Помните мы писали (https://t.me/dataleak/1204), что дамп базы пользователей биржи кроссовок и одежды StockX свободно доступен на специализированных форумах? 6,847,162 записей содержат в том числе и хешированный пароль.

Нам стало известно, что 1,3 млн. хешей уже расшифровано и пароли продаются за $300. 😎

Кроме того, в свободном доступе появился дамп MySQL (файл addresses.sql) с адресами доставки заказов StockX. Всего в дампе 5,824,189 строк.

После объединения обоих дампов получается единая база данных пользователей и их заказов, содержащая 9,742,434 записи (один пользователь может иметь более одного заказа, поэтому общий размер базы превышает 6,8 млн. строк). 🔥

Ребята из vpnMentor сообщают об очередном открытом сервере Elasticsearch. На этот раз им попался сервер с данными облачной системы контроля доступа в помещения «BioStar 2» (supremainc.com/en/platform/hybrid-security-platform-biostar-2.aspsupremainc.com/en/platform/hybrid-security-platform-biostar-2.asp). Данная система используется во многих банках, полиции и оборонных компаниях по всему миру. 🔥

В индексах свободно доступного Elasticsearch, общим размером 23 Гб находилось 27,8 млн. записией, содержащих:

🌵 имена пользователей

🌵 пароли доступа в открытом/текстовом виде (очень много паролей вида “Password” и “abcd1234”) 🙈

🌵 данные отпечатков пальцев

🌵 логи доступа в помещения

🌵 данные сотрудников клиентов «BioStar 2» (включая уровни доступа)


От себя добавим, что этот сервер «BioStar 2» был доступен сразу по двум IP-адресам (13.114.40.5213.114.40.52 и 54.250.184.7454.250.184.74) и располагался на площадке Amazon в Японии. 😎

Также отметим, что по адресу 13.114.40.5213.114.40.52 сервер Elasticsearch находился в открытом доступе с 21.01.2019. А по адресу 54.250.184.7454.250.184.74 впервые «засветился» - 07.09.2017. 🤦‍♂️🤦🏻‍♂️

Пароли в системе контроля доступа в помещения «BioStar 2» хранятся в текстовом виде 🤦🏻‍♂️🤦‍♂️🙈

Банкам не нравится, когда кто-то говорит правду про то, как они допускают постоянные утечки персональных и банковских данных своих клиентов. 😎

Видимо осознав, что бороться с утечками они не могут, а наши отчеты (https://www.devicelock.com/ru/blog/tseny-chernogo-rynka-na-rossijskie-personalnye-dannye.html и https://www.devicelock.com/ru/blog/tseny-chernogo-rynka-na-rossijskie-personalnye-dannye-bazy-dannyh.html) их очень раздражают, обиженные банки решили тоже поиграть в «исследователей утечек».

Откопали старый случай с нашим публичным FTP и учетной записью на GitHub, про который мы сами и написали (тут: https://t.me/dataleak/908), разместили это все в Telegram-канале.  🤦🏻‍♂️🤦‍♂️

Получилось очень смешно. 🤣

Читатели канала сообщают об открытом сервере со статистикой использования почты пользователями саратовского интернет провайдера ООО «РЕНЕТ КОМ». 🙈

Данный сервер находится по элементарному поисковому запросу в Google “Отчет по почтовому трафику”. 👍

По каждому пользователю видно детальную статистику использования почтового протокола и списки адресов электронной почты.

Открытость государственных закупок это дело хорошее и полезное, но только не когда это касается персональных данных. 👇

На портале «Единая информационная система в сфере закупок» засветились паспортные данные (ФИО, серия, номер паспорта, кем и когда выдан, место регистрации) 97 человек – сотрудников ФЕДЕРАЛЬНОГО ГОСУДАРСТВЕННОГО БЮДЖЕТНОГО УЧРЕЖДЕНИЯ «ЖУКОВСКИЙ АВИАЦИОННО-СПАСАТЕЛЬНЫЙ ЦЕНТР МЧС РОССИИ»: http://zakupki.gov.ru/epz/order/notice/ep44/view/documents.html?regNumber=0348100081518000193

В разделе "Документы закупки" можно найти линк "Скан Договора" (http://zakupki.gov.ru/44fz/filestore/public/1.0/download/priz/file.html?uid=7D13064C405A0038E0530A86121F284A), где в "Приложении 1" и находятся персональные данные. 🤦🏻‍♂️

IDOR-уязвимость на сайте украинской страховой компании «Оранта» позволяет получить доступ к электронным страховым полисам. 🔥

Полисы компании доступны по ссылкам вида:

https://oranta.ua/policy/XXX/

https://oranta.ua/policy/XXX/

где XXX это MD5-хеш от 7-значного номера полиса, в диапазоне 1000000 - 4000000.

