🔥 Подборка самых интересных каналов про IT, хакинг и безопасность.

CyberYozh - бесплатный курс по анонимности и безопасности в сети. Истории ошибок и арестов известных киберпреступников, тайные технологии защиты информации, ловушки для хакеров и многое другое.

@webware - хакинг от новичка до профи. Только свежая и эксклюзивная информация. Offensive, Defensive, Penetration test, CTF…

@vschannel - канал Дмитрия Момота, известного в сети под псевдонимом VektorT13. Он пишет про уникализацию, антидетекты, методики отслеживания, анти-фрод системы, отпечатки браузера, железа и операционной системы.

@SecLabNews - канал  русскоязычного новостного портала SecurityLab.ruSecurityLab.ru, оперативно публикующего информацию о последних новостях IT-безопасности в России и мире.

@exploitex - DDoS атаки и вирусы, обзоры хакерских девайсов и жучков, гайды по взлому и секреты анонимности в интернете.

Про это мы писали в пятницу (https://t.me/dataleak/1092). 😎

Данные клиентов ОТП-банка, Альфа-банка и ХКФ-банка оказались в открытом доступе. Утечка суммарно затрагивает интересы примерно 900 тыс. россиян, чьи имена, телефоны, паспорта и место работы теперь при желании может узнать каждый. Базы были выложены в конце мая, данные в них собирались несколько лет назад, но существенная часть информации сохраняет актуальность.

Две утечки данных о клиентах Альфа-банка обнаружила в пятницу DeviceLock. В одной из баз содержатся данные о более чем 55 тыс. клиентов, включая их ФИО, телефоны (мобильный, домашний и рабочий), адрес проживания и место работы. В DeviceLock осторожно датируют ее 2014–2015 годами. Вторая база содержит всего 504 записи, но она интересна тем, что датируется 2018–2019 годами, а помимо ФИО и телефонов содержит такие данные, как год рождения, паспортные данные, обслуживающее отделение Альфа-банка, а также остаток на счете, ограниченный диапазоном 130–160 тыс. руб.

https://www.kommersant.ru/doc/3997757

Ситуация с банковскими базами, про которые мы написали в пятницу (https://t.me/dataleak/1092) приобретает отчетливые формы истерики. Вот, например, Роскомнадзор:

Роскомнадзор анализирует ситуацию с утечкой данных 900 тысяч клиентов "Альфа Банка", "ХКФ Банка" и "ОТП Банка", если будут основания, то обратится в Генпрокуратуру, говорится в сообщении пресс-службы ведомства, поступившем в "Интерфакс".

"Мы взяли у издания "Коммерсантъ" ссылки на эти базы и всю необходимую фактуру, в данный момент анализируем ситуацию. На первый взгляд, она выглядит вопиющей - конечно, нахождение такого количества личных данных, в таком объеме, создает большие риски нарушения прав граждан", - отмечается в сообщении.

По нашему мнению, бороться надо не со следствием (размещением «сливов» на форумах), а с причиной (воровством данных из компаний и банков). Но до тех пор, пока в службах безопасности правят «вахтеры», предпочитающие наблюдать за утечками и расследовать уже случившиеся инциденты, а не предотвращать их с помощью превентивных блокировок, мы все будем наблюдать «сливы» наших данных. Кого в наше время останавливал РКН своими блокировками? 😂

В конце апреля наша автоматизированная система DeviceLock Data Breach Intelligence обнаружила в открытом доступе базу данных MongoDB, принадлежащую Белгородскому государственному аграрному университету имени В.Я. Горина (bsaa.edu.rubsaa.edu.ru).

В тот же день, 26-го апреля, в 13:05 (МСК) мы оповестили владельца сервера о проблеме, но из свободного доступа базу убрали только 11-го мая. По данным Shodan, эта база, не требующая аутентификации для подключения, впервые «засветилась» 31.10.2018. 🤦🏻‍♂️🤦‍♂️🙈

В базе содержалось 1.2 млн. записей общим размером более 470 Мб.

