Латвийский каршеринг CARGURU наконец закрыл («тихо») свободно доступную базу данных с телеметрией своих автомобилей (https://t.me/dataleak/1130). После нашего оповещения прошло около 3 дней. 🤦🏻‍♂️

А впервые публично про эту проблему в твиттере сообщил исследователь stoXe, еще 2-го марта (https://twitter.com/DevinStokes/status/1101642374931918849). 🙈

В свободном доступе были обнаружены персональные данные клиентов компании Алем-Тур (alem-tour.rualem-tour.ru), являющейся туроператором по Карелии.

Не требующий аутентификации сервер Elasticsearch содержал индекс alemtour с 57 тыс. записей. Среди находящихся в свободном доступе данных туристов были:

🌵 адреса электронной почты (более 13,8 тыс. записей)
🌵 мобильные, рабочие, домашние телефоны
🌵 ФИО
🌵 даты рождения
🌵 для некоторых туристов - серия, номер паспорта, кем и когда выдан, адрес регистрации
🌵 стоимость тура
🌵 даты тура
🌵 названия турагентств, продавших туры
🌵 многое другое

Сервер Elasticsearch находился в открытом доступе с 21.11.2018 и был закрыт только после нашего уведомления. 🤦🏻‍♂️

Прошлая новость про выброшенные на свалку документы с персональными данными (https://t.me/dataleak/1113) неожиданно вызвала нездоровый интерес у отдельных подписчиков с шизотипическим расстройством психики. 😂

Специально для пациента, названивавшего в офис мы подготовили еще одну новость на эту тему. 🚑🏥

На несанкционированной свалке в Курске были обнаружены выброшенные документы с персональными данными жителей города - копии паспортов, оригиналы медицинских полисов страховой компании «Росмедстрах-К». Страховая компания прошла процедуру банкротства осенью прошлого года, ее клиенты были переведены в другие компании.

Иногда они возвращаются снова… 😂

27-го мая написали (https://t.me/dataleak/1056), что платный поисковый сервис мониторинга цен на топливо Maxwell Expert убрал, после нашего оповещения, из свободного доступа свой Elasticsearch с логинами и паролями пользователей.

Однако хватило их ровно на месяц - 27.06.2019 сервер вновь появился в свободном доступе с уже подросшей базой. 🤦🏻‍♂️

Точно такая же «история возвращения» произошла в свое время и с сервером Elasticsearch сайтов госоплаты (https://t.me/dataleak/1062). 🤦‍♂️

В Костроме предстанет перед судом 39-летний участковый уполномоченный полиции, который с августа по октябрь 2018 года за деньги передавал персональные данные умерших и информацию о местонахождении тел частному похоронному бюро.

Бывший полицейский успел получить от взяткодателей наличными как минимум 12 тыс. рублей. Ему предъявили обвинение по части 3 статьи 290 УК РФ "Получение должностным лицом лично взятки в виде иного имущества за совершение действий в пользу взяткодателя, если указанные действия входят в служебные полномочия должностного лица либо если оно в силу должностного положения может способствовать указанным действиям, за незаконные действия".

Обвиняемому грозит до восьми лет заключения и крупный штраф. Дело передано для рассмотрения по существу в Свердловский районный суд Костромы.


Обзор случаев задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными в России: 👇

https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html

Наша система DeviceLock Data Breach Intelligence (подробнее тут: https://www.devicelock.com/ru/data-breach-intelligence/) обнаружила свободно доступный сервер с базой данных CPA-сети REKL.PROREKL.PRO (www.rekl.prowww.rekl.pro).

В индексах Elasticsearch находилось:

🌵 106 записей внутренних пользователей (сотрудников рекламной сети) системы, содержащих: имя и фамилию пользователя, адрес электронной почты, логин, хешированный пароль, номер мобильного телефона, номер офисного телефона, отдел (например, «Операторы АРМ», «Отдел фрода»), время последнего входа в систему и т.п.

🌵 6053 клиентских заказов, содержащих: ФИО, телефон, цену, страну, описание, дату и т.п.

🌵 1998 рекламных объявлений (проектов), содержащих: название, URL, телефон и т.п.

🌵 и многое другое.

После нашего оповещения через Telegram, сервер исчез из свободного доступа.

