Помните мы писали, что база клиентов предположительно сети «Красное и Белое» продавалась на форуме до того, как попала в свободный доступ?

Так вот сегодня на том же самом форуме, тот же самый продавец выставил еще один лот: «База данных клиентов торговой сети "Лента"» (прямая цитата). 🔥

По словам продавца, в базе 90 тыс. строк, содержащих данные клиентов из Москвы и Московской области:

🌵 идентификатор клиента
🌵 ФИО
🌵 телефон

В свободный доступ выложили MySQL-дамп базы пользователей крупного китайского IT-портала «CCIDNET» (ccidnet.comccidnet.com).

В дампе 1,762,105 строк, содержащих:

🌵 логин
🌵 хешированный (MD5 с солью) пароль
🌵 адрес электронной почты
🌵 IP-адрес
🌵 дата/время регистрации (с 3 апреля 2002 по 7 декабря 2013) и последнего входа в систему

Дамп сделан 8 декабря 2013 г.

Добавили в коллекцию пары логин/пароль пользователей ресурса minecraftonly.ruminecraftonly.ru.

Дамп датируется 2018 годом, но стал публично доступен только в прошлом месяце.

Из 1,1 млн. пар логин/пароль, почти 95% оказались уникальными, т.е. никогда ранее не встречались в утечках. 👍

В течение трех месяцев 28-летний специалист продаж и обслуживания регионального филиала сотового оператора в Якутии, пользуясь своим служебным положением, фотографировала персональные данные некоторых клиентов на свой телефон и далее передавала их мужчине, с которым познакомилась через интернет (про вербовку сотрудников сотовых операторов и банков мы писали тут).

В отношении женщины было возбуждено уголовное дело по статье «Неправомерный доступ к компьютерной информации» (ч.3 ст. 272 УК РФ).

Приняв во внимание полное раскаяние подсудимой, суд прекратил уголовное преследование по нереабилитирующим основаниям и назначил ей наказание в виде денежного штрафа с установлением срока оплаты – 2 месяца.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в новом отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

26.01.2020 наша система DeviceLock Data Breach Intelligence обнаружила свободно доступный Elasticsearch-сервер грузинского маркетплейса «Vendoo» (vendoo.gevendoo.ge).

Сервер содержит два индекса с персональными данными клиентов «Vendoo»:

🌵 заказы - 37,882 записей (36,274 на момент обнаружения)
🌵 клиенты – 175,534 записей (173,996 на момент обнаружения)

Среди скомпрометированных данных:

🌵 имя/фамилия (иногда латиницей, иногда по грузинский)
🌵 номер телефона
🌵 адрес электронной почты
🌵 почтовый адрес и адрес доставки
🌵 идентификатор плательщика НДС (VAT)
🌵 дата регистрации и заказа
🌵 стоимость заказа
🌵 состав (название товара/SKU-номер, количество), вес и габариты заказа
🌵 статус (отменен, доставлен и т.п.) заказа


В тот же день нами было отправлено оповещение владельцам сервера, но никакой реакции не последовало. Сервер с данными до сих пор находится в открытом доступе. Ситуация напоминает недавнюю историю с утечкой данных узбекской компании «Eurasia Group», когда доступ к данным был закрыт только после анонса утечки в этом канале. 🤦🏻‍♂️🤦‍♂️🙈

Под самый конец 2019 года DeviceLock Data Breach Intelligence обнаружила очередной свободно доступный Elasticsearch-сервер с логами информационной системы.

Все уже знают, что логи это не просто “техническая информация”, как пытались нас всех уверить многочисленные “защитники” (ничего не знающие об инциденте, но мнение имеющие) регионального мобильного приложения «Госуслуги Югры», допустившего утечку персональных данных граждан (28 тыс. строк с персональными данными в результате были выложены на нескольких форумах в открытый доступ 🔥).

