🔥🔥🔥 https://habr.com/ru/post/490786 🔥🔥🔥

Несколько дней назад исследователь безопасности 0xyzq (в его Twitter еще несколько очень интересных находок!) прислал нам информацию по обнаруженному серверу с открытой директорией, на котором в открытом доступе находились не просто персональные (ФИО, телефоны, эл. почты, места работы и т.п.) и банковские (номера счетов и карт, даты истечения карт) данные клиентов одного из российских банков, но и инструменты для их получения. 😱

Мы проанализировали эти инструменты и получилась довольно большая статья для Хабра.

В свободный доступ на русскоязычном форуме выложили два текстовых файла (mail_ru_1.csv и mail_ru_2.csv) с информацией о сотрудниках «Mail.ru Group». В файлах 4,078 и 3,317 строк соответственно, содержащих:

🌵 ФИО
🌵 название подразделения (business unit)
🌵 адрес корпоративной эл. почты
🌵 юрлицо (Мэйл.Ру, Ситимобил, Имплат, Деливери Клаб и т.п.)
🌵 тип сотрудника (постоянный, удаленщик, декрет и т.п.)
🌵 SN (видимо серийный номер?)
🌵 дата (с 24.01.2020 по 31.01.2020)

Позже архив с этими файлами был “слит” через известную Telegram-помойку. 🤣

Также на форуме уже доступен и конверт этих файлов в формат Cronos. После конвертации и очистки от мусора и дублей получилось 4,315 строк. 👍

Официальный комментарий пресс-службы «Mail.ru Group»:

"Документ был создан для раздачи корпоративных подарков. Мы не планировали его публикацию, но не видим в ней каких-либо последствий для компании и коллег: там нет персональных данных или другой чувствительной информации"

В мае 2018 мы писали про то, что ФБР обнаружили инсайдера, слившего Викиликс информацию, опубликованную в рамках проекта "Vault 7", про инструменты кибершпионажа ЦРУ (про этот инструментарий у нас тоже есть отдельная статья).

Сейчас над Джошуа Адаме Шульте (Joshua A. Schulte) идет суд, на котором всплывают весьма интересные технические детали. 🤣

В частности, нас заинтересовали пароли, которые использовали в ЦРУ.

Например, для виртуальной машины с «Confluence», в которой содержались все похищенные инструменты кибершпионажа ЦРУ пароль был «123ABCdef», а пароль для основного сервера разработки – «mysweetsummer». 🤦‍♂️🤦🏻‍♂️🙈

Пароли были известны всей команде разработки ЦРУ Operational Support Branch (OSB) и публиковались на внутреннем портале.

Примечательно, что ни первый, ни второй пароли не входят в Топ-100 самых популярных паролей. Наше исследование паролей: 👇
https://www.devicelock.com/ru/blog/analiz-5-mlrd-parolej-chast-tretya.html

«Известия» пишут про утечку из криптовалютного фонда «Trident Crypto Fund», про которую мы писали тут: https://xn--r1a.website/dataleak/1521 и тут: https://xn--r1a.website/dataleak/1527.

«Известиям» удалось дозвониться до одного из пользователей, информация о котором содержится в базе. Он подтвердил, что регистрировался на сайте Trident Crypto Fund для участия в обучающем семинаре, но деньги не вкладывал. Он также сказал, что администрация сайта не предупредила его о возможной компрометации паролей для входа в личный кабинет.

Вчера написали про то, что ЦРУ использовало (и скорее всего продолжает использовать) слабые пароли для доступа к своим инструментам кибершпионажа.

В связи с этим решили посмотреть, а насколько популярные эти пароли и как часто они встречаются в коллекции из почти 5 млрд. утекших логинов/паролей. 😎

Выяснилось, что не такие это и популярные пароли:

✅ «123ABCdef» – встречается 457 раз
✅ «mysweetsummer» – встречается ровно 1 раз

Для сравнения, самый популярный пароль «123456» встречается 33,653,000 раз, похожий пароль «123abc» – 495,858 раз, а замыкающий Топ-100 популярных паролей «159357» – 