Вчера стало известно, что в очередной раз был взломан “хакерский” форум OGUsers.comOGUsers.com. По сообщению администрации форума, взлом произошел “благодаря” уязвимости в процедуре загрузки изображений для аватарок пользователей. 🤦‍♂️

Весной 2019 года в свободном доступе появился полный дамп форума (вместе с исходниками), датированный 26.12.2018. Позже появились расшифрованные пароли из этого дампа.

На этот раз в открытый доступ выложили MySQL-дамп, датированный 31.03.2020, размером 3,57 Гб.

В таблице «users» находится 194,348 записей, содержащих: 👇

🌵 имя пользователя
🌵 адрес электронной почты
🌵 хешированный (MD5 с солью) пароль
🌵 дата/время регистрации, последней активности и последней записи на форуме (самая последняя дата – 31.03.2020)
🌵 IP-адрес
🌵 и много другое

На форуме опубликовали дамп пользователей сайта kssip.gov.plkssip.gov.pl, принадлежащего польской школе повышения квалификации сотрудников судов и прокуратур «National School of Judiciary and Public Prosecution».

В выложенном дампе (CSV-формат, размер 12 Мб) находится 50,283 записи, содержащих: 👇

🌵 имя/фамилия
🌵 имя пользователя (логин)
🌵 адрес электронной почты
🌵 хешированный (MD5) пароль
🌵 телефон
🌵 место работы (включая департамент/отдел)
🌵 город/страна/язык
🌵 IP-адрес
🌵 дата/время регистрации и последней активности (самая последняя дата – 21.02.2020, самая ранняя – 26.06.2013)

Судя по датам в дампе можно утверждать, что информация получена 21-го или 22-го февраля этого года и содержит данные студентов минимум за 7 лет. 😎

В открытый доступ на нескольких форумах выложили данные 4,6 млн. покупателей более 15 британских интернет-магазинов. 🔥🔥

В распространяемом архиве находится 34 файла общим размером 829 Мб, содержащих 4,625,684 строк с данными заказов:

🌵 имя/фамилия
🌵 почтовый адрес
🌵 адрес электронной почты
🌵 телефон (не во всех файлах)
🌵 дата покупки (самая последняя – 10.12.2019)
🌵 тип платежной карты, дата ее истечения и 4 последних цифры (не во всех файлах)
🌵 ссылка (pay.stripe.com/receipts/***, checkout.shopify.com/***/orders/***pay.stripe.com/receipts/***, checkout.shopify.com/***/orders/***) на онлайн-чек (не во всех файлах)
🌵 IP-адрес (не во всех файлах)

Удалось идентифицировать некоторые магазины: vanillaunderground.com, tinknstink.co.uk, redhotcomics.co.uk, ukgooddeals.com, motorcycleparts-uk.co.uk, iqtrading.co.uk, hawaiianshirtsonline.co.uk, lovemyfashions.com, vivolife.co.ukvanillaunderground.com, tinknstink.co.uk, redhotcomics.co.uk, ukgooddeals.com, motorcycleparts-uk.co.uk, iqtrading.co.uk, hawaiianshirtsonline.co.uk, lovemyfashions.com, vivolife.co.uk и т.п.

🇷🇺 Всего 5,731 заказов связанных с Россией, в них – 4,656 уникальных покупателей. 🇷🇺

Скорее всего данные были скачены из оставленного в открытом доступе сервера с MongoDB. 😎

Помимо данных покупателей интернет-магазинов (см. выше 👆), в распространяемом архиве содержится дамп базы данных пользователей французской системы для управления аптечными продажами «OffiSanté» (offisante.froffisante.fr).

В файле 36,823 записи, содержащих:

🌵 имя/фамилия
🌵 адрес электронной почты
🌵 мобильный телефон
🌵 хешированный (bcrypt с солью) пароль
🌵 дата регистрации (самая последняя – 31.01.2020)

Эти данные получены из оставленного в открытом доступе MongoDB-сервера, располагающегося во Франции.

Сервер с MongoDB, появившийся в свободном доступе в начале февраля, был закрыт в марте этого года. 🤦‍♂️

Очередная утечка персональных данных заболевших коронавирусом COVID-19, на этот раз в Дагестане.

В интернет попала информация (сканы печатных листов) с персональными данными 25 пациентов – клинический диагноз, дата госпитализации, ФИО, адрес проживания, дата рождения и т.п.

По факту утечки информации начато разбирательство.

Ранее мы писали про утечку данных оренбуржцев, вернувшихся из Таиланда и поставленных на контроль, как возможных носителей COVID-19.