Таким образом, простым перебором всех чисел из этого диапазона можно получить доступ к туристическим и автогражданским полисам, а также к «зеленым картам», которые в свою очередь содержат ФИО, даты рождения, номера паспортов, ИНН, адреса, номера телефонов, номера водительских удостоверений, данные транспортных средств (госномера, VIN и т.п.). 🤦🏻‍♂️🤦‍♂️

07.06.2019 страховая компания была уведомлена об этой уязвимости, но до сих пор ее не устранила. 🙈

Подробнее про это тут: https://telegra.ph/EHlektronnye-polisy-ukrainskoj-strahovoj-kompanii-v-otkrytom-dostupe-08-07

Читатель канала сообщил, что страховая компания «Оранта» закрыла IDOR-уязвимость.

На устранение уязвимости потребовалось 2.5 месяца. Скорее всего данные клиентов компании из полисов уже утекли.

Среди строительного и бытового мусора жители поселка Восток в Наро-Фоминском районе Московской области нашли документы Минфина - служебные записки с просьбой возместить расходы на организацию приемов иностранных делегаций или выплатить командировочные. 👍

Большинство документов содержали персональные данные сотрудников Минфина, на некоторых из них стояла подпись главы ведомства Антона Силуанова.

Минфин заявил, что за утилизацию документов отвечает подрядная компания и они будут «разбираться» с ней. 😂

Довольно специфическое (приверженцы теории заговора) издание «Project Veritas» опубликовало внутренние документы Google, украденные из компании инженером-разработчиком Zach Vorhies:
https://www.projectveritas.com/google-document-dump/.

Всего было украдено более 1000 внутренних документов и скриншотов.

Сервис подписки на билеты в кино «MoviePass» допустил утечку данных 58 тыс. своих клиентов. 🔥

Исследователи обнаружили открытый сервер с 161 млн. логов и как это часто бывает, в логах содержалась критичная информация:

🌵 номера карт «MoviePass», которые являются обычными дебетовыми картами MasterCard 🤦‍♂️
🌵 номера кредитных карт и даты их истечения 🤦🏻‍♂️
🌵 имена
🌵 адреса
🌵 адреса электронной почты
🌵 текстовые пароли от личных кабинетов пользователей


Мы неоднократно обнаруживали подобные утечки, когда в открытом доступе оказывались логи с чувствительными данными:

✅ утечка данных клиентов «Inventive Retail Group» (IRG управляет сетями re:Store, Samsung, Sony Centre, Nike, Street Beat и др.): https://t.me/dataleak/1089

✅ утечка из транспортно-логистической компании «FESCO»: https://t.me/dataleak/1081

✅ утечка из медицинской IT-системы сети лабораторий «Центр молекулярной диагностики» (CMD): https://t.me/dataleak/1023

✅ утечка из сервиса по продаже электронных билетов «Радарио»: https://t.me/dataleak/1012

✅ утечка из сервиса по подбору туров «Слетать.ру»: https://t.me/dataleak/1028

В свободный доступ выложили дамп базы данных приложения для видео-звонков «Dubsmash», размером 160 млн. записей. Базу впервые выставили на продажу в феврале 2019 года, приблизительная стоимость тогда была $3000. Сама утечка при этом произошла в 2018 году.

В базе доступны следующие поля:

"id", "password", "last_login", "is_superuser", "username", "email", "is_active", "is_staff", "date_joined", "language", "secret_key", "birthday", "signup_source", "country", "updated_at", "accepted_terms_version", "first_name", "last_name", "created_in_house", "last_active_at", "facebook_id", "has_public_profile", "profile_picture"

Значения в поле “password” представляют собой PBKDF2-хеши паролей пользователей приложения.

Несмотря на то, что пароли в базе вроде как хранились безопасно, на сегодняшний день свободно доступно 14 млн. расшифрованных паролей. 👍

Мы проанализировали 14,562,979 расшифрованных паролей «Dubsmash» и соответствующих им логинов (адресов электронной почты) и выяснили, что на 80% эти пары уникальны, т.е. ранее никогда не встречались в открытых утечках. Около 3 млн. пар «логин/пароль» из этой утечки уже ранее использовалось в других сервисах. 🤦🏻‍♂️

Вечером 20-го августа система DeviceLock Data Breach Intelligence обнаружила открытую базу данных MongoDB, принадлежащую IT-компании «Лама» (lama.rulama.ru), занимающуюся автоматизацией бухгалтерского и торгового учета на базе ПО «1С».