В числе свободно доступных записей были:

🌵 12346 пользователей (фамилия/имя, иностранный язык, признак студент или преподаватель, научная степень, должность, кафедра и т.п.)

🌵 6663 платежных документа (номер договора, ФИО, дата оплаты, сумма, адрес студента)

🌵 тысячи записей с расписанием занятий, отметками успеваемости студентов и многое другое.

{
   "_id" : "7bb72a93-fb52-4bcb-9813-e9035470bc21",
   "principalId" : "b267dcaa-3002-11e7-b073-000c29774d01",
   "subject" : "Договор на оказание образовательных услуг",
   "text" : "ST00012|Name=л/с 20266X43750 ФГБОУ ВО \"Белгородский ГАУ\"|PersonalAcc=40501810014032000002|BankName=Отделение Белгород  г. Белгород|BIC=Отделение Белгород  г. Белгород|CorrespAcc=|PayeeINN=31020054  |KPP=31020054  |OKTMO=|CBC=00000000000000000130|TechCode=001|Sum=2700000|Purpose=За обучение|Contract=1379|DocDate= 22-08-2017|ChildFio=ХХХ Артур ХХХ|LastName=ХХХ|FirstName=Артур|MiddleName=ХХХ|payerAddress=ХХХ",
   "qrCodeFileName" : "e4986b6c-7686-4df6-bab8-399a63431fc1.png",
   "isPaid" : false,
   "planDate" : ISODate("2017-08-19T21:00:00.000+0000"),
   "_class" : "org.university.domain.entities.Payment"
}

20266X43750 ФГБОУ ВО \"Белгородский ГАУ\"|PersonalAcc=40501810014032000002|BankName=Отделение Белгород  г. Белгород|BIC=Отделение Белгород  г. Белгород|CorrespAcc=|PayeeINN=31020054  |KPP=31020054  |OKTMO=|CBC=00000000000000000130|TechCode=001|Sum=2700000|Purpose=За обучение|Contract=1379|DocDate= 22-08-2017|ChildFio=ХХХ Артур ХХХ|LastName=ХХХ|FirstName=Артур|MiddleName=ХХХ|payerAddress=ХХХ",
   "qrCodeFileName" : "e4986b6c-7686-4df6-bab8-399a63431fc1.png",
   "isPaid" : false,
   "planDate" : ISODate("2017-08-19T21:00:00.000+0000"),
   "_class" : "org.university.domain.entities.Payment"
}

(мы заменили чувствительные данные на символы «Х»)

И еще про утечки из ВУЗов…

В Мурманской области обнаружили свалку дипломов и личных дел «Международного института бизнес-образования» (ранее «Мурманский Гуманитарный Институт»), который был лишен аккредитации в 2016 году.

Центральный аппарат прокуратуры Мурманской области дал поручение прокурору Кольского района провести проверку по факту обнаружения документов.

На прошлой неделе издание Коммерсантъ сообщило, что «базы клиентов Street Beat и Sony Centre оказались в открытом доступе», но на самом деле все гораздо хуже, чем написано в статье.

https://habr.com/ru/post/455792/

В свободном доступе появились данные по транзакциям пользователей приложения Venmo. Venmo (принадлежит PayPal) это сервис социальных платежей, который используют миллионы людей для совершения платежей и перечисления средств друзьям и родственникам.

Данные были скачены из базы MongoDB, явно оставленной Venmo без аутентификации. 🙈

Доступно 7,076,585 записей в файле формата BSON, общим размером 10,3 Гб. Все платежи относятся к периоду с июля 2018 по февраль 2019.

По каждой транзакции доступна следующая информация:

🌵 логин пользователя, его имя и фамилия
🌵 размер платежа
🌵 адрес электронной почты
🌵 номер телефона
🌵 ссылка на фотографию из профиля
🌵 дата

Следует отметить, что данная база — это не компиляция из публичных транзакций, доступных каждому по ссылке https://venmo.com/api/v5/publichttps://venmo.com/api/v5/public, в ней содержатся не публичные транзакции пользователей Venmo.

