В открытом доступе оказался сервер с данными клиентов крупной нигерийской компании электронной коммерции Konga.comKonga.com.

В открытой директории на сервере находится множество файлов, в том числе файл с 2,073,613 строками, содержащими:

🌵 имя/фамилия
🌵 адрес электронной почты
🌵 город/страна

Предположительно, данный сервер либо принадлежит компании «Emarsys» (emarsys.comemarsys.com), предоставляющей IT-решения для анализа покупательской и маркетинговой активности, либо Konga.comKonga.com использует его для обмена информацией с «Emarsys».

IP-адрес сервера уже выложен на форуме в свободный доступ. 😱


Ранее мы писали, что утекли 15 млн. данных клиентов индонезийской компании электронной коммерции Tokopedia.comTokopedia.com.

Добавили в коллекцию “расшифрованные” пароли из утечек: 👇

🌵 портал онлайновых игр Suba Games (subagames.comsubagames.com) - из 6,6 млн. пар логин/пароль только 34% оказались уникальными.

🌵 сайт для поиска видеоконтента MeFeedia.comMeFeedia.com - из 1,4 млн. пар логин/пароль 57% никогда ранее не встречались в утечках.

Индийские исследователи из «ShadowMap» обнаружили сервер, на котором в свободном доступе находился файл с резервной копией SQL-базы с данными членов и сотрудников Европейского парламента, Европола и других организаций, связанных с ЕС, а также журналистов. 😂

В SQL-дампе более 16,2 тыс. строк, содержащих:

🌵 имя
🌵 хешированный (с солью) пароль
🌵 адрес электронной почты
🌵 логин
🌵 дата создания профиля

В том числе данные более 200 членов Европарламента, Еврокомиссии и Европейского Совета и более 1000 сотрудников Европарламента.

Кроме того, там содержатся профили более чем 15 тыс. журналистов и членов европейских политических партий.

Самое “смешное” в этом то, что один из членов Европарламента Andreas Schwab, заявил об отсутствии проблемы, т.к. это был старый бекап старого веб-сайта.🤦‍♂️🤦🏻‍♂️ На это ему поступило предложение согласиться с публикацией данных из строки с номером 608. 🤣

«Коммерсантъ» пишет:

Паспортные данные оштрафованных за нарушение самоизоляции в Москве оказались доступны на сайтах для оплаты штрафов по номеру начисления, который можно подобрать перебором с помощью простого софта. Только по состоянию на 10 мая таких штрафов было выписано 35 тыс. В мэрии рекомендуют гражданам не выкладывать в интернет скриншоты штрафов и не передавать их номера третьим лицам.

По уникальному идентификатору начислений (УИН) штрафа за нарушение самоизоляции в Москве в сервисах их оплаты можно обнаружить персональные данные оштрафованного, в том числе фамилию, имя, отчество и паспортные данные.

Чтобы система была защищена от утечек, она должна блокировать попытки многократного введения УИН, а данные должны публиковаться в частично обезличенном виде, рекомендует он. Сайты для оплаты штрафов зачастую не имеют защиты от таких действий — ни ограничения числа запросов, ни даже «капчи» (тест, чтобы определить, является пользователь системы человеком или компьютером), отмечает основатель DeviceLock Ашот Оганесян. Хотя УИН состоит из 20 или 25 цифр, перебор его — простая задача, отмечает он.

Поясним, о чем конкретно идет речь в статье «Коммерсантъ».

Есть сайт «Оплата Госуслуг» (не имеет отношения к Порталу государственных услуг❗️). На этом сайте возможен поиск по УИН (уникальный идентификатор начисления):

https://oplatagosuslug.ru/main/uin/search/

https://oplatagosuslug.ru/main/uin/search/

При поиске не используется CAPTCHA и нет защиты от массовых запросов. 🤦‍♂️

Соответственно, можно перебором УИН найти все начисления. В некоторых начислениях (в частности штрафах за нарушение режима самоизоляции в Москве) указываются персональные данные граждан: ФИО и паспортные данные. 😱

Зная, как формируется УИН можно существенно упростить задачу перебора. УИН состоит из 20 и 25 цифр, последний разряд является контрольным и вычисляется по известной формуле (что позволяет перебирать только валидные номера).

Обработали более 8,7 млн. “расшифрованных” паролей от интернет-магазина одежды romwe.comromwe.com.