Две недели назад мы запустили специальную акцию для поддержки организаций, вынужденно перешедших на режим удаленной работы.

На сайте noleaks.devicelock.com после заполнения простой формы бесплатно предоставляются дистрибутив, лицензия, инструкция по настройке и типовые файлы настроек для быстрого запуска контроля перенаправленных устройств и буфера обмена данными.

Все это время в нашу службу техподдержки регулярно поступают вопросы в духе «Как же нам настроить контроль терминальных сессий».

Хотим напомнить, что акция с бесплатным использованием DeviceLock DLP актуальна и будет актуальна, пока в стране введен режим самоизоляции.

Предлагаемое решение весьма простое, но эффективное. Даже не потребуется выделять дополнительные серверные ресурсы. Предконфигурированные настройки дадут возможность заблокировать перенаправленные в терминальную сессию устройства и буфер обмена данными, и/или обеспечить мониторинг действий пользователей. Агенты DeviceLock можно установить как на рабочие Windows-станции, так и на терминальные серверы для контроля RDP и ICA.  

Техническая поддержка работает и будет работать, смело обращайтесь с любыми вопросами – в том числе о том, как сделать для терминальных сессий контроль почты, мессенджеров и других сетевых приложений, как сделать избирательный контроль по пользователям и т.д.

Вчера (06.04.2020) система DeviceLock Data Breach Intelligence обнаружила свободно доступный MongoDB-сервер, который содержал базу данных пользователей сервиса для хостинга IT-проектов и их совместной разработки «GitHub». 👍

База представляется собой автоматический парсинг публичных данных сервиса, т.е. это не утечка. Однако, подобный сбор данных профилей пользователей (практикуется для Facebook, ВКонтакте, Instagram и т.п.), как правило запрещен лицензионными соглашениями сервисов. 🙈

В обнаруженной базе данных находилось 6,196,905 строк, содержащих:

🌵 имя пользователя
🌵 логин и ID-пользователя
🌵 ссылка на аватар (на сервере githubusercontent.comgithubusercontent.com)
🌵 место жительства и работы
🌵 вебсайт пользователя, его репозитории, подписки и подписчики
🌵 дата парсинга профиля (самая последняя – 18.03.2020)
🌵 остальная информация, которая может быть указана пользователем в своем профиле

По официальным данным, на «GitHub» зарегистрировано более 40 млн. пользователей.

Принадлежность сервера установить не удалось. 🤷‍♂️

Исследователь 0xyzq, который ранее обнаружил утечку избирателей Мальты, выявил общедоступную директорию на сервере, где находились базы данных сервисов оплаты штрафов и коммунальных платежей для штатов Арканзас и Оклахома (courtpay.orgcourtpay.org и utilitypay.orgutilitypay.org). 🔥🔥🔥

На сервере находились резервные копии MySQL-баз «courtpay-development-local» и «utilitypay-development-local», за каждый день с 21.08.2019 и по 20.12.2019.

Формат баз «courtpay» и «utilitypay» - одинаковый, интерес в них представляют таблицы «order_item», где содержится 79,674 и 64,677 строк соответственно:

🌵 имя/фамилия
🌵 полный адрес
🌵 телефон
🌵 адрес эл. почты
🌵 сумма платежа
🌵 дата платежа (последняя 16.12.2019)
🌵 способ оплаты (карта, чек)
🌵 первые и последние 4 цифры карты, ее тип (Visa, Master Card, Discover) и дата истечения
🌵 банк, номер счета, тип (личный, бизнес) и номер чека
🌵 получатель платежа (78 судов и 56 коммунальных служб/поставщиков услуг)

Мы уведомили компанию nCourt и через несколько часов доступ к файлам был “тихо” закрыт. 🤣

Помимо резервных копий MySQL-баз сервисов онлайн оплаты штрафов и коммунальных платежей для двух штатов США, в свободном доступе находились исходные коды двух вебсайтов этих сервисов - courtpay.orgcourtpay.org и utilitypay.orgutilitypay.org. 😂

Всего около 19 Мб (для каждого вебсайта), более чем 1,1 тыс. файлов формата PHP, JS, HTML, CSS и т.п.

Судя по всему, на обнаруженном сервере, хранились резервные копии отдела разработки компании «nCourt» (ncourt.comncourt.com), которая занимается сервисами онлайн платежей для государственных структур США. Как это часто бывает в нашей практике, сервер разработчиков содержал копию реальных данных пользователей сервисов. 👍

Этот сервер, с открытой директорией «backup_database» был впервые обнаружен поисковиком BinaryEdge 09.12.2019. Получается, что данные более чем 140 тыс. платежей американцев находились в свободном доступе более 3 месяцев. 🤦‍♂️🤦🏻‍♂️🙈

Хакеры из группировки «NoName Hacking Group» (nonamemqwl2lslts.onionnonamemqwl2lslts.onion) выставили на продажу 44 MySQL-дампа, содержащих все данные итальянского почтового сервиса Email.itEmail.it.