К сожалению, избыточное логирование, применяемое в информационных системах это суровая реальность, которая, наряду с безалаберным отношением к конфигурированию серверов Elasticsearch (которые, в свою очередь, эти логи призваны индексировать), приводит к серьезным утечкам. 😱

Удалось выяснить, что данный публично доступный сервер содержал информацию службы доставки «Boxberry» (boxberry.ruboxberry.ru).

Ранее мы уже обнаруживали Elasticsearch-сервер с небольшой базой клиентов этой службы доставки, но тогда утечку скорее всего допустил сторонний подрядчик - маркетинговая компания.

В тот же день (28-го декабря) мы уведомили «Boxberry», вечером 29.12.2019 сервер исчез из открытого доступа, а мы получили ответ от службы доставки. 👍

В логах содержалась информация по отправлениям за декабрь 2019 года (оценить количество данных сложно, но это более 100 тыс. строк): 👇

🌵 дата
🌵 клиент
🌵 стоимость
🌵 код города отправителя/получателя
🌵 код пункта отправки/выдачи
🌵 имя отправителя/получателя
🌵 телефон отправителя/получателя
🌵 адрес эл. почты отправителя/получателя
🌵 номер для трекинга отправления

"message": "{\"date\":\"2019-12-27\",\"time\":\"09:28:52\",\"request_id\":2310693907,\"elapsed_time\":6.9272401332855,\"client_id\":{\"id\":4994,\"name\":\"simimili.com\",\"token\":\"01bx02sm\",\"disabled\":0},\"method_id\":{\"id\":8,\"name\":\"NewOrder\",\"description\":\"Метод, позволяющий создать новый заказ\"},\"data_in\":\"{\\\"api_token\\\":\\\"01bx02sm\\\",\\\"method\\\":\\\"NewOrder\\\",\\\"delivery_type\\\":4,\\\"public_price\\\":250000,\\\"payer_type\\\":1,\\\"prepayd_sum\\\":\\\"37000\\\",\\\"sender\\\":{\\\"city\\\":\\\"68\\\",\\\"point_code\\\":\\\"19950\\\",\\\"client_name\\\":\\\"XXX\\\",\\\"phone\\\":\\\"7499XXX\\\"},\\\"receiver\\\":{\\\"client_name\\\":\\\"Борис XXX\\\",\\\"phone\\\":\\\"78916XXX\\\",\\\"point_code\\\":\\\"75015\\\",\\\"city\\\":\\\"03367\\\"},\\\"package\\\":{\\\"boxberry_package\\\":1,\\\"package_code\\\":\\\"797\\\",\\\"attachment_id\\\":\\\"6\\\"},\\\"list_services\\\":[],\\\"adv_id\\\":\\\"\\\"}\",\"data_out\":\"{\\\"status\\\":1,\\\"err\\\":\\\"\\\",\\\"data\\\":{\\\"tracking\\\":\\\"000015680XXX\\\"}}\",\"success\":true,\"error_message\":null,\"logger\":\"api_requests\"}",

(реальные данные скрыты нами)2310693907,\"elapsed_time\":6.9272401332855,\"client_id\":{\"id\":4994,\"name\":\"simimili.com\",\"token\":\"01bx02sm\",\"disabled\":0},\"method_id\":{\"id\":8,\"name\":\"NewOrder\",\"description\":\"Метод, позволяющий создать новый заказ\"},\"data_in\":\"{\\\"api_token\\\":\\\"01bx02sm\\\",\\\"method\\\":\\\"NewOrder\\\",\\\"delivery_type\\\":4,\\\"public_price\\\":250000,\\\"payer_type\\\":1,\\\"prepayd_sum\\\":\\\"37000\\\",\\\"sender\\\":{\\\"city\\\":\\\"68\\\",\\\"point_code\\\":\\\"19950\\\",\\\"client_name\\\":\\\"XXX\\\",\\\"phone\\\":\\\"7499XXX\\\"},\\\"receiver\\\":{\\\"client_name\\\":\\\"Борис XXX\\\",\\\"phone\\\":\\\"78916XXX\\\",\\\"point_code\\\":\\\"75015\\\",\\\"city\\\":\\\"03367\\\"},\\\"package\\\":{\\\"boxberry_package\\\":1,\\\"package_code\\\":\\\"797\\\",\\\"attachment_id\\\":\\\"6\\\"},\\\"list_services\\\":[],\\\"adv_id\\\":\\\"\\\"}\",\"data_out\":\"{\\\"status\\\":1,\\\"err\\\":\\\"\\\",\\\"data\\\":{\\\"tracking\\\":\\\"000015680XXX\\\"}}\",\"success\":true,\"error_message\":null,\"logger\":\"api_requests\"}",

