15:45 мы оповестили FESCO и компанию CyberLines о проблеме. Примерно в 16:10 сервер Elasticsearch «тихо» исчез из открытого доступа. 😂 Перед самым закрытием на сервере находился только один индекс: graylog_0, размером 651 Мб.

По данным Shodan, впервые данный Elasticsearch оказался в свободном доступе 05.03.2018. 🤦‍♂️

В логах системы содержалось (все данные – оценочные, дубли из подсчетов не удалялись, поэтому объем реальной утекшей информации скорее всего меньше):

🌵 более 400 тыс. записей, содержащих адреса электронной почты
🌵 более 160 тыс. записей, содержащих номера телефонов
🌵 более 1200 записей, содержащих пары логин/пароль (в текстовом виде) для портала my.fesco.commy.fesco.com 🤦🏻‍♂️
🌵 несколько тысяч записей с паспортными данными
🌵 сотни тысяч записей с номерами инвойсов, заявок, отправлений и т.п. информацией

"track_uid\":1831289,\"заявка\":869837,\"менеджер\":\"Игумнова И.\",\"пункт отправления\":\"Шанхай\",\"пункт назначения\":\"Москва\",\"выход пункт отправления\":\"Владивосток (эксп.)\",\"выход пункт назначения\":\"Ховрино\",\"морской коносамент\":\"FCMV322453\",\"подход|транспорт|№/ наименование\":\"TIM-S.\",\"подход|транспорт|описание\":\"761\",\"таможенный режим\\\\вид сообщения\":\"ГТД (DDP)\",\"декларант\":\"Клиент\",\"дни хранения\":3,\"ткдрм\":null,\"кол-во взвешиваний\":null,\"кол-во таможенных досмотров\":null,\"кол-во осмотров с использованием рентгена (мидк)\":null,\"платформа|номер\":\"98034374    \",\"получение реестра\":null,\"альтернативные станции\":null,\"тип контейнера\":\"40HC\",\"собственник контейнера\":\"ФИТ\",\"№ контейнера (префикс + номер)\":\"DNAU8011890\",\"номер пломбы\":\"F6388323\",\"код клиента\":\"TIAISR\",\"особые заявления и отметки отправителя\":\" \\\"Получение КТК и оплату терм. услуг осуществляет  ООО «ФЕСКО Транс» ИНН 7702546450 по заявке ООО «ФИТ» для ООО \\\"\\\"ПРОМТКАНЬ\\\"\\\" г. Иваново Суздальская 16А  контактное лицо XXX Николай Сергеевич, паспорт 24 \\nXXXXXX\\nт. 8-961-119-XX-XX\\n\\\"\\n

7702546450 по заявке ООО «ФИТ» для ООО \\\"\\\"ПРОМТКАНЬ\\\"\\\" г. Иваново Суздальская 16А  контактное лицо XXX Николай Сергеевич, паспорт 24 \\nXXXXXX\\nт. 8-961-119-XX-XX\\n\\\"\\n

В личных кабинетах клиентов FESCO на портале my.fesco.com содержались сканы таможенных деклараций, счетов-фактур и актов с печатями. Все это можно было выгрузить в виде архивов, содержащих PDF-файлы. 🙈

Личный кабинет клиента FESCO, логин и пароль к которому находились в открытом виде в логах ИС. 😱

Документ клиента FESCO, доступ к которому предоставлял открытый сервер Elasticsearch с логами программного продукта CyberLines.

А вот так в открытом доступе находились логины и пароли (более 1200) к порталу my.fesco.commy.fesco.com (реальные данные мы «забили» символами Х): 🙈🤦🏻‍♂️🤦‍♂️

"message":"cyberlines/user: login({context: 'jEErJ1Nzm-tU', usernameOrEmail: 'XXX@severtrans.net', password: 'XXXX'}) ok in 38 ms'","gl2_source_input":"5cd233972ab79c0001580ab2","args":"{\"context\":\"jEErJ1Nzm-tU\",\"usernameOrEmail\":\"XXX@severtrans.net\",\"password\":\"XXX \"}","duration":38,"node":"myfesco.prod.my","service":"cyberlines/user"XXX@severtrans.net', password: 'XXXX'}) ok in 38 ms'","gl2_source_input":"5cd233972ab79c0001580ab2","args":"{\"context\":\"jEErJ1Nzm-tU\",\"usernameOrEmail\":\"XXX@severtrans.net\",\"password\":\"XXX \"}","duration":38,"node":"myfesco.prod.my","service":"cyberlines/user"

В начале апреля обнаружили открытую MongoDB, принадлежащую крымскому санаторию «Юрмино» (www.yurmino.ruwww.yurmino.ru).