Пример данных из свободно доступной базы CPA-сети REKL.PROREKL.PRO

Рубрика «потешные утечки». 😂

Служба безопасности Украины (СБУ) сообщает, что потеряна флешка с секретной информацией по инженерно-техническому обустройству границы с Россией (проект "Стена"). 🤣

Директор компании подрядчика строительных работ потерял вверенные ему материальные носители секретной информации с грифом "секретно". 🐏

Прошлая «потешная утечка», про которую мы писали, разумеется тоже произошла на Украине - СБУ, выявила тогда утечку «военных баз данных» в Россию:  https://t.me/dataleak/669

А в марте в открытый доступ попали документы самой СБУ: https://t.me/dataleak/875 🙈

19-го мая обнаружили свободно доступный сервер Elasticsearch с индексами: event_deal и deal. По данным Shodan «появился» он 17.05.2019.

В индексах находились данные из CRM-системы, содержащие информацию о заказах на установку пластиковых окон (и т.п. работ) с сайтов rehau-moskva.ru, okno-moskva.ru, rehau-portal.ru, okno.ru, pvh24.rurehau-moskva.ru, okno-moskva.ru, rehau-portal.ru, okno.ru, pvh24.ru. 🤦‍♂️

Всего более 46 тыс. записей, содержащих:

🌵 ФИО (часто просто имя или имя/фамилия) заказчика
🌵 телефон (часто не один)
🌵 адрес (включая GPS-координаты, номер подъезда, этаж, код домофона и т.п.)
🌵 адрес электронной почты (не всегда)
🌵 дату заказа и дату выезда замерщика
🌵 стоимость заказа и предоплату
🌵 описание заказа (например, «2ок, б/бл без отк+ ал. лоджия») и объем работ в кв. м.
🌵 зарплату установщиков
🌵 с какого из сайтов пришел заказ
🌵 и многое другое

Самые свежие записи датировались концом апреля 2019 г. 👍

На наше оповещение разумеется никто не ответил. 30.05.2019 данный сервер Elasticsearch пропал из свободного доступа. Однако это не конец истории. 😎

23.06.2019 случилось возвращение, но уже с другими индексами и данными в них. Про это мы напишем отдельно. 🔥

Пример данных заказов пластиковых окон из свободно доступного сервера 😎

На закрытых площадках в Dark Net были обнаружены файлы с данными ОМС и ДМС жителей Вологодской области. 🙈

Файл «омс череповец.xlsx» размером 199 Мб содержит 1,048,576 записей с ФИО, датами рождениями, адресами, номерами полисов ОМС и т.п. 🔥🔥

Второй файл «дмс череповец (БУЗ ВО Медсанчасть Северсталь).xlsx» размером 3.4 Мб содержит 32,095 записей с ФИО, датами рождения, адресами (только 91 запись из всех), полом, сериями и номерами полисов ДМС, датами действия полисов, названиями организаций (только 214 записей из всех).

Утечка датируется предположительно июлем 2016 года. 😎

По информации прокуратуры Астраханской области, руководитель «Бюро судебно-медицинской экспертизы», отвечающий, в том числе, за конфиденциальность персональных данных граждан, 27 декабря 2018 года получил от индивидуального предпринимателя, который занимался оказанием ритуальных услуг, 27 тыс. рублей за предоставление ему информации об умерших.

Обзор случаев задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными в России: 👇

https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html

В открытом доступе на файлобменниках обнаружены файлы с дампами предположительно региональных порталов медицинских услуг rb.k-vrachu.rurb.k-vrachu.ru (Республика Башкортостан), so.k-vrachu.ruso.k-vrachu.ru (Свердловская область), doctor30.rudoctor30.ru (Астраханская область) и reg.zdrav10.rureg.zdrav10.ru (Республика Карелия).

Все дампы скорее всего сделаны в конце января 2016 года, кроме Usr_UserReg_rb.k-vrachu.ru.csv – в нем данные с 16.03.2009 по 06.02.2015.

В файлах содержится:

🌵 ФИО

🌵 адрес электронной почты

🌵 день рождения

🌵 логин пользователя (иногда в качестве логинов попадаются номера телефонов и адреса электронной почты)

🌵 пароль пользователя (иногда текстовый, чаще хешированный)

🌵 количество входов пользователя на портал

🌵 дата/время последнего входа пользователя на портал (самая свежая запись – 23.01.2016 03:47)

🌵 и т.п.