(реальные данные скрыты нами)

20-летний житель Иркутска, работавший специалистом офиса продаж оператора сотовой связи, был привлечен к уголовной ответственности за нарушение тайны телефонных переговоров и неправомерный доступ к охраняемой законом компьютерной информации.

В феврале 2019 года, неизвестные лица предложили молодому человеку подзаработать и продать информацию о телефонных звонках и смс-сообщениях абонентов (про вербовку сотрудников сотовых операторов и банков мы писали тут). Он загрузил всю нужную информацию о трех клиентах на свой телефон, после чего переслал данные заинтересованной стороне.

На суде молодой человек признался в содеянном. Он объяснил свой поступок тяжелым материальным положением. В результате его приговорили к наказанию в виде двух лет лишения свободы условно с испытательным сроком два года.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в новом отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

РБК пишет сегодня о выставленной на продажу базе клиентов МФО с 1,2 млн записей: 👇🔥

На специализированном интернет-сайте выставлены на продажу данные клиентов микрофинансовых организаций (МФО). В базе содержатся данные более 1,2 млн клиентов МФО, входящей в топ-10 на рынке, уверяет ее продавец.

«Пробник» базы, содержащий около 800 записей, включает Ф.И.О., номера телефонов, адреса электронной почты, даты рождения и паспортные данные россиян.

Продавец не раскрывает название МФО, чьи данные у него оказались, но большинство клиентов, ответивших на звонки РБК, сообщили, что обращались за займами в компанию «Быстроденьги».

Также в пробнике были данные клиентов микрофинансовых компаний «Займер» «еКапуста», «Лайм» и «Микроклад». Они контактировали с МФО в период с 2017-го по конец 2019 года. Часть базы содержит неактуальные номера телефонов, уже не обслуживающихся или сменивших владельца.

Некоторые участники базы подтвердили, что их данные в базе верны, но утверждали, что никогда не обращались за займами.

С 17 по 20 марта в Подмосковье пройдет 22-я международная конференция «РусКрипто» - главное ежегодное событие в мире криптографии. 👇

«РусКрипто» не чужое для меня мероприятие, я принимал участие в самых первых конференциях в конце 90-х/начале 2000-х, а один год даже был в совете директоров ассоциации «РусКрипто». 😎

Последний раз я участвовал в конференции в 2008 году, но потом немного отдалился от мира криптографии.

И вот в этом году организаторы пригласили меня выступить на круглом столе «Тонкости российского маркетинга информационной безопасности», а всем подписчикам моего Telegram-канала предоставили 5% скидку на участие (промокод #РК_АИС#РК_АИС).

Все подробности и регистрация на сайте конференции: www.ruscrypto.ru

Как и ожидалось, после публикации (https://t.me/dataleak/1481) представители грузинского маркетплейса «Vendoo» связались с нами и поблагодарили за найденную уязвимость: 👇

Хотим поблагодарить вас что сохранили данные конфиденциально надеемся, что все так и останется. Хотим информировать что мы сейчас проверили info@vendoo.ge которую просматривает наша Office Manager-ша и видимо она забыла проинформировать нас.

info@vendoo.ge которую просматривает наша Office Manager-ша и видимо она забыла проинформировать нас.

