11 декабря в свободном доступе был обнаружен Elasticsearch-сервер с данными владельцев автомобилей концерна «Хонда». 🔥

Сервер является частью инфраструктуры компании «Honda North America» и содержит 976 млн. записей, при этом около 1 млн. записей содержат персональные данные владельцев автомобилей и информацию по самим автомобилям:

🌵 полное имя
🌵 адрес электронной почты
🌵 номер телефона
🌵 почтовый адрес
🌵 марка автомобиля и модель
🌵 VIN-номер автомобиля
🌵 номер договора
🌵 сервисная информация по автомобилю

Компания «Honda North America» официально признала утечку 26 тыс. клиентов (что в принципе похоже на правду, т.к. далеко не все строки из 1 млн. были уникальными). 👍

Сервер находился в открытом доступе с 21-го октября. 🤦‍♂️

Пишут про очередной открытый сервер Elasticsearch, в котором хранились данные Facebook-пользователей.

Исследователь Bob Diachenko (Владимир Дьяченко), который ранее обнаружил утечку клиентов МФК «ГринМани», нашел в свободном доступе 267,140,436 записей, содержащие:

🌵 идентификатор Facebook
🌵 номер телефона
🌵 полное имя

Данные актуальны на 2018 год. Весной 2018 года социальная сеть запретила доступ к номерам телефонов своих пользователей через API.

4-го декабря данный сервер появился в индексе Shodan. А уже 12-го декабря данные были выложены на известный англоязычный форум, где обмениваются базами данных. 😎 Правда в выложенном дампе отсутствуют последние 4 цифры в номерах телефонов и нет имен пользователей.


В ноябре исследователи из той же команды обнаружили открытый сервер с 1,2 млрд записей пользователей Facebook, Twitter, Github и LinkedIn.

В свободный доступ на теневом форуме выложили дамп базы платных подписчиков электронного издания для бухгалтеров – «Главная книга» (glavkniga.ruglavkniga.ru). 👇

Дамп датируется 06.12.2019. В нем 23,205 строк, содержащих:

🌵 имя (иногда полное)
🌵 адрес электронной почты
🌵 телефон

В свободный доступ в нескольких Telegram-каналах выложили дамп базы клиентов сервиса хостинга игровых серверов OneServers.suOneServers.su. 😴

Дамп впервые появился в открытом доступе в августе 2019 года, а данные в нем актуальны на январь этого года. Всего в оригинальном дампе – 41,089 строк, а в сконвертированной в Excel копии – 41,077 строк. 😎

Выложенная сейчас сконвертированная копия дампа не является полной, в ней отсутствуют хешированные пароли (33 тыс. из них были дешифрованы еще в ноябре и на 37,36% являются никальными), IP-адреса пользователей и многое другое. 🤣

Оригинальный дамп содержит следующие данные: `id`, `name`, `password`, `mail`, `wmid`, `money`, `group`, `show_online`, `ip`, `real_name`, `family_name`, `phone`, `repaircode`, `issendedsms`, `theme`, `ban_reason`, `last_ip`, `sign`, `newmessagessound`, `date`

Центральный районный суд Волгограда продлил на два месяца (до 24 февраля) домашний арест подозреваемому в хищении персональных данных клиентов Сбербанка Антону Бутурлакину (известному под никами Антон2131 на форумах и Baron2131 и Gogosber в телеграме): https://t.me/dataleak/1335

24 октября полиция задержала сотрудника компании "Национальная служба взыскания" (НСВ) Бутурлакина. За продажу данных клиентов Сбербанка он получил 40 тыс. рублей: https://t.me/dataleak/1329.

25 октября районный суд избрал ему меру пресечения в виде содержания под стражей, однако 5 ноября областной суд изменил ее на домашний арест.

Во Владимирской области ФСБ задержала сотрудника ПАО «Вымпелком-Коммуникации» (торговая марка «Билайн»), занимавшегося “мобильным пробивом”  (подробнее про это явление тут) - копировавшего и продававшего данные абонентов связи. 👍

Сотрудник офиса продаж владимирского отделения компании копировал файлы на свой мобильный телефон и отправлял их знакомому. 🤦‍♂️🙈

Всего он продал конфиденциальные данные из базы три раза: в марте, мае и сентябре.