Забегая вперед скажем, что это уникальный случай в нашей долгой истории обнаружения утечек. Никогда еще мы не находили в свободном доступе работающих ключей доступа к банковским счетам компаний! 🔥🔥🔥

В базе данных находилась информация по платежам, включая частичные номера банковских карт:

   "Cards" : [
       {
           "Pan" : "546938******5392",
           "CardId" : "3021480",
           "Status" : "Active",
           "RebillId" : "327522914"
       }

Кроме того, там были данные по пользователям системы, включающие:

🌵 имена
🌵 адреса электронной почты
🌵 телефоны
🌵 хешированные пароли и соль
🌵 даты рождения
🌵 идентификаторы мобильных устройств


Вся эта информация не выглядела критичной и более того, была очень похожа на набор тестовых данных.

Однако, в настройках системы обнаружился токен доступа к счетам компании в «Модуль Банке»: 🤦🏻‍♂️🤦‍♂️🙈

      "ModulBankSettings" : {
           "BankAccountId" : "a089dab8-f646-XXXXX",
           "Url" : "https://api.modulbank.ru/v1",
           "Token" : "YzlmOTkXXXXX",
           "RsaKey" : "<RSAKeyValue><Modulus>wfGV1+XXXXX</Modulus><Exponent>AQAB</Exponent><P>zuEMmXXXXXX</P><Q>7/5FCUHcXXXXX</Q><DP>jtYhfeKXXXXX</DP><DQ>TknxNWXXXXX</DQ><InverseQ>vKiFub3g2inRQJooXXXXX</InverseQ><D>J1E4lWuyXXXXX</D></RSAKeyValue>"
       },

(реальные данные заменены нами на X)

https://api.modulbank.ru/v1",
           "Token" : "YzlmOTkXXXXX",
           "RsaKey" : "<RSAKeyValue><Modulus>wfGV1+XXXXX</Modulus><Exponent>AQAB</Exponent><P>zuEMmXXXXXX</P><Q>7/5FCUHcXXXXX</Q><DP>jtYhfeKXXXXX</DP><DQ>TknxNWXXXXX</DQ><InverseQ>vKiFub3g2inRQJooXXXXX</InverseQ><D>J1E4lWuyXXXXX</D></RSAKeyValue>"
       },

(реальные данные заменены нами на X)

Как выяснилось позже, это был реальный токен, предоставляющий доступ ко всем счетам компании. Любой, обнаруживший эту свободно доступную базу данных, мог сформировать POST-запрос к API банка, например: https://api.modulbank.ru/v1/account-info

https://api.modulbank.ru/v1/account-info

В ответ возвращался JSON-файл с данными о балансах, номерах счетов (карточный счет и расчетный счет), ИНН, КПП, ОГРН. 😎

Мы немедленно оповестили компанию «Лама», но разумеется никакого ответа от них так и не получили. 🤣

Зато через службу безопасности «Модуль Банка» удалось очень быстро решить проблему – к 10-ти утра 21-го августа база уже была закрыта, а банковский токен перестал работать. 👍

Первого августа система DeviceLock Data Breach Intelligence обнаружила свободно доступный сервер с Elasticsearch, содержащим три индекса.

В одном из индексов находился список пользователей:

🌵 логин
🌵 имя
🌵 пароль в текстовом виде
🌵 признак активный или нет

В другом индексе содержались результаты токсикологических экспертиз:

        "actual_date": "01.07.2019",
         "category": "research",
         "reg_num": "1/169",
         "assign_reason": "ОКОН УМВД России по г. Пензе",
         "assign_person": "XXX",
         "offence_num": "КУСП № 11633",
         "type": "Наркотики",
         "received_by": "XXX",
         "performed_by": "XXX",
         "result": "Марихуана 2,15г",
         "issued_date": "02.07.2019",
         "issued_num": "14/4634"

(реальные данные заменены нами на X)

Данные предположительно принадлежат Экспертно-криминалистическому центру УМВД России по Пензенской области. 🙈

К сожалению, сервер до сих пор находится в свободном доступе, несмотря на наши оповещения.

Сейчас все СМИ хором пишут про то, что немецкая Mastercard допустила утечку данных своих клиентов. Некоторые даже пишут о взломе. На самом деле, каким образом данные попали в открытый доступ пока достоверно неизвестно, по одной из версий это стало возможным в результате халатности стороннего подрядчика. 🔥🔥🔥

Достоверно известно, что эти данные были собраны в рамках бонусной программы «Mastercard Priceless Specials».

В соответствии с законом GDPR, Mastercard уже официально уведомила регуляторов Бельгии и Германии об этой утечке.