Сервер с данными клиентов и заказов убран из открытого доступа. 👍

Сотрудники ФСБ в Ярославле задержали двух организаторов группировки, оказывающей услуги “пробива” (подробнее про это явление тут). 👍

Преступники, находясь в сговоре с сотрудниками банков и операторами мобильной связи из центральных регионов, Приволжья и Сибири, предоставляли заказчикам данные о телефонных соединениях абонентов российских мобильных операторов связи, а также информацию, содержащую коммерческую, налоговую и банковскую тайну.  Про вербовку сотрудников сотовых операторов и банков мы писали тут.

Предложения о продаже услуг “пробива” размещались на различных форумах, а общение с клиентами осуществлялось посредством Telegram.

В сообщении ФСБ отмечается, что задержанные имели авторитет в среде продавцов информации. Значит скоро мы узнаем, что это была за группировка и под каким именем они выступали на теневых форумах. 😎

Возбуждены уголовные дела по статьям «Неправомерный доступ к компьютерной информации» и «Незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну»


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в новом отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

На Хабре вышла статья «Как настроить Elasticsearch, чтобы не было утечек». 👍

Читатели нашего канала могли заметить, что открытые сервера Elasticsearch давно и уверенно занимают первые места в позорном хит-параде причин утечек информации. 😂

Может админы хотя бы после прочтения этой статьи научатся настраивать Elasticsearch? Хотя, надежды на это мало. 🤣

🔥 Подборка самых интересных каналов про IT, хакинг и безопасность

Инкогнито - Самый крупный канал о даркнете. Рассказываем про анонимность в сети, хакинг и противодействуем мошенничеству в интерннете.

@Haccking - Тот самый, первый телеграм канал по ИБ. Ребята стабильно пишут о хакинге, програмировании и безопасности в сети более 2-х лет. Понятно и интересно даже новичкам. Подписывайся!

CyberYozh - Бесплатный курс по анонимности и безопасности в сети. Истории ошибок и арестов известных киберпреступников, тайные технологии защиты информации, ловушки для хакеров и многое другое.

IT&Безопасность - Качественный и интересный, как пользователям, так и специалистам, канал об IT. А по этой ccылке промокод для VPN на 20 дней от того самого бота FCK RKN.

@webware - Официальный канал Codeby.net. Хакинг от новичка до профи. Только свежая и эксклюзивная информация. Offensive, Defensive, Penetration test, CTF…

@SecLabNews - Канал  русскоязычного новостного портала SecurityLab.ru, оперативно публикующего информацию о последних новостях IT-безопасности в России и мире.

Эксплойт - Информационная безопасность и хакерство. Секреты анонимности в интернете, баги социальных сетей, тайные возможности смартфона, уроки по взлому и многое другое.

В ноябре 2019 был взломан файлообменник Tusfiles.comTusfiles.com, построенный на базе скрипта «XFileSharing» (sibsoft.netsibsoft.net).

Особенность «XFileSharing» в том, что пароли пользователей не хешируются, а хранятся в текстовом виде в едином зашифрованном файле. При этом ключ шифрования прописывается в файл конфигурации. 🤦🏻‍♂️

Из 870 тыс. пар логин/пароль, почти 86% оказались уникальными и никогда ранее не встречались в утечках

Тот же самый продавец, что ранее продал 2 экземпляра базы «Красное и Белое» и один экземпляр базы торговой сети «Лента» (пользователю «MURC1ELAGO» c форума «phreaker», который ранее публиковал базу «Красное и Белое»), выставил на продажу, на том же самом форуме, список сотрудников компании «DeviceLock».

Продавец заявляет, что в базе есть ФИО и телефон. Напомним, что списочный состав любой российской компании можно получить через “пробив” по ФНС (стоимостью около 1000 рублей). 🙈

Другой пользователь с похожим именем выставлял на продажу список сотрудников компании «Group-IB».

Ранее уже выкладывался в открытый доступ список сотрудников «Сёрчинформ», полученный скорее всего также через ФНС.

В продолжение предыдущего поста.