Всего 968,068 записей. 👍

«Коммерсантъ» пишет:

Генпрокуратура проводит проверку по факту утечки данных россиян, в том числе банковских клиентов, заявил официальный представитель ведомства Александр Куренной на канале Генпрокуратуры «Эфир». Как сообщал “Ъ”, в открытом доступе оказались сведения 900 тыс. клиентов ОТП-банка, Альфа-банка и ХКФ-банка. Господин Куренной уточнил, что по итогам проверки «будет решен вопрос о принятии мер реагирования».

История началась с этого поста: https://t.me/dataleak/1092, а журналисты «Коммерсантъ» к этой информации добавили еще старые данные клиентов ОТП-банка и ХКФ-банка, которые они самостоятельно обнаружили на одном из форумов. 😎

Самое «смешное» тут то, что и Роскомнадзор и Генпрокуратура обратили внимание только на старые (но большие) базы, давно (более 3 лет) находящиеся в свободном доступе на различных форумах и за всей этой шумихой не заметили действительно интересную (но маленькую) базу,  «депозитчиков» предположительно Альфа-банка, которая содержит данные за 2018 и начало 2019 гг. 😂

Мы провели небольшое расследование и выяснили, что эта «маленькая» база (чуть более 500 записей) «депозитчиков» является частью большой базы, которой (пока) нет в свободном доступе – ее продают по частям. 🔥

Продавцы уверяют, что в большой базе 150 тыс. записей и в качестве подтверждения предоставили небольшой тестовый кусок данных, полностью по формату совпадающий с обнаруженной нами ранее базой «депозитчиков», при этом тестовые данные отсутствуют в этой свободно доступной базе. Также, тестовый кусок данных содержит названия столбцов, отсутствующие в свободно доступной базе «депозитчиков». 🔥🔥🔥

Альфа-банк к данной информации особого интереса не проявил, хотя мы уведомляли их о наличии в продаже большого массива данных предположительно клиентов банка. 🤷‍♂️

Образец данных, которые в данный момент продаются на черном рынке под названием «база депозитчиков Альфа-банка». Достоверность самих данных и их реальную принадлежность к Альфа-банку мы не проверяли. Общий размер базы, по уверениям продавцов – 150 тыс. записей. 🔥

Вчера журналисты РБК из ничего создали очередную «сенсацию» про утечку паролей из онлайн магазина «Озон». 🤦‍♂️🤦🏻‍♂️

Журналистам «повезло» найти на одной из многочисленных помоек в интернете некий файл, который они описали так: “База, в которой содержатся адреса электронной почты и пароли почти от полумиллиона аккаунтов пользователей интернет-магазина Ozon”. 🏆🎖

На самом деле они нашли текстовый файл – дамп логинов и паролей (в формате login:password), скорее всего с именем «[450k] Ozon.ru.txt» , размером 13 Мб, содержащий 458351 запись (458352 с учетом битой строки).

Этот дамп был выложен в открытый доступ на одном из форумов (который одним из первых попадается в поиске Яндекс, где его вероятно и нашли журналисты РБК) - 21.11.2018. В реальности, данные из этого дампа «засветились» еще раньше в многочисленных подборках (combo) пар логин/пароль. В том числе пароли из этого дампа попали в наш анализ 4 млрд утекших паролей. 😎

Никакого интереса эти данные не представляют. Типично для подобного рода дампов – пароли простые, т.к. скорее всего восстановлены из хешей (обычно MD5 без соли). При таком способе сложные пароли просто не попадают в дамп. 😴

Удивительно (на самом деле нет), что журналистов РБК не заинтересовала база данных клиентов «Озон» (файл «База клиентов интернет-магазина ОЗОН.РУ.xlsx», размером 189 Мб), датированная июлем 2017 года, в которой содержатся данные покупателей «Озон» за 2006-2017 гг в количестве 1,002,401 строк, в том числе ФИО, адрес, телефон. 😂

18 июля 2019 г. состоится вебинар, который компания DeviceLock – российский производитель средств борьбы с утечками данных, проводит совместно с Ассоциацией российских банков (АРБ). 🔥

Откроет вебинар вице-президент АРБ Олег Скворцов, а директор по решениям компании Смарт Лайн Инк (DeviceLock) Сергей Вахонин раскроет ключевые вопросы вебинара, в том числе:

✅ Главный принцип полноценной DLP-защиты – предотвращать утечки данных и связанные с ними вероятные потери, не ограничиваясь регистрацией инцидентов с утечками.