Обвиняемому предъявлены несколько эпизодов противоправной деятельности по ч.3 ст.272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации) и ч.2 ст.138 УК РФ (нарушение тайны телефонных переговоров и переписки с использованием служебного положения).

В декабре уголовное дело направлено в прокуратуру Владимирской области для утверждения обвинительного заключения и направления в суд.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: 👇

https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html

Статья с Хабра про уязвимости в мобильном приложении «IngoMobile» страховой компании Ингосстрах, которые приводят к утечкам персональных данных (сканы паспортов, ПТС, водительские удостоверения, договора купли продажи и т.д.). 🔥

https://www.pvsm.ru/informatsionnaya-bezopasnost/341168

Басманный суд Москвы признал виновными трех человек по делу о взломе электронных систем продажи билетов компаний РЖД и S7.

Хакеров обвиняли по ч. 1, 2 ст. 210 УК РФ (создание преступного сообщества, участие в преступном сообществе) и ч. 2, ч. 4 ст. 159.6 УК РФ (мошенничество в сфере компьютерной информации, совершенное организованной группой).

Суд признал Максима Матюшева, Андрея Жданова и Кирилла Кулабухова виновными в организации преступного сообщества, участии в преступном сообществе и мошенничестве в сфере компьютерной информации. Матюшев приговорен к 13 годам лишения свободы с отбыванием в колонии строгого режима, Жданов - к 12,5 года колонии строгого режима, Кулабухов - к 10 годам колонии общего режима.

Суд и следствие установили, что молодые люди рассылали в организации, осуществляющие продажу железнодорожных билетов, электронные письма с вредоносной программой. С помощью нее обвиняемые получали доступ к логину и паролю личных кабинетов кассиров организаций. Через интерфейс кассира соучастники вводили информацию о подставных пассажирах в электронную квитанцию и проводили платеж за счет организации, после чего обналичивали деньги через сдачу билетов в кассы.

За время существования сообщества с 2013-го по 2014 год его участники незаконно оформили свыше 5 тыс. электронных маршрутных квитанций на общую сумму более 17 млн рублей.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html

Новогодний подарок спамерам. 😂🔥

В свободный доступ выложили базу компании «Verifications.ioVerifications.io», занимавшуюся (компания закрыта, домен выставлен на продажу 🤣) валидацией адресов электронной почты для маркетинговых рассылок. Про обнаружение этой базы мы писали тут: https://t.me/dataleak/813

В обнаруженной в марте (оригинальной) базе MongoDB размером 150 Гб было 809 млн. (763 млн. уникальных) адресов электронной почты. В выложенных сейчас 67-ми файлах формата JSON, общим размером 17,7 Гб – 201 млн. адресов электронной почты.

Мы провели “беглый” анализ того, что содержится в этих файлах. Из 201 млн. адресов, 182 млн. имеют отметку “нежелательные”, включая: 👇

🌵 93 млн. несуществующих адресов
🌵 62 млн. адресов, чьи владельцы жаловались на рассылки
🌵 20 млн. адресов, чьи владельцы отписывались от рассылок
🌵 7 млн. адресов “ловушек” для антиспам-систем


Фактически только чуть более 10 млн. адресов из файлов businessLeads.bson.json (6,217,359 адресов) и emailWithPhone.bson.json (4,150,601 адресов) являются пригодными для рассылок. Помимо адресов электронной почты в них содержится также: 👇

🌵 коды «Standard Industrial Classification (SIC)» и «North American Industry Classification System (NAICS)»
🌵 название компании
🌵 имя/фамилия
🌵 пол
🌵 должность
🌵 полный адрес
🌵 номер телефона/факса
🌵 вебсайт компании
🌵 примерный оборот компании
🌵 количество сотрудников
🌵 описание компании и сфера деятельности
🌵 IP-адрес, с которого осуществлялась подписка на рассылку и URL страницы с формой подписки
🌵 дата подписки на рассылку

На Украине арестовали продавца баз данных Государственной таможенной службы.

По версии следствия, 35-летний мужчина был участником тематических харьковских форумов. 🤣

Клиенты киберпреступника делали заказ на выгрузку актуальной информации о пересечении таможенной границы Украины как физическими лицами, так и грузами. Стоимость одной такой выгрузки составляла $3 тыс.