Этот же продавец («WhiteRed») еще выставил на продажу лот «Клиенты OZON». Он утверждает, что в базе около 30 тыс. строк, содержащих ФИО, телефон и дату рождения.

В субботу написали про то, что на теневом форуме появилось в продаже два лота «Клиенты OZON» (https://t.me/dataleak/1492) и «Сотрудники DeviceLock DLP» (https://t.me/dataleak/1491) от одного продавца «WhiteRed», который также продает «базу клиентов торговой сети Лента» и ранее продавал «базу клиентов магазина Красное и Белое».

Уже к вечеру оба лота исчезли (возможно удалены администрацией форума после проверки, т.к. оказались фейком). 👍

В продаже у «WhiteRed» осталась только «база клиентов торговой сети Лента», которую купил и выложил (в пятницу) под паролем на форуме «phreaker» пользователь «MURC1ELAGO», а вчера эта «база Ленты» всплыла в известной Telegram-помойке уже в открытом доступе. 😺

После проверки оказалось, что «база Ленты» представляет собой 90,444 строк (содержащих ФИО и телефон), выбранных случайным образом из базы «Красное и Белое». Совпадение вплоть до ошибок в именах. Таким образом «база клиентов торговой сети Лента» также является фейком. 🤣

Наша, уже ставшая традиционной рубрика «Иногда они возвращаются снова…» 😂🤣🙈


Около месяца назад мы писали про открытый Elasticsearch-сервер, принадлежащий сервису химчистки «Dry Harder».

Доступ к серверу был закрыт в декабре 2019 г. после нашего оповещения. И вот 7-го февраля состоялось возвращение этого сервера на том-же самом IP-адресе. 🤦‍♂️ За время отсутствия размер индекса существенно подрос – добавилось 66,848 строк. 😱

Второй раз сервер был закрыт сегодня (10.02.2020). И мы даже получили ответ на наше оповещение. 👍


Точно такая же история возвращения произошла в свое время с Elasticsearch-сервером сайтов госоплаты и с сервисом мониторинга цен на топливо Maxwell Expert (до сих пор "болтается" в индексе BinaryEdge).

Вечером 1-го февраля 2020 г. система DeviceLock Data Breach Intelligence обнаружила сервер с открытой MongoDB не требующей аутентификации для подключения.

В свободно доступной базе данных было две «коллекции»:

1️⃣ alpha_config_db – 35,787 записей (42 Мб)
2️⃣ stavcredit – 8,279 записей (9 Мб)

Каждая запись содержит:

🌵 дата заявки
🌵 интересующая сумма кредита
🌵 интересующий срок кредитования
🌵 канал привлечения
🌵 ФИО
🌵 эл. почта
🌵 телефон
🌵 дата рождения
🌵 город
🌵 регион

В процессе анализа утечки удалось выяснить, что в обнаруженной MongoDB находятся данные клиентов кредитного брокера «Альфа-кредит» (alpha-credit.comalpha-credit.com), который собирает заявки на кредиты и помогает получить заем в банке.

Через 10 минут после обнаружения открытой MongoDB мы оповестили компанию об уязвимости, но доступ к данным был закрыт только вечером 04.02.2020. 🙈🤦‍♂️🤦🏻‍♂️ По данным поисковика Shodan этот сервер попал в открытый доступ 31.01.2020. 😱


На РБК вышла статья про эту утечку: 👇
https://www.rbc.ru/finances/11/02/2020/5e413cf69a7947211bf655cb

Напомним, что в марте 2019 г. была обнаружена также открытая БД MongoDB с информацией клиентов (более 800 тыс. документов) финансового брокера «Финсервис»: https://t.me/dataleak/863

В отношении руководителя краснодарского офиса регионального филиала АО «Россельхозбанк» возбуждено уголовное дело по статье «незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну» (ч. 2 ст. 183 УК РФ)..

По данным следствия, подозреваемый передал третьему лицу базу данных, которая содержала информацию в отношении предварительно одобренных кредитов, а также клиентскую базу.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html