91% пар логин/пароль из этой утечки никогда раньше не встречались и являются уникальными. 👍

36-летний житель Курска, перед увольнением из компании, предоставляющей услуги доступа в интернет, скопировал базу данных клиентов.

Полученную информацию злоумышленник использовал для обзвона клиентов с предложением сменить провайдера. 🤦‍♂️

При обыске у подозреваемого изъяли технические средства с базой данных.

Сейчас на жителя Курска возбуждены два уголовных дела по статьям «незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну» и «неправомерный доступ к компьютерной информации». Расследование дела завершено, и материалы направлены в суд для рассмотрения по существу.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

В Git-репозитарий «Confidential and Proprietary» выложили исходники компонентов (Onboard Logic Unit - OLU), инсталлируемых в минивэны и микроавтобусы «Mercedes-Benz».

Всего 75,697 файлов, общим размером 8,3 Гб.

Сообщается, что утечка произошла из незащищенного частного Git-репозитария «Mercedes-Benz».

Вчера СМИ (как русскоязычные, так и англоязычные) раструбили о том, что на Украине был задержан “хакер” Sanix и он, возможно причастен к “утечке” данных известной под именем «Collection #1». 😂

Нам не интересно в этой новости практически ничего, кроме собственно т.н. “утечки” «Collection #1». 👇

Про «Collection #1» мы писали в январе 2019 года. Разумеется, «Collection #1» это, никакая не утечка, это сборная база данных (т.н. combolist), состоящая из пар эл. почта/пароль. 😎

Подобных сборников очень много, включая тематические (крипта, игровые, по странам и т.п.). Даже «Collection #1» не одинок, вместе с ним распространялись «Collection #2», «Collection #3», «Collection #4» и «Collection #5».

Почему некому “хакеру” приписывают причастность только к «Collection #1»? Может, просто других у него на компьютере не было? 🤣

Кстати, на некоторых форумах этот самый Sanix был давно забанен за продажу поддельных (фейковых) баз данных. 🤦‍♂️🤦🏻‍♂️

В самом начале апреля система DeviceLock Data Breach Intelligence обнаружила свободно доступный Elasticsearch-сервер, в индексах которого содержались логи онлайн сервиса по поиску исполнителей «YouDo» (youdo.comyoudo.com).

В логах содержались имена, адреса электронной почты и телефоны около 2 тыс. пользователей сервиса, на чьи объявления был отклик исполнителей.

"message": "[2020-04-04 02:42:09 INF] [fdb90ace-e2df-4897-97ed-1fea7c23f784] Sending email with data: {\"Id\": 15734203, \"Guid\": \"fdb90ace-e2df-4897-97ed-1fea7c23f784\", \"State\": \"Processing\", \"Template\": \"ChosenForExecutor\", \"TemplateVersion\": 1, \"Model\": \"{\\\"Task\\\":{\\\"Id\\\":7213641,\\\"Name\\\":\\\"Написать эссе по персонологии\\\",\\\"Url\\\":\\\"https://youdo.com/t7213641\\\",\\\"IsSbr\\\":true,\\\"Price\\\":\\\"1 320 руб.\\\",\\\"Sbr\\\":{\\\"CardMask\\\":\\\"87\\\",\\\"CardSystem\\\":\\\"Visa\\\"},\\\"Creator\\\":{\\\"Id\\\":6966976,\\\"Url\\\":\\\"https://youdo.com/u6966976\\\",\\\"Name\\\":\\\"Ангелина\\\",\\\"AvatarId\\\":5830754,\\\"PReviews\\\":3,\\\"NReviews\\\":0,\\\"Phone\\\":\\\"+7 985 ***\\\"}},\\\"User\\\":{\\\"Id\\\":7046393,\\\"Name\\\":\\\"Галина\\\",\\\"Verified\\\":true}}\", \"To\": \"<***@gmail.com>\", \"UserId\": 7046393, \"UnsubscribeKey\": null, \"Priority\": \"Medium\", \"From\": null, \"DateCreation\": \"2020-04-04T02:42:06.0279220+03:00\", \"DateSent\": null, \"RequestId\": \"133c4d4d-b924-4a86-a202-69e1c5be8579\", \"Source\": \"TaskMailModelBase`1\", \"$type\": \"MailMessage\"}",