Данные были получены в январе 2018 года и с тех пор хакеры безуспешно пытались получить с сервиса вознаграждение за найденную уязвимость.

В дампах содержится информация о более чем 600 тыс. пользователях, включая пароли в открытом виде (все пароли хранились в тексте, несмотря на заверения сервиса об обратном 🤦‍♂️). Кроме того, хакеры скачали всю переписку пользователей и даже исходные коды Email.itEmail.it. 😱

Полный набор данных, размером более 5 Тб продается за 3 биткоина. Дамп пользователей (с паролями и прочей информацией) – 0,5 биткоина.  На наш взгляд цена сильно завышена для такого незначительного объема данных (всего 600 тыс. пользователей). 😎

В открытый доступ выложили данные пользователей сайта поиска работы kadrovichka.rukadrovichka.ru. Данные доступны в текстовом виде (CSV) и в формате Cronos.

Всего 156,678 строк (в варианте для Cronos - 156,655 строк), содержащих информацию из профилей пользователей:

🌵 ФИО
🌵 телефон
🌵 адрес электронной почты
🌵 дата рождения
🌵 пол
🌵 город
🌵 признак курения
🌵 дата изменения профиля (последняя 02.04.2020)

Судя по всему, эта информация получена через уязвимость в MySQL-базе сайта.

Т.к. стараемся говорить только про то, что видели сами, то специально не писали ничего про “хайповую” утечку базы иранских пользователей Telegram, которая произошла “благодаря” одному из сторонних клиентов к данному сервису. В Иране популярны такие альтернативные клиенты, как «Talaeii» и «Hotgram». 😎

Данные сначала были выставлены на продажу, но вчера появились в открытом доступе на нескольких форумах и даже “засветились” на некоторых открытых серверах.

В файле размером около 40 Гб (формат JSON) содержится 39,407,536 строк:

🌵 имя/фамилия (на фарси)
🌵 номер телефона
🌵 имя пользователя (латиницей)
🌵 идентификатор пользователя (Telegram ID)
🌵 дата, когда пользователь был онлайн
🌵 некоторые другие данные (специфичные для клиента Telegram)

Читатель канала сообщает, что в одном из чебоксарских вайбер-чатов появился скан списка лиц с подтвержденным COVID-19 на 07.04.2020 по Чувашской Республике. 😱

Раскрыта информация по 17 пациентам: фамилия и инициалы, возраст, адрес регистрации и фактического проживания, место работы.

Ранее мы писали про подобные случаи в Оренбурге и Дагестане.

🔥 Подборка самых интересных каналов про IT, хакинг и безопасность

Инкогнито - Самый крупный канал о даркнете: анонимность, хакинг и противодействие мошенничеству в интернете.

@Haccking - Про ИБ, хакинг, взломы, простым языком! Для опытных и новичков!

IT&Безопасность - как коронаврус влияет на IT, стоит ли дезинфицировать смартфоны и другие актуальные новости о безопасности ваших устройств.

@webware - Хакинг от новичка до профи. Offensive, Defensive, Penetration test, CTF…

@Seclabnews - Самые оперативные новости по информационной безопасности в России и Мире.

Эксплойт - Секреты анонимности в интернете, баги соц. сетей, тайные возможности смартфона, уроки по взлому и многое другое

Несколько дней назад канал @in4security обратил внимание на мошеннический сайт по продаже медицинских масок (2maski.ru2maski.ru). 😷

Подчеркнем, что речь идет не о продаже масок по завышенным ценам (спекуляция), а именно о мошеннической схеме. Никаких масок нет, мошенники просто воруют деньги у доверчивых покупателей.

Неравнодушная общественность из числа умеющих в OSINT не пожелала терпеть такое и провела небольшое расследование с целью “деанона” мошенников. 👍

Результаты можно почитать на Хабре: https://habr.com/ru/post/496362/ 🔥

Интервью YouTube- каналу «Russian OSINT». 😎

Поговорили про утечки данных и на смежные темы. 👇

https://www.youtube.com/watch?v=6b0cmPMBEhQ

В Астраханской области (город Ахтубинск) подозревается в мелком взяточничестве участковый полиции, который в период с декабря 2018 года по февраль 2019 года брал через посредника взятки от руководителя фирмы по предоставлению похоронных услуг за сообщение сведений о местонахождении умерших и их персональных данных.

