Помните мы писали про то, что кто-то (пользователь White123) продает на теневом форуме список сотрудников компании «Group-IB»?

Коллеги с канала @in4security провели "показательный деанон": 👍👇

https://graph.org/Kto-prodaet-bazu-Group-ib-02-11

Вчера утром вышла новость про то, что данные клиентов кредитного брокера «Альфа-кредит» как минимум 4 дня 🤦‍♂️ находились в свободном доступе “благодаря” неправильно настроенной MongoDB.

А к ночи эти данные уже были кем-то выложены на форум для свободного скачивания. В двух файлах 35,635 и 6,543 строк (из базы alpha_config_db и stavcredit соответственно). 😱

Судя по данным в файлах - они были получены из открытой MongoDB 31 января 2020 г.

В открытый доступ выложили список американских клиентов службы поддержки «DELL».

В Excel-файле 18,531 строка, содержащая:

🌵 имя/фамилию
🌵 адрес электронной почты
🌵 телефон
🌵 заголовок обращения
🌵 метку обслуживания

Метки обслуживания проходят проверку на сайте dell.com/support/home/ru/ru/rubsdcdell.com/support/home/ru/ru/rubsdc, а телефоны находятся в “желтых страницах”. Это все может говорить о подлинности выложенной базы. А наличие действующих контрактов на поддержку - об относительной "свежести" данных. 👍

В мета-данных файла создателем документа числится Mohd Farooqui. 😎

С июня 2018 года по март 2019 года, эксперт клиентского центра одного из банков Йошкар-Олы за счет других людей оплачивал покупки в интернет-магазинах и сервисах доставки еды. 🤦‍♂️

26-летний обвиняемый, имея доступ к конфиденциальным сведениям клиентов банка – номерам, информации о сроках действия и CVC-кодах банковских карт, собирал эти данные на бумажный носитель. От его действий пострадали 18 клиентов банка, материальный ущерб превысил 125 тыс. рублей. 😱

Он обвиняется в совершении 38 преступлений, предусмотренных п. «г» ч.3 ст.158 УК РФ (кража чужого имущества) и ч. 3 ст. 183 УК РФ (незаконные получение и разглашение сведений, составляющих банковскую тайну). За совершенные преступления, относящиеся к категории тяжких, грозит наказание на срок до 6 лет лишения свободы.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

И снова наш “любимый” Сбербанк… 🤣

«Известия» обнаружили в продаже на одном из теневых форумов объявление о продаже свежей базы клиентов Сбербанка.

Продавец заявил, что обладает 20 тыс. записей стоимостью 35 рублей за одну запись и дополнительно каждую неделю он может выгружать по 10 тыс. строк. 😱

«Известия» получили тестовый образец базы из 10 записей: каждая строка содержит название банковского подразделения, ФИО клиента, номер счета, паспортные данные, даты рождения и телефоны. Судя по названию подразделения, клиенты получили карты в Республике Башкортостан. 🔥

Журналистам удалось дозвониться до клиентов по указанным номерам, и все подтвердили имя и дату рождения. 👍

Добавили в “коллекцию” расшифрованные пароли пользователей китайского сервиса знакомств Zhenai.comZhenai.com.

Утечка базы пользователей Zhenai.comZhenai.com произошла в конце 2011 года (тогда было взломано сразу несколько китайских сайтов).

Из 5 млн. пар логин/пароль, около 40% оказались уникальными, т.е. никогда ранее не встречались в утечках.

Следственные органы направили в суд уголовное дело в отношении жителя Краснодарского края 1993 года рождения, который в июне 2019 года скачал персональные данные 703,000 сотрудников ОАО «РЖД» и в августе выложил их в свободный доступ на ресурс infach.meinfach.me.

Подследственный обвиняется в совершении преступлений, предусмотренных ч. 1 ст. 183 УК РФ (незаконное получение и разглашение сведений, составляющих коммерческую тайну) и ч. 1 ст. 272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации).

Первая статья грозит штрафом в размере до 500 тысяч рублей либо принудительными работами или лишением свободы на срок до 2 лет. Вторая предусматривает штраф в размере до 200 тысяч рублей либо принудительные работы или лишение свободы на срок до 2 лет.

Достоверно известно, что эта база сотрудников «РЖД», полученная путем парсинга ресурса infach.meinfach.me до его закрытия, имеет хождение среди ограниченного круга лиц и пока не выкладывалась в свободный доступ.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

По данным следствия, в 2019 году 40-летний старший участковый уполномоченный полиции отдела УУП и ПДН ОП № 5 «Дзержинский» УМВД России по Новосибирску договорился с 36-летним предпринимателем в сфере похоронных услуг о передаче персональных данных лиц, умерших в Дзержинском районе, и данных их родственников.