Обнаружили открытое AWS-хранилище, принадлежащее крупном индийскому интернет магазину детских товаров www.firstcry.comwww.firstcry.com. 🤦🏻‍♂️

Хранилище содержит более 300 тыс. файлов, большинство в формате PDF. В файлах находятся инвойсы (иногда в отсканированном виде), банковские выписки по счетам физлиц и другие документы.

Про то, как обнаруживают открытые облачные хранилища Amazon S3 можно почитать тут:👇
https://www.devicelock.com/ru/blog/kak-obnaruzhivayut-otkrytye-oblachnye-hranilischa-amazon.html

Вот такие "красивые" документы валяются в открытом доступе у www.firstcry.comwww.firstcry.com 😂

Поправка к новости про Venmo (https://t.me/dataleak/1099)! 👇

Все-таки это оказалась не утечка из открытой MongoDB, а собранные записи через публичный API.

Скачать можно по этой ссылке:
https://github.com/sa7mon/venmo-data

24-го апреля обнаружили очередной сервер Elasticsearch, который «валялся» в свободном доступе аж с 08.09.2018! 🙈🤦🏻‍♂️

Выяснили, что этот сервер принадлежит облачному сервису LOGINET (loginet.ruloginet.ru), предназначенному для автоматизации процессов транспортной логистики.

На сервере хранились логи сервиса начиная с апреля 2017 и по апрель 2019.

Из логов можно было получить заявки пользователей сервиса на перевозки (содержащие описание, статус, адрес электронной почты и т.п.) :

"subject": "Начало исполнения заявки",
"@timestamp": "2019-04-18T21:04:22.022Z",
"body": "По заявке №\"авто Карнеты Финспонг - Светогорск\" не начато исполнение. Просьба указать информацию по водителю, транспортному средству и приступить к исполнению заявки",
"recipients": "ХХХ@mum-net.ru",

"@timestamp": "2019-04-19T03:33:52.363Z",
"body": "<h2>Уважаемые господа,</h2>\r\n<p>Компанией ООО \"МГЛ\" объявлен новый тендер в системе Loginet, и Вы приглашены к участию.</p>\r\n<p>Тендер: <b>Тендер № 438 10т возврат из регионов 23.04</b>.</p>\r\n<p>Тип проведения: Закрытый запрос цен.</p>\r\n<p>Закупаемые услуги: Междугородняя перевозка.</p>\r\n<p>Период размещения предложений: с 19.04.2019 09:29 по 21.04.2019 15:00 (UTC+03:00) Москва, Санкт-Петербург, Волгоград.</p>\r\n<p>С более подробной информацией о проводимом тендере вы сможете ознакомиться в системе Loginet в разделе Приглашения модуля Тендерный брокер.</p>\r\n<p>Пожалуйста, не отвечайте на данное сообщение, т.к. оно создано автоматически.</p>\r\n<p>С уважением, команда Loginet</p>\r\n<p>http://www.loginet.ru</p>",
"recipients": "ХХХ@fmlogistic.com",

@timestamp": "2019-04-18T21:04:22.022Z",
"body": "По заявке №\"авто Карнеты Финспонг - Светогорск\" не начато исполнение. Просьба указать информацию по водителю, транспортному средству и приступить к исполнению заявки",
"recipients": "ХХХ@mum-net.ru",