Кроме того, в Mastercard заявили, что предприняли все меры по удалению данных из интернета. 😂🤣

Сразу скажем, что утекло два немного разных файла - в первом файле не содержалось полных номеров кредитных карт, а во втором файле они были (хорошо, что там не было дат истечения и CVC-кодов). 🤦‍♂️🙈🤦🏻‍♂️

Несмотря на заявления Mastercard о том, что они удалили данные из интернета, мы достаточно легко обнаружили их в свободном доступе. 😎

В файле "Kundenliste.csv", размером 14 Мб, находится 89,427 строк, содержащих:

🌵 первые 2 и последние 4 цифры номера карты

🌵 имя/фамилию

🌵 адрес (включая индекс и город)

🌵 дату рождения

🌵 адрес электронной почты

🌵 телефон (включая мобильный)

🌵 дату активации бонусной программы (самая «свежая» запись датируется 23.06.2019)

🌵 признаки: активный, подписка на рассылку и согласие на получение СМС

🌵полные номера дополнительных карт (попадаются карты Diners Club International и другие, которые мы не смогли идентифицировать по номеру)

Утечка 89,427 записей из бонусной программы «Mastercard Priceless Specials» в Германии.

12 августа неизвестные слили почти 700 Гб данных, принадлежащих Федеральной полиции Аргентины. Утечка получила название «LaGorraLeaks» (в Аргентине «la gorra» означает «полиция»). 🔥

Среди прочего – персональные и биометрические (отпечатки пальцев) данные полицейских, конфиденциальные документы, фотографии, записи разговоров (в форматах .mp3 и .wav), дампы электронной почты (файлы .pst, .msg и .mrk) и многое другое.

Все файлы до сих пор находятся в свободном доступе в Dark Web, на .onion-ресурсе. 😎

В свободном доступе опубликовали персональные данные 703,000 человек, предположительно сотрудников ОАО «РЖД». 🔥🔥🔥🔥

Среди свободно доступных данных:

🌵 ФИО
🌵 дата рождения
🌵 адрес
🌵 номер СНИЛС
🌵 должность
🌵 фотография
🌵 телефон
🌵 адрес электронной почты (иногда на доменах NRR.RZD, DZV.ORG.RZD, ORW.RZD и т.п. внтуренних доменах РЖД)

Откуда произошла утечка - неизвестно, но на сайте есть надпись: "Спасибо ОАО РЖД за предоставленную информацию, путем бережного обращения с персональными данными своих сотрудников."

Пока никаких других подробностей нам неизвестно. Будем следить за развитием ситуации… 😎

По нашим прогнозам, данная «база РЖД» появится в открытом доступе в виде Excel-файла и/или в формате Кронос в течение одного-двух дней. 😎

Т.е. даже если Роскомнадзор прикроет доступ к сайту, на котором размещены страницы с персональными данными, то это никаким образом не повлияет на доступность уже утекших данных. 🤣

В конце марта этого года, мы сообщали об обнаруженной открытой базе данных MongoDB, принадлежащей компании «Utair Digital» - ИТ-подразделению авиакомпании «Utair»: https://t.me/dataleak/869

Тогда мы предположили, что это тестовая база и допустили, что она может быть наполнена данными реальных клиентов авиакомпании. В последствии это предположение несколько раз косвенно подтверждалось.

Эта база данных находилась в свободном доступе с 21-го января по 20-е марта 2019 года (ее закрыли только после нашего оповещения). 🤦‍♂️

И вот несколько дней назад, на одной из площадок, где торгуют персональными данными, появилось предложение о продаже базы клиентов авиакомпаний за 2019 год. 🙈

Мы запросили кусок базы на проверку и получили от продавца небольшой JSON-файл, являющийся дампом MongoDB. По формату и содержимому предоставленные данные на 100% совпали с тем, что мы обнаружили в марте. 🤣

В данный момент в продаже на черном рынке находится 530 тыс. записей из базы «Utair Digital». В частности, это данные из таблицы «users» (на момент обнаружения в марте там было 530,098 записей), содержащие:

🌵 ФИО на русском и латиницей
🌵 серия номер документа (паспорт, загранпаспорт и т.п.)
🌵 дата рождения
🌵 пол
🌵 телефон
🌵 адрес электронной почты
🌵 номер в бонусной программе лояльности
🌵 количество накопленных миль и уровень в бонусной программе лояльности


Неизвестный продавец просит за эту базу 30 тыс. рублей, если покупать все целиком или от 1 до 2 рублей за одну запись при продаже «в мелкую розницу».

Плохо, что многие компании до сих пор медленно реагируют (а некоторые не реагируют совсем) на наши оповещения об обнаруженных открытых базах данных. Это часто приводит вот к таким последствиям, когда базу обнаруживают и скачивают злоумышленники, а потом выставляют ее на продажу. 🤦🏻‍♂️

Конечно всегда можно заявить, что это все неправда и данные не настоящие (любимое оправдание «это тестовые данные»), только стоит помнить – продавцы всегда предоставляют образцы перед продажей и те, кто покупает подобного рода базы всегда проверяют (как минимум прозванивают людей по списку) то, что им пытаются продать. 😎