В случае заключения с родственниками умершего договора на оказание ритуальных услуг, сотрудник полиции получал взятку в сумме 10 тыс. рублей за каждый факт предоставления информации. Известно о двух эпизодах передачи информации.

Возбуждено уголовное дело в отношении участкового по ч. 3 ст. 290 УК РФ (получение взятки) и бизнесмена по ч. 3 ст. 291 УК РФ (дача взятки).


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

Статья в «Российской газете» про бесконечные сливы данных из банков. Банки, разумеется, отмазываются как могу. А могут, судя по смешным отмазкам, очень плохо. 😂

Самая нелепая отмазка - это во всех сливах обвинить других. В данном случае операторов сотовой связи. Операторы конечно и сами допускают утечки, но при всем желании слить данные номеров счетов/карт и остатки по ним просто физически не могут. 🤣

Одним из главных источников подробных знаний телефонных мошенников о клиентах банков могли стать утечки данных непосредственно из банков. Сами представители кредитных организаций отрицают массовые исходы информации - с их точки зрения, всему виной скорее человеческий фактор.

Звонящие называли не только паспортные данные жертв, но и номера их счетов и карт, остатки по ним, а во многих случаях и перечень последних транзакций.

В банках не так легко получить данные, даже сотрудникам, говорит управляющий директор Абсолют Банка Олег Кусеров.

По его словам, мошенники используют нелегально продающуюся информацию о клиентах, которая утекла скорее от сотовых операторов, чем от банков.

🤦‍♂️🤦🏻‍♂️🙈

Операторы вируса-вымогателя «Sodinokibi» (он же «REvil») опубликовали данные, украденные у немецкого производители автокомпонентов «GEDIA Automotive Group» (gedia.comgedia.com).

Всего похищено 50 Гб данных, а в последнем выложенном в свободный доступ архиве – 41,484 файлов, общим объемом 33 Гб. 🔥


Ранее эти же злоумышленники публиковали данные, похищенные у американской компании с индийскими корнями «Artech Information Systems»: https://t.me/dataleak/1443

В Минеральных Водах возбуждено уголовное дело в отношении сотрудника одного из операторов сотовой связи.

В начале января 2019 года подозреваемый, имея доступ к информационной биллинговой системе, без ведома и согласия абонента и иных законных к тому оснований, по просьбе человека осуществил просмотр детализации вызовов девушки. 🤦‍♂️

Подозреваемому может грозить до 4 лет лишения свободы и штраф.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

В Калининграде завершилось расследование уголовного дела в отношении 30-летней сотрудницы одного из банков, которая использовала персональные данные граждан, планировавших, но потом передумавших получать кредиты, для оформления потребительских займов на покупку дорогостоящих вещей, которые впоследствии она закладывала и получала наличные деньги.

Потерпевшие узнавали о долгах, когда их начинал тревожить банк с напоминанием о пропущенных сроках ежемесячного платежа.

Уголовное дело по двум эпизодам, предусмотренным частью 3 статьи 159 Уголовного кодекса Российской Федерации «Мошенничество, совершенное лицом с использованием своего служебного положения», было направлено в суд для рассмотрения по существу. Женщине грозит крупный штраф, а максимальное наказание — два года лишения свободы.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

Издание «ZDNet» “внезапно” обнаружило в свободном доступе файл с персональными данными 10,6 млн. клиентов отеля «MGM Resorts».

“Новость” тут в том, что этот файл находится в свободном доступе с 12 июля 2019 года, а несколько дней назад его просто перевыложили на один из англоязычных форумов, где его и заметил израильский исследователь безопасности, известный в Твиттере как underthebreach. 🤣

В текстовом файле 10,683,188 строк, содержащих: имена/фамилии, номера телефонов, даты рождения, домашние адреса, адреса эл. почты и т.п.

Около 1,300 записей содержат данные паспортов, водительских удостоверений и др. идентификационных документов.

Представитель MGM, кстати, признал утечку, произошедшую летом.