"@timestamp": "2019-04-19T03:33:52.363Z",
"body": "<h2>Уважаемые господа,</h2>\r\n<p>Компанией ООО \"МГЛ\" объявлен новый тендер в системе Loginet, и Вы приглашены к участию.</p>\r\n<p>Тендер: <b>Тендер № 438 10т возврат из регионов 23.04</b>.</p>\r\n<p>Тип проведения: Закрытый запрос цен.</p>\r\n<p>Закупаемые услуги: Междугородняя перевозка.</p>\r\n<p>Период размещения предложений: с 19.04.2019 09:29 по 21.04.2019 15:00 (UTC+03:00) Москва, Санкт-Петербург, Волгоград.</p>\r\n<p>С более подробной информацией о проводимом тендере вы сможете ознакомиться в системе Loginet в разделе Приглашения модуля Тендерный брокер.</p>\r\n<p>Пожалуйста, не отвечайте на данное сообщение, т.к. оно создано автоматически.</p>\r\n<p>С уважением, команда Loginet</p>\r\n<p>http://www.loginet.ru</p>",
"recipients": "ХХХ@fmlogistic.com",

24.04.2019 оповестили LOGINET о проблеме и 29.04.2019 они наконец убрали этот сервер из открытого доступа. 😂

12.06 обнаружили тестовый сервер (с именем riams-test11.rkomi.ruriams-test11.rkomi.ru) со свободно доступным Elasticsearch, принадлежащий Государственному автономному учреждению Республики Коми «Центр информационных технологий» (adm.rkomi.ru/page/16189/).

Однако, спустя несколько часов сервер исчез из открытого доступа.

В индексе patients содержались тестовые записи с явно вымышленными ФИО владельцев полисов обязательного медицинского страхования (ОМС):

"name": "ИЛОЛЯ",
"surname": "ЖЮЖЭЖУЕВА",
"patronymic": "ИНЭДИВНА",

А также номера документов (паспорта, СНИЛС, удостоверения МВД, номера полисов ОМС старого и нового образцов) и даты рождения/смерти.

{
             "series": "ХХХ",
             "number": "ХХХХХХ",
             "type": "IDENTY_BENEFIT",
             "issueDate": "03.11.2015",
             "expireDate": "02.11.2019",
             "is_identity": false,
             "is_insurance": false,
             "issuer": "МВД по РК (УСП и ИЦГБ)",
             "typeName": "Удостоверение"
},

Ничего не можем сказать про подлинность номеров остальных документов, но номера полисов ОМС проходили проверку на сайте Территориального фонда обязательного медицинского страхования Республики Коми (komifoms.ru/polzovatelskie-servisy/proverka-polisa-obyazatelnogo-meditsinskogo-strakhovaniya). 😎

{
             "number": "161ХХХХХХ",
             "type": "MHI_TEMP",
             "priority": 2,
             "code": null,
             "issueDate": "28.12.2018",
             "expireDate": "02.11.2019",
             "is_identity": false,
             "is_insurance": true,
             "issuer": "ФИЛИАЛ ООО \"КАПИТАЛ МС\" В РЕСПУБЛИКЕ КОМИ",
             "typeName": "Временное свидетельство, подтверждающее оформление полиса обязательного медицинского страхования"
           }

Судя по данным Shodan, данный сервер Elasticsearch постоянно, то попадает в открытый доступ, то исчезает из него. В этот раз он «попался» 21.05.2019, а до этого 20.11.2018.  🙈

Проверка номера полиса ОМС на сайте Территориального фонда обязательного медицинского страхования Республики Коми. 😎

Всех участников конкурса ждут ценные призы и подарки от компаний Лаборатория Касперского, Учебный центр «Информзащита», Keenetic, Positive Technologies, Инфосистемы Джет, HideMy.name , а победителю конкурса будет вручен главный приз от компании Palo Alto Networks.
https://www.securitylab.ru/contest/499473.php

Бот, который по адресу эл. почты ищет утекшие пароли: @mailsearchbot. Выдает только первые 40 паролей. 👍

Суть та же, что и у сервиса www.leakcheck.net, про который мы писали в заметке про анализ утекших паролей: https://t.me/dataleak/983

Размер базы у бота неизвестен. По нашим контрольным тестам видно, что размер базы у www.leakcheck.net явно больше (выдается больше паролей на одни и те же адреса).