Для анонимизации заказчики платили злоумышленнику в криптовалюте и общались через защищенные мессенджеры.

Во время обыска правоохранители изъяли флеш-накопитель и компьютерную технику.

В отношении подозреваемого начато уголовное производство по ст. 361−2 УК Украины (несанкционированные сбыт или распространение информации с ограниченным доступом, которая хранится в компьютерах, автоматизированных системах, компьютерных сетях или на носителях такой информации), ему грозит до двух лет тюрьмы.

В публичном доступе неизвестные выложили персональные данные пользователей Госуслуг одного из российских регионов. Утечка произошла из-за ошибочной настройки программного обеспечения одного из серверов портала, в результате чего данные оказались доступными для свободного скачивания. 🔥🔥🔥

О том, что персональные данные пользователей портала Госуслуг оказались выложены в свободном доступе, сообщил основатель DeviceLock Ашот Оганесян. Данные можно скачать на одном из форумов, специализирующихся на утекших базах данных (“Ъ” не приводит его название из соображения безопасности пострадавших граждан). Автор поста выложил файл с данными более 28 тысяч пользователей.

В ходе анализа тестового экземпляра, было установлено, что он получен из открытого индекса Elasticsearch-сервера, оставленного в свободном доступе из-за ошибки конфигурировании.

Этот сервер, расположенный на площадке Ростелеком, был проиндексирован поисковиком Shodan 3-го декабря 2019 года, что указывает на то, что данные могли находиться в открытом доступе как минимум с этой даты. 🤦🏻‍♂️🤦‍♂️

https://www.kommersant.ru/doc/4213775

Вчера издание «Коммерсантъ» сообщило (https://t.me/dataleak/1427) о том, что на одном из теневых форумов было выложено около 28 тыс. строк с персональными данными пользователей предположительно регионального мобильного приложения «Госуслуги Югры». 🔥🔥🔥

В процессе анализа тестовых образцов, выложенных злоумышленником в свободный доступ, нами был установлен открытый Elasticsearch-сервер, не требующий аутентификации при подключении, из которого и произошла утечка. 😎

По данным поисковика Shodan, индексы этого Elasticsearch впервые попали в открытый доступ 3-го декабря 2019 года. А сам сервер впервые был “замечен” поисковиком - 22.08.2019. 🤦‍♂️

Что интересно, поисковик BinaryEdge, который мы также активно используем для своих исследований, не “увидел” Elasticsearch на этом сервере. 🤷‍♂️

Утечку (https://t.me/dataleak/1427) частично признали. Это уже неплохо, но к сожалению в логах находились персональные данные, которые злоумышленники и выложили на форум.

ХАНТЫ-МАНСИЙСК, 30 декабря. /ТАСС/. Утечка, которая случилась в Ханты-Мансийском автономном округе 28 декабря, произошла на прокси-сервере приложения "Госуслуги Югры" и касалась не персональных, а технических данных. Об этом в понедельник сообщили в департаменте информационных технологий и цифрового развития Югры.

«Действительно, 28 декабря выявлена утечка данных. По итогам предварительного расследования, проведенного центром информационной безопасности ЮНИИТ, это была утечка технических данных, так называемых „логов“ прокси-сервера. В данных, к которым был получен доступ, содержится информация технического характера, необходимая для отладки взаимодействия информационных систем», — сообщили ТАСС в ведомстве.

https://tass.ru/obschestvo/7448571

В Екатеринбурге суд приговорил бывшего сотрудника сотовой компании к трём годам лишения свободы за продажу личных данных абонентов. 👍

В период 2018-2019 годов осуждённый неоднократно, находясь на рабочем месте, копировал охраняемую законом информацию о соединениях абонентов оператора сотовой связи на свой телефон. Незаконно скопированные сведения он продавал примерно за 300 рублей за информацию об одном абоненте (занимался “мобильным пробивом”,  подробнее про это явление тут).

Бывший сотрудник признан виновным в совершении преступлений, предусмотренных ч. 2 ст. 138 УК РФ (нарушение тайны телефонных переговоров и иных сообщений граждан, совершённое лицом с использованием своего служебного положения), а также по ч. 3 ст. 272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло копирование компьютерной информации, совершенного из корыстной заинтересованности, совершённое лицом с использованием своего служебного положения).