За каждое сообщение о скончавшемся жителе города сотрудник полиции получал 1,5 тысячи рублей путем перевода на банковскую карту.  Уголовное дело направлено в суд.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

21.03.2020 система DeviceLock Data Breach Intelligence обнаружила свободно доступный Elasticsearch-сервер, в индексах которого содержались Filebeat-логи сервиса «Бери Заряд» (berizaryad.ruberizaryad.ru).

В логах находились такие данные пользователей сервиса, как: 👇

🌵 идентификатор пользователя
🌵 адрес электронной почты (не для всех)
🌵 телефон (не для всех)
🌵 IP-адрес
🌵 GPS-координаты
🌵 первые 6 и последние 4 цифры платежной карты, тип карты (Visa, MasterCard), банк-эмитент, дата истечения
🌵 сумма платежа
🌵 дата/время

"message": "I, [2020-03-17T02:00:48.295387 #28841]  INFO -- : [d2633167-b615-4a00-9873-cbb19e952737]   Parameters: {\"TransactionId\"=>\"324687600\", \"Amount\"=>\"2900.00\", \"Currency\"=>\"RUB\", \"PaymentAmount\"=>\"2900.00\", \"PaymentCurrency\"=>\"RUB\", \"OperationType\"=>\"Payment\", \"InvoiceId\"=>\"297465\", \"AccountId\"=>\"user91967\", \"SubscriptionId\"=>\"\", \"Name\"=>\"\", \"Email\"=>\"\", \"DateTime\"=>\"2020-03-16 23:00:46\", \"IpAddress\"=>\"82.***.***.***\", \"IpCountry\"=>\"RU\", \"IpCity\"=>\"Санкт-Петербург\", \"IpRegion\"=>\"Санкт-Петербург\", \"IpDistrict\"=>\"Северо-Западный федеральный округ\", \"IpLatitude\"=>\"59.***\", \"IpLongitude\"=>\"30.***\", \"CardFirstSix\"=>\"476771\", \"CardLastFour\"=>\"***\", \"CardType\"=>\"Visa\", \"CardExpDate\"=>\"12/25\", \"Issuer\"=>\"Central Bank of Kansas City\", \"IssuerBankCountry\"=>\"US\", \"Description\"=>\"Автоплатеж за аренду зарядного устройства на сайте berizaryad.ru\", \"TestMode\"=>\"0\", \"Status\"=>\"Completed\", \"CardProduct\"=>\"G \", \"PaymentMethod\"=>\"\"}",

"message": "I, [2020-03-17T03:51:51.247345 #28831]  INFO -- : [bbcd4239-f3db-460a-aa51-87081b048f23]   Parameters: {\"email\"=>\"***@list.ru\", \"password\"=>\"[FILTERED]\", \"phone\"=>\"7926***\", \"registration\"=>{\"email\"=>\"***@list.ru\", \"password\"=>\"[FILTERED]\", \"phone\"=>\"7926***\"}}",

(некоторые данные мы скрыли звездочками)

berizaryad.ru\", \"TestMode\"=>\"0\", \"Status\"=>\"Completed\", \"CardProduct\"=>\"G \", \"PaymentMethod\"=>\"\"}",

"message": "I, [2020-03-17T03:51:51.247345 #28831]  INFO -- : [bbcd4239-f3db-460a-aa51-87081b048f23]   Parameters: {\"email\"=>\"***@list.ru\", \"password\"=>\"[FILTERED]\", \"phone\"=>\"7926***\", \"registration\"=>{\"email\"=>\"***@list.ru\", \"password\"=>\"[FILTERED]\", \"phone\"=>\"7926***\"}}",

(некоторые данные мы скрыли звездочками)

Сказать точное количество утекших пользователей сложно, т.к. одни и те же данные встречаются в логах много раз. Оценочно можно говорить о более чем 10 тыс. записях.

В тот же день мы оповестили сервис и через час сервер был убран из открытого доступа. 👍

На Украине задержали жителя Ивано-Франковска, который через интернет продавал информацию из баз данных Государственной таможенной и пограничной служб Украины.

Продавец на различных форумах предлагал клиентам данные о пересечении границы гражданами и транспортными средствами, а также сроки их пребывания за границей. Оплату он принимал на банковские карточки.

Открыто производство по ч.2 ст. 361-2 Уголовного кодекса Украины (несанкционированный сбыт или распространение информации с ограниченным доступом). Дело передано в суд.

Ранее в Харьковской области задержали другого продавца таможенных баз: https://t.me/dataleak/1426