Самое интересное в этой т.н. “новости” то, что никто не сказал про полный размер утечки – более 200 млн. строк. Т.е. данный кусок, выложенный прошлым летом, это просто тестовый экземпляр (пробник) продающейся полной базы данных клиентов отеля «MGM Resorts». 🔥🔥🔥

В свободный доступ на нескольких форумах выложили данные, из двух разных, но одинаково неправильно сконфигурированных MongoDB, оставленных их владельцами без аутентификации: 😱

1️⃣ instime.world / instime.lifeinstime.world / instime.life - сервис продвижения в Instagram. 18.02.2020 эта MongoDB попала в индекс поисковика BinaryEdge. Тогда же из нее было сдамплено две коллекции:

🌵 user (85 тыс. строк) – имя пользователя, дата создания аккаунта в сервисе (с 01.11.2018 по 17.02.2020), телефон, адрес эл. почты, IP-адрес, страна, сумма на счете, хешированный (bcrypt с солью) пароль и т.п.

🌵 user_inst (49 тыс. строк) – URL Instagram-аккаунта, логин Instagram, текстовый пароль Instagram, дата и т.п.

2️⃣ dreamwhite.rudreamwhite.ru - магазин верхней одежды. В выложенном файле 26,345 строк, содержащих данные клиентов магазина с 21.04.2016 по 20.02.2020: дата/время, адрес эл. почты, телефон, имя, город (иногда адрес) и т.п.

Исследователь Bob Diachenko, ранее выявивший утечку госуслуг Республики Татарстан и технической поддержки Microsoft, сообщил нам, что он обнаружил открытый сервер российской IT-компании «Инфотех Груп» (infotech.groupinfotech.group).

Сервер, располагающийся в Германии («Digital Ocean») был найден 18 февраля, но появился в свободном доступе 6 февраля (BinaryEdge).

В обнаруженном Elasticsearch было более 1600 индексов (logstash-fgup-forces-k8s, logstash-autodor-prod, fluentd-fgup-k8s, logstash-fgup-pco7-prod, logstash-oek-prod и т.п.), содержащих суммарно более 343,480,600 записей (51,6 Гб).

Среди оказавшейся в открытом доступе информации, Bob Diachenko обнаружил логи, предположительно CRM-системы клиентов компании, содержащие логины (эл. почта) и текстовые пароли.

Diachenko идентифицировал одного из клиентов, чьи логины/пароли были скомпрометированы - ФГУП "Охрана" Росгвардии (fgup-ohrana.rufgup-ohrana.ru).

Он оповестил «Инфотех Груп» 18 февраля, но ответа не получил. Сервер был убран из открытого доступа в тот же день.

Прокуратура города Барнаул утвердила обвинительное заключение по уголовному делу в отношении сотрудника одной из компаний сотовой связи, обвиняемого в нарушении тайны телефонных переговоров и иных сообщений граждан, совершенном лицом с использованием своего служебного положения.

В ноябре 2018 года в одной из социальных сетей обвиняемому поступило предложение заработать. В процессе общения неизвестный пояснил, что денежные средства будут выплачиваться на банковскую карту за получение детализаций телефонных соединений определенных абонентов ("мобильный пробив"). Про вербовку сотрудников сотовых операторов мы писали тут.

В дальнейшем обвиняемый, находясь на своем рабочем месте и используя установленную на рабочем компьютере программу, запрашивал необходимые сведения о телефонных соединениях и пересылал их неустановленному лицу посредством Telegram. Таким способом им были получены данные 4 абонентов.

Данные действия квалифицированы по ч. 2 ст. 138 Уголовного кодекса Российской Федерации.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

Немного продолжим тему лежащей с середины прошлого лета в свободном доступе части базы клиентов сети отелей «MGM Resorts International». 👇

Помимо непосредственно отеля «MGM Grand» в Лас Вегасе, в этой базе замечены так же и клиенты отелей «Bellagio», «Circus Circus», «Mandalay Bay», «Park MGM», входящих в ту же самую сеть.

Эти 10,6 млн. записей были впервые выложены на англоязычном форуме 10 июля 2019 г., тем же самым пользователем, что 10 сентября 2019 г. выложил базы данных пассажиров двух авиакомпаний: Malindo Air и Thai Lion Air. Про это мы подробно писали тут. Данный пользователь тогда заявил, что это лишь небольшой кусок полной базы из более чем 200 млн. строк.

Через пару дней эти файлы (изначально 10,6 млн. записей были разбиты на два текстовых файла: 0000 и 0001) появились на русскоязычном форуме.

И вот, спустя почти полгода, 18 февраля 2020 г. на том же самом англоязычном форуме вновь всплывает эта база, но уже в виде одного текстового файла (MGM_rf.txt), выложенная уже другим пользователем. Именно эта, повторная публикация и привлекает внимание СМИ, после чего в медиа-пространстве раскручивается “новость” про утечку. 🤣

Спустя еще два дня появляется версия базы в формате Cronos, удобном для анализа. 👍

Утекшие данные явно содержат ту информацию, которую клиенты отелей указывают в анкетах при заселении. Качество данных говорит о том, что они изначально вводились с рукописных анкет.