Тот самый случай, когда атрибуция никаких проблем не вызвала – база находилась на том же самом IP-адресе, что и веб-сервер санатория. 🤦‍♂️

База данных содержала:

🌵 1107 записей отдыхающих (ФИО, номер телефона, адрес электронной почты, даты проживания и т.п.)
🌵 6 внутренних пользователей ИС (имя, адрес электронной почты, хешированный пароль)

После нашего уведомления база была закрыта.

Запись нашего вчерашнего вебинара «РАЗВЕДКА УЯЗВИМОСТЕЙ ХРАНЕНИЯ ДАННЫХ, ИЛИ DEVICELOCK DATA BREACH INTELLIGENCE».

Вначале совсем немного про DeviceLock DLP, а потом уже про обнаружение открытых баз данных и небольшой разбор известных случаев (про все случаи писалось в этом канале): 👇

https://www.youtube.com/watch?v=t5ZE8NaS3Zc

В заброшенном здании в Балакове Саратовской области найдены мешки с документами (клиентские договора, анкеты на получение кредитов и решения по кредитным заявкам, копии паспортов, трудовых книжек и справок о доходах), оставленные сотрудниками одного из банков.

Большинство обнаруженных бумаг относятся к 2008 - 2009 годам.

Как обычно позже напишем технические подробности инцидента. 🔥🔥🔥

Компания DeviceLock с помощью одного из своих сервисов обнаружила в открытом доступе базу данных клиентов IRG (входит в группу «Ланит», управляет сетями re:Store, Samsung, Sony Centre, Nike, Street Beat и др.).

База включала данные с ноября 2018 года, всего в ней было более 3 млн записей, содержащих email-адреса, более 7 млн записей, содержащих телефоны, а также более 21 тыс. пар логин—пароль к личным кабинетам покупателей магазинов Sony и Street Beat, включая дублирующиеся записи, то есть реальное количество данных меньше.

https://www.kommersant.ru/doc/3992303

Обещанный технический разбор утечки персональных данных клиентов Inventive Retail Group (IRG управляет сетями re:Store, Samsung, Sony Centre, Nike, Street Beat и др.). 🔥🔥🔥

Сразу обозначим, что речь идет именно об утечке данных, чтобы официально не заявляли представители IRG и аффилированных с ней компаний. Почему это утечка будет объяснено ниже. И подчеркнем, что пострадали данные не только клиентов магазинов Sony Centre и Street Beat, как пишут многие СМИ, но также и покупатели re:Store, Samsung, Nike и Lego.

04.06.2019 в 18:10 (МСК) DeviceLock Data Breach Intelligence обнаружил в свободном доступе сервер Elasticsearch с индексами:

graylog2_0
readme
unauth_text
http:
graylog2_1

На момент обнаружения суммарное количество записей в двух индексах (graylog2_0 и graylog2_1) составляло 28,670,513.

В graylog2_0 содержались старые логи (начиная с 16.11.2018), а в graylog2_1 – новые логи (начиная с марта 2019 и по 04.06.2019). До момента закрытия доступа к Elasticsearch, количество записей в graylog2_1 росло.

Мы оповестили IRG о проблеме в 18:25 и к 22:30 сервер «тихо» исчез из свободного доступа. На момент закрытия сервера количество записей в индексах graylog2_0 и graylog2_1 уже составляло 28,677,094. 😎

В логах содержалось (все данные – оценочные, дубли из подсчетов не удалялись, поэтому объем реальной утекшей информации скорее всего меньше):

🌵 более 3 млн. адресов электронной почты покупателей магазинов re:Store, Samsung, Street Beat и Lego

🌵 более 7 млн. телефонов покупателей магазинов re:Store, Sony, Nike, Street Beat и Lego

🌵 более 21 тыс. пар логин/пароль от личных кабинетов покупателей магазинов Sony и Street Beat.

🌵 большинство записей с телефонами и электронной почтой также содержали ФИО (часто латиницей) и номера карт лояльности.