✅Все ли DLP-системы защищают от утечки конфиденциальных данных?

✅ Какой подход к защите от утечек данных применяется за рубежом и в чем его отличие от «нашего российского»?

✅ Разведка уязвимостей хранимых данных как инструмент защиты от утечки конфиденциальной информации с незащищенных серверов.


К участию в семинаре приглашаются руководители банков, руководители и специалисты служб информационной безопасности, руководители и специалисты ИТ-департаментов финансово-кредитных организаций. 👇

https://www.devicelock.com/ru/news/sovmestnyj-vebinar-devicelock-i-arb-po-voprosam-protivodejstviya-utechkam-personalnyh-dannyh-18-iyulya-2019.html

Вечером 06 июля (суббота) DeviceLock Data Breach Intelligence обнаружила свободно доступный сервер Elasticsearch, которого раньше никогда не было в индексе Shodan (дата появления в индексе 06.07.2019) и BinaryEdge (на момент обнаружения «не видел» этот сервер, но увидел его через несколько часов).

Видимо кто-то решил поработать в выходные, но что-то пошло не так. 😂 🤦🏻‍♂️

На этом сервере находилось 5 индексов, с весьма говорящим названием: 👇

komus2019-07-04
komus2019-07-05
komus2019-07-06
komus2019-07-02
komus2019-07-03

Внутри индексов содержалась информация, вероятно относящаяся к интернет-магазину компании «Комус» (komus.rukomus.ru):

🌵 адреса электронной почты покупателей
🌵 заказы покупателей


Каждый индекс в среднем содержит 13 тыс. записей (за рабочий день): 👇

"timestamp": "2019-07-12 01:00:20",
"cartcontent": "[{\"item\":\"472622\",\"price\":165,\"quantity\":1,\"image\":\"http://komus.ru/medias/sys_master/root/hd0/h21/9594087604254.jpg\",\"link\":\"http://komus.ru/katalog/pismennye-prinadlezhnosti/karandashi-chernografitnye/nabor-chernografitnykh-karandashej-kores-hb-zatochennye-s-lastikom-4-shtuki-v-upakovke-/p/472622/\",\"product\":\"Набор чернографитных карандашей Kores HB заточенные с ластиком (4 штуки в упаковке)\",\"availability\":\"На складе\"},
"email": ***@yandex.ru

(реальный адрес электронной почты скрыт нами)

http://komus.ru/medias/sys_master/root/hd0/h21/9594087604254.jpg\",\"link\":\"http://komus.ru/katalog/pismennye-prinadlezhnosti/karandashi-chernografitnye/nabor-chernografitnykh-karandashej-kores-hb-zatochennye-s-lastikom-4-shtuki-v-upakovke-/p/472622/\",\"product\":\"Набор чернографитных карандашей Kores HB заточенные с ластиком (4 штуки в упаковке)\",\"availability\":\"На складе\"},
"email": ***@yandex.ru

(реальный адрес электронной почты скрыт нами)

На текущий момент в свободном доступе находится 100,919 таких записей в 11 индексах. 🔥

На наши оповещения по электронной почте, через Facebook-мессенджер и через Facebook компания «Комус» никак не реагирует. Сервер по-прежнему свободно доступен. 😱🤦‍♂️

Наконец получили ответ от «Комус»:

Благодарим Вас за данную информацию! Передали коллегам.

Сервер по-прежнему свободно доступен. 🤣🤦‍♂️

Радиостанция «Говорит Москва» сообщает, что клиент BelkaCar стал жертвой утечки персональных данных:

Житель подмосковного Жуковского написал заявление о мошенничестве из-за того, что на его имя без его согласия был оформлен кредит в микрофинансовой организации. При выяснении обстоятельств оказалось, что в договоре и материалах по кредиту были использованы фото с персональными данными, которые мужчина передавал в каршеринговый сервис при регистрации. В распоряжении мошенников среди прочего оказалось его фото с паспортом.

Сегодня на черном рынке можно без каких-либо проблем купить сканы паспортов и других документов (водительских удостоверений, СНИЛС и т.п.). В среднем цена на один комплект от 200 до 300 рублей. Например, фотография с паспортом в руках в комплекте со сканом этого паспорта стоит 250 руб. 😱


В ноябре 2018 года мы выпустили очередной обзор цен черного рынка на российские персональные данные: www.devicelock.com/ru/blog/tseny-chernogo-rynka.html