В пригородном лесу Бийска была обнаружена свалка документов с персональными данными жителей города - отчетные ведомости и сведения о доходах физических лиц с персональными данными сотрудников ООО «Монолит-1», зарегистрированного в Новосибирской области. Предприятие было ликвидировано в декабре 2016 года.

6-го июня обнаружили открытое облачное хранилище Amazon S3 (AWS), принадлежащее индийскому сервису микрокредитования RupeeRedee (rupeeredee.comrupeeredee.com).

В хранилище rupeeredee.s3.amazonaws.comrupeeredee.s3.amazonaws.com в свободном доступе (по прямым URL) располагались файлы со сканами документов граждан.

После нашего уведомления через Twitter файлы были убраны из открытого доступа. А вот индийскому интернет магазину firstcry.comfirstcry.com, похоже нет никакого дела до того, что персональные данные их клиентов находятся в свободном доступе (https://t.me/dataleak/1100) и на наше оповещение они не реагируют. 🤦🏻‍♂️

Про то, как обнаруживают открытые облачные хранилища Amazon S3 можно почитать тут:👇
https://www.devicelock.com/ru/blog/kak-obnaruzhivayut-otkrytye-oblachnye-hranilischa-amazon.html

Из каждого утюга сегодня полилась «новость» про бота, ищущего пароли (https://t.me/dataleak/1107) по электронной почте. 😂

На наш взгляд большего внимания заслуживает другой бот - @LeakCheckBot. Он позволяет искать пароли не только по адресам электронной почты, но и по номерам мобильных телефонов, логинам и даже по аккаунтам Minecraft.

Автоматизированная система DeviceLock Data Breach Intelligence обнаружила свободно доступный сервер Elasticsearch с индексом boxberry.

Как понятно из названия индекса, в нем находились данные службы доставки Boxberry (boxberry.ruboxberry.ru) – 43,355 записей содержащих:

🌵 город/страну
🌵 название магазина
🌵 номер заказа
🌵 номер для отслеживания заказа  («пробивался» на сайте Boxberry)
🌵 цену заказа
🌵 хешированный номер телефона и адрес электронной почты получателя
🌵 в некоторых случаях год рождения и пол получателя
🌵 адрес пункта выдачи заказа
🌵 описание заказа (например, «Серьги из позолоченного серебра с фигурным дизайном ASOS DESIGN»)

На первый взгляд никаких критичных (персональных) данных клиентов в открытый доступ не попало. Однако, нами было обнаружено, что для хеширования номеров телефонов и адресов электронной почты использовался «слабый» алгоритм MD5. Номера телефонов взламывались практически мгновенно (менее секунды) по препросчитанным таблицам, т.к. содержали только цифры в формате 7XXXXXXXXXX. Для взлома хешей электронной почты требовалось чуть больше времени. 🤦🏻‍♂️🤦‍♂️

Сервер находился в свободном доступе с 17.02.2019. Мы оповестили Boxberry о проблеме и через 4 дня данные наконец стали недоступны.

По нашим предположениям данный сервер в открытом доступе оставила маркетинговая компания Aitarget (www.aitarget.comwww.aitarget.com). SSL-сертификат именно этой компании был установлен на открытом сервере. Информация клиентов Boxberry скорее всего использовалась для таргетированной рекламы в соцсетях. 😂

Ленинский районный суд Курска рассматривает уголовное дело, главным фигурантом которого является бывший менеджер по продажам одного из банков, она обвиняется в неправомерном доступе к охраняемой законом компьютерной информации.

По версии следствия, обвиняемая осуществила от имени банка обработку персональных данных трех человек без их ведома и присутствия. Были выпущены карты, с которых потом снимались деньги. Ущерб превысил 1 миллион рублей.

Дебетовые карты российских банков, выпущенные на подставных лиц, являются одним из ходовых товаров на черном рынке. Про это мы писали в статье «Цены черного рынка на российские персональные данные».