Вот пример из лога, относящийся к клиенту магазина Nike (мы заменили чувствительные данные на символы «Х»):

"message": "{\"MESSAGE\":\"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Array\\n(\\n    [contact[phone]] => +7985026XXXX\\n    [contact[email]] => XXX@mail.ru\\n    [contact[channel]] => \\n    [contact[subscription]] => 0\\n)\\n[ДАННЫЕ  GET] Array\\n(\\n    [digital_id] => 27008290\\n    [brand] => NIKE\\n)\\n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Object\\n(\\n    [result] => success\\n    [contact] => stdClass Object\\n        (\\n            [phone] => +7985026XXXX\\n            [email] => XXX@mail.ru\\n            [channel] => 0\\n            [subscription] => 0\\n        )\\n\\n)\\n\",\"DATE\":\"31.03.2019 12:52:51\"}",


XXX@mail.ru\\n    [contact[channel]] => \\n    [contact[subscription]] => 0\\n)\\n[ДАННЫЕ  GET] Array\\n(\\n    [digital_id] => 27008290\\n    [brand] => NIKE\\n)\\n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Object\\n(\\n    [result] => success\\n    [contact] => stdClass Object\\n        (\\n            [phone] => +7985026XXXX\\n            [email] => XXX@mail.ru\\n            [channel] => 0\\n            [subscription] => 0\\n        )\\n\\n)\\n\",\"DATE\":\"31.03.2019 12:52:51\"}",


А вот пример того, как в логах хранились логины и пароли от личных кабинетов покупателей на сайтах sc-store.rusc-store.ru и street-beat.rustreet-beat.ru:

"message":"{\"MESSAGE\":\"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ  GET] Array\\n(\\n    [digital_id] => 26725117\\n    [brand]=> SONY\\n)\\n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] \",\"DATE\":\"22.04.2019 21:29:09\"}"

/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ  GET] Array\\n(\\n    [digital_id] => 26725117\\n    [brand]=> SONY\\n)\\n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] \",\"DATE\":\"22.04.2019 21:29:09\"}"

Какое-то время после закрытия доступа к Elasticsearch логины и пароли продолжали работать. Сейчас компания IRG заявляет, что они принудительно сменили пароли клиентов. Это хорошая новость. 😂

Однако, перейдем к совсем плохим новостям и объясним, почему это именно утечка персональных данных клиентов IRG.

Если внимательно присмотреться к индексам данного свободно доступного Elasticsearch, то можно в них заметить два имени: readme и unauth_text. Это характерный признак одного из самых популярных «вымогателей». 👍 Им поражено более 4 тыс. серверов Elasticsearch по всему миру.

Вот содержимое readme:

"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"


По данным поисковика Shodan сервер Elasticsearch с логами IRG находился в свободном доступе с 12.11.2018 (напомним, что первые записи в логах датированы 16.11.2018!). За это время к информации клиентов точно получал доступ скрипт-вымогатель и, если верить оставленному им сообщению, данные были скачены. 🤦‍♂️

Официальное заявление IRG можно почитать тут: https://inventive.ru/about/releases/1255/

Многим не понятно, как мы установили принадлежность обнаруженного свободно доступного сервера Elasticsearch с персональными данными покупателей к компании Inventive Retail Group. 😄

На самом деле в логах ИС напрямую не содержалось линков на IRG или связанные с ними магазины. Никаких полных URL там также не содержалось. Были названия брендов (Nike, Samsung, Lego и пр.) и фактически все.

Однако, в поле gl2_remote_ip содержались IP-адреса 185.156.178.58185.156.178.58 и 185.156.178.62185.156.178.62, с DNS-именами srv2.inventive.rusrv2.inventive.ru и srv3.inventive.rusrv3.inventive.ru, а www.inventive.ruwww.inventive.ru это официальный веб-сайт IRG. 😎

Обнаружены две базы данных, содержащие персональные данные и банковскую информацию, предположительно клиентов Альфа-Банка. 😂

Базы свободно распространяются в интернете в формате Excel-файлов. 😎

В первом файле 504 записи, содержащих:

🌵 ФИО
🌵 год рождения
🌵 серия/номер паспорта/кем и когда выдан
🌵 домашний/рабочий/мобильный номер телефона
🌵 остаток на счете (суммы в диапазоне 130-160 тыс. руб.)
🌵 название отделения Альфа-Банка (например, «ККО "Краснодар-Магнолия"»)
🌵 дата (в промежутке 09.01.2018-09.01.2019).

Во втором файле 55397 записей, содержащих:

🌵 ФИО
🌵 Место работы
🌵 домашний/рабочий/мобильный номер телефона
🌵 Адрес проживания

Актуальность информации во втором файле не известна, предположительно 2014-2015 гг. (но это не точно). Никаких прямых ссылок, кроме названия файла («База Альфа Банк 55K (55389).xlsx») на Альфа-Банк в нем тоже нет.