Информация в общедоступном куске базы актуальна на 2015-2017 гг. Мы смогли обнаружить несколько знакомых нам фамилий и подтвердить достоверность информации. 😱

Из 10,683,188 строк к России можно отнести всего 823 записи (к Украине – 174).

СМИ уже написали, что среди утекших записей нашлись данные Jack Dorsey - основателя «Twitter»: домашний адрес, телефон, адрес. эл почты.

В числе утекшей информации мы случайно обнаружили данные ведущего мобильного аналитика: телефон и адрес. эл почты. 😎

Вчера в открытый доступ на русскоязычном форуме было выложено 12 текстовых файлов, содержащих персональные данные клиентов различных салонов красоты по всей России: 👇

🌵 "WowBrow" - ТЦ Авиапарк (Москва)
🌵 "Темма" - просп. Мира, 58 (Нижнекамск)
🌵 "Mascara" - м. Южная (Москва)
🌵 Салон красоты Алены Норик" - просп. Дзержинского, 23 (Оренбург)
🌵 "Нравится" - ул. Салмышская, 64 (Оренбург)
🌵 "Маэстро" - ул. Торосова, 9 (Абакан)
🌵 "Мокко" - ул. Лермонтова, 21Б (Владимир)
🌵 "Эвант" - ул. Революционная, 20 (Геленджик)
🌵 "Стоп Массаж" - ул. Гашека, 9 (Москва)
🌵 "VitaSun" - Коммунистический пр-т., 111 (Северск, Томская Область)
🌵 "Студия Клевер" - Ленинский пр-т., 108а (Москва)
🌵 "Центр перманентного макияжа Юлии Вавиловой" - ул. Вологодская, 6 (Архангельск)

У всех файлов общий формат и одинаковый набор полей:

🌵 адрес эл. почты
🌵 ФИО
🌵 телефон
🌵 дата рождения
🌵 дата последнего визита

Всего во всех 12 файлах – 195,178 строк, содержащих персональные данные клиентов, перечисленных выше салонов за период с 2014 по 2020 гг. 🔥

Общее у всех этих салонов то, что для онлайн-записи они используют систему онлайн-управления салоном красоты «Арника» (arnica.proarnica.pro). Можно предположить, что неизвестный, выложивший персональные данные клиентов на форум, обнаружил уязвимость в этой системе (например, открытую базу данных). 😎

Занимая должность старшего менеджера отдела розничных продаж торговой организации ООО «Авангард», зная данные клиентов, Андрей Удачин изменял при помощи графического редактора электронные копии паспортов и вносил подложные сведения о лицах в подаваемые в микрофинансовую организацию документы.

Всего за период с 20 сентября 2017 года по 3 апреля 2018 года злоумышленник изготовил 27 договоров целевых займов на оплату, якобы приобретённых вымышленными лицами товаров и услуг, на основании которых со счёта МФО были перечислены более 2 млн. рублей сначала на счёт ООО «Авангард», а затем на собственный расчётный счёт.

Удачин свою вину признал полностью и добровольно возместил часть ущерба. Суд признал его виновным в совершении преступлений, предусмотренных ч. 4 ст. 159 УК РФ (мошенничество в особо крупном размере) и ч. 1 ст. 174.1 УК РФ (легализация (отмывание) денежных средств, добытых преступным путём) и назначил наказание в виде двух лет условно с испытательным сроком на один год и штрафа в размере 10 тыс. рублей.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

Прокуратура Самары утвердила обвинение для двух человек, которых обвиняют по ст. 138 УК ("Нарушение тайны переписки, телефонных переговоров") и ст. 272 УК РФ ("Неправомерный доступ к компьютерной информации").

Сотрудник ОАО «Мегафон Ритейл» по просьбе своего знакомого и бывшего работника компании, с использованием учетной записи и пароля своего коллеги, незаконно осуществил доступ в программное обеспечение для обслуживания клиентов и получил сведения о входящих и исходящих соединениях клиентки сотового оператора, которые затем передал третьему лицу за 2000 рублей (про “мобильный пробив” читайте тут).

По аналогичной схеме этот сотрудник получил доступ в личный кабинет еще одного абонента и передал данные сообщнику, который намеревался продать информацию о входящих и исходящих соединениях за 11 тыс. рублей.

Уголовное дело направлено в Ленинский районный суд Самары для рассмотрения по существу.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html