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html

🌵🌵 С наступающим Новым годом! 🌵🌵

В уходящем 2019 году было много утечек.

В наступающем 2020 году их будет не меньше… и мы напишем о самых громких из них. 😂🤣😎

Ну что же, начинаем потихоньку втягиваться в работу. Утечки сами про себя не напишут… 👇

Начнем 2020-й мы, пожалуй, с обзора расшифрованных паролей из утечки разработчика онлайновых игр «Zynga» (подробнее тут: https://t.me/dataleak/1415).

Мы добавили в нашу коллекцию 26 млн. пар логин/пароль из этой утечки, из них – 69% оказались уникальными и ране никогда не встречались. 👍


P.S. За все время мы проанализировали 29,5 млрд. утекших паролей, 4,8 млрд. – уникальные. 😱 Скоро сделаем анализ утекших паролей за 2019 год. 🔥🔥🔥

В последний день 2019 года, в публичный доступ на теневом форуме был выложен дамп базы пользователей портала недвижимости «Квадрум» (kvadroom.rukvadroom.ru).

В дампе 233,930 строк, содержащих: 👇

🌵 ФИО
🌵 адрес электронной почты
🌵 телефон
🌵 название компании
🌵 дата регистрации (самая ранняя 05.03.2009, самая последняя – 21.12.2019)
🌵 баланс счета в рублях
🌵 пароль в текстовом виде (большинство паролей сгенерированы автоматически из цифр, только 8,8 тыс. паролей были изменены пользователями и на 60% они уникальные, т.е. никогда раньше не встречались в утечках) 🤦🏻‍♂️

Судя по описанию на форуме и опираясь на даты регистрации пользователей можно утверждать, что этот дамп сделан 21-го декабря 2019 года. 😎

Добавили в коллекцию расшифрованные пароли из дампа базы пользователей “хакерского” форума OGUsers.comOGUsers.com.

Весной 2019 года в свободном доступе появился полный дамп форума (вместе с исходниками), датированный 26.12.2018. Всего в дампе 112,918 записей пользователей, содержащих: логины, адреса эл. почты, хешированные (MD5) пароли с солью, даты регистрации и последней активности, многое другое.

На текущий момент расшифровано 87,5 тыс. паролей и на 90% они уникальные, т.е. никогда раньше не встречались в утечках. 👍

29 октября 2019 года наша система DeviceLock Data Breach Intelligence обнаружила свободно доступный сервер Elasticsearch, с индексами:

nginx-2019.XX.XX
logstash-2019.XX.XX
cargo-1c-stage
cargo-1c
cargo-scheduler-stage
cargo2

Данный открытый сервер предположительно принадлежит компании «МОСКВА КАРГО» (moscow-cargo.commoscow-cargo.com) – крупному оператору по наземному обслуживанию грузовых и почтовых авиаперевозок.

Мы оповестили компанию два раза 29.10.2019 и 30.10.2019, но никакого ответа так и не получили. 🤦‍♂️ Однако, через несколько дней сервер все-таки исчез из свободного доступа. 🤣

В индексах Elasticsearch содержались т.н. “технические данные” (тут передаем привет PR-службе мобильного приложения «Госуслуги Югры», рассказывающей сказки про то, что допустить утечку логов это вовсе не так страшно 😂). В данном случае в логах находились токены доступа к счетам-фактурам и счетам (в формате PDF), содержащим такие данные, как: 👇

🌵 наименование товара
🌵 описание выполненных работ и оказанных услуг
🌵 грузоотправитель/грузополучатель и его адрес
🌵 стоимость, вес, страна происхождения груза

"message": "10.0.9.1 - - [29/Oct/2019:09:22:11 +0300] \"GET /Api/Invoices/Print?Id=36&Method=Bill&Token=XXX-0b35-45f0-aed7-XXX HTTP/1.1\" 200 176416 \"http://XXX.XXX.117.172/\" \"Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.70 Safari/537.36\" \"-\"",

(реальные данные скрыты нами)10.0.9.1 - - [29/Oct/2019:09:22:11 +0300] \"GET /Api/Invoices/Print?Id=36&Method=Bill&Token=XXX-0b35-45f0-aed7-XXX HTTP/1.1\" 200 176416 \"http://XXX.XXX.117.172/\" \"Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.70 Safari/537.36\" \"-\"",

(реальные данные скрыты нами)