(некоторые данные мы скрыли звездочками)

https://youdo.com/t7213641\\\",\\\"IsSbr\\\":true,\\\"Price\\\":\\\"1 320 руб.\\\",\\\"Sbr\\\":{\\\"CardMask\\\":\\\"87\\\",\\\"CardSystem\\\":\\\"Visa\\\"},\\\"Creator\\\":{\\\"Id\\\":6966976,\\\"Url\\\":\\\"https://youdo.com/u6966976\\\",\\\"Name\\\":\\\"Ангелина\\\",\\\"AvatarId\\\":5830754,\\\"PReviews\\\":3,\\\"NReviews\\\":0,\\\"Phone\\\":\\\"+7 985 ***\\\"}},\\\"User\\\":{\\\"Id\\\":7046393,\\\"Name\\\":\\\"Галина\\\",\\\"Verified\\\":true}}\", \"To\": \"<***@gmail.com>\", \"UserId\": 7046393, \"UnsubscribeKey\": null, \"Priority\": \"Medium\", \"From\": null, \"DateCreation\": \"2020-04-04T02:42:06.0279220+03:00\", \"DateSent\": null, \"RequestId\": \"133c4d4d-b924-4a86-a202-69e1c5be8579\", \"Source\": \"TaskMailModelBase`1\", \"$type\": \"MailMessage\"}",

(некоторые данные мы скрыли звездочками)

Мы немедленно оповестили сервис и буквально через час доступ к серверу был “тихо” закрыт. 👍

Интересно, что данный свободно-доступный сервер не обнаруживался поисковиками BinaryEdge, Shodan и Censys. Его “видел” только ZoomEye. 😎

В Саратове по подозрению в даче взятки (ч. 3 ст. 291 УК РФ) сотруднику УФСБ задержан 23-летний менеджер по продажам одного из сотовых операторов.

Молодой человек имел доступ к базе данных клиентов и предоставил их персональные данные третьим лицам.

Об этом стало известно УФСБ, тогда менеджер решил подкупить офицера, чтобы избежать ответственности. 🤦‍♂️ 12 мая офицер, под контролем коллег, получил от подозреваемого 50 тыс. рублей и взяткодатель был задержан.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

К вчерашней новости про YouDo: 👍

В пресс-службе YouDo подтвердили РИА Новости эту информацию. "С 4 по 5 апреля на нашем сервисе проводились плановые работы. При переносе системы логирования временно был открыт порт, через который было возможно получить доступ к логам файлов, в которых могли содержаться контактные данные незначительной части пользователей. Среди логов не было данных кредитных карт, паролей и других персональных данных, которые могли бы использоваться для несанкционированного доступа к аккаунтам пользователей. Благодаря своевременной информации от коллег из DeviceLook данная возможность была закрыта", - сказал собеседник агентства.

Данные части пользователей YouDo временно оказались в доступе в Сети: https://ria.ru/20200521/1571761444.html

Крупная утечка пользователей популярного мобильного приложения «Wishbone» (wishbone.iowishbone.io), позволяющего сравнивать различные продукты между собой и голосовать за них. 🔥🔥

В MySQL-дампе 40,272,374 строки (после нормализации), содержащих:👇

🌵 полное имя
🌵 логин
🌵 адрес эл. почты
🌵 номер моб. телефона
🌵 пол
🌵 дата рождения
🌵 страна (30,084 профилей из России)
🌵 идентификаторы Facebook и Twitter
🌵 хешированный (MD5) пароль (для более чем 10,6 млн. записей)
🌵 токен доступа Facebook или Twitter (для остальных 29,6 млн. записей)
🌵 дата создания/обновления/удаления профиля (с 07.05.2014 по 27.01.2020)

Сначала этот дамп продавался за 0,85 биткоина (около $7,6 тыс.), но буквально на следующий день он был выложен в свободный доступ.

Дамп датируется 27.01.2020 (подтверждается данными в нем) и скорее всего представляет из себя резервную копию базы приложения, оставленную на открытом сервере.

На текущий момент “расширфовано” более 8,6 млн. хешированных паролей и скоро мы опубликуем их анализ на уникальность. 😎

Как и обещали утром, обработали 8,6 млн. паролей из утечки мобильного приложения «Wishbone».

Почти на 93% пары логин/пароль оказались уникальными и ранее не встречались в других утечках. 👍


Еще из интересного:

✅ В базе 54 записи, принадлежащих пользователям с правами администратора (определяется по колонке «is_admin»).

✅ Из них у 40 пользователей присутствует хешированный (MD5) пароль. Остальные аутентифицируются по токенами Facebook или Twitter. 🤣

✅ Для 38 администраторов пароли были “восстановлены” из хешей и среди них нет ни одного стойкого пароля. 🤦‍♂️

✅ Все пароли администраторов «Wishbone» либо из словаря (есть даже несколько из нашего топа паролей), либо представляют собой номер телефона пользователя (соседняя колонка в этой же базе). 🤦🏻‍♂️🙈

В Челябинске районный суд вынес приговор по уголовному делу 21-летней сотруднице оператора сотовой связи, которая продавала данные о переговорах клиентов третьим лицам.

Установлено, что девушка, являясь должностным лицом одного из операторов сотовой связи, не имея законных оснований, скопировала на свое мобильное устройство файл, содержащий информацию о телефонных переговорах потерпевшего. После чего за денежное вознаграждение передала неустановленному лицу незаконно полученную информацию. Ее обвинили в совершении преступления, предусмотренного ч.2 ст.138 УК РФ (нарушение тайны переписки, телефонных переговоров и иных сообщений граждан, совершенное лицом с использованием своего служебного положения).

Фактически девушка занималась  “мобильным пробивом”, являясь нанятым инсайдером (про вербовку сотрудников сотовых операторов и банков мы писали тут).

Свою вину она полностью признала, судом ей назначено наказание в виде штрафа размером в 10 тыс. рублей.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: 👇

https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html

В феврале 2019 года хакер Gnosticplayers получил доступ к данным 3,9 млн. пользователей японского мобильного приложения управления задачами LifeBear.comLifeBear.com. Утекли имена, адреса электронной почты и хешированные (MD5) пароли.

"Расшифровано" 1,3 млн. паролей из этой утечки. Мы проверили пары логин/пароль и почти 95% из них оказались уникальными.

В апреле 2019 дамп этой утечки был выставлен на продажу за 0,2618 биткоина, пользователем Gnosticplayers, который также продавал дампы Zynga, MyHeritage, MyFitnessPal, 500px и др.

В открытый доступ выложили список клиентов интернет-магазина газового оборудования «Гейзер» (kupi-kotel.rukupi-kotel.ru).

В базе формата Cronos 8,117 записей, содержащие данные клиентов, обслуживающих газовые котлы:

🌵 ФИО
🌵 номер телефона
🌵 адрес установки
🌵 номер и сумма договора обслуживания

В данной утечке нас заинтересовала не сама база клиентов (подобных баз очень много и про все писать смысла нет), а то, как она была получена. 👇

Оказывается, интернет-магазин сам открыл доступ к своей CRM-системе. Любой, зная URL-адрес может получить доступ к базе клиентов и договоров. 🤦‍♂️

Более того, URL-адрес попал в индекс Google и легко находится определенным поисковым запросом. 🙈

Обработали почти 2 млн. паролей из утечки 2011 года базы пользователей южнокорейского игрового портала gamess.co.krgamess.co.kr.

Примечательно в этой утечке то, что все пароли хранились в открытом (текстовом) виде и их даже не пришлось восстанавливать из хешей. 🤦🏻‍♂️

Почти 92% пар логин/пароль из этой утечки никогда ранее не встречались в других утечках пользовательских данных. 👍

В июле 2019 г. разработчик «Comodo» - компании, занимающейся информационной безопасностью (в том числе выдачей цифровых сертификатов), допустил утечку учетной записи для доступа к облачным сервисам OneDrive и SharePoint компании.

В сентябре 2019 г. были взломаны форумы «Comodo». Тогда утекли данные около 245 тыс. зарегистрированных пользователей: имена, эл. почта, даты рождения, IP-адреса, хешированные (MD5) пароли и т.п. 😱

А вчера в продаже появилась новая база данных пользователей тех же самых форумов (forum.comodo.com, forum.itarian.com, forum.nusec.com, forum.nuwire.comforum.comodo.com, forum.itarian.com, forum.nusec.com, forum.nuwire.com). 🤦‍♂️ Взлом произошел в мае 2020 г.

За полный дамп, содержащий, в том числе хешированные пароли, продавец хочет получить 1 биткоин (около $8,8 тыс.). 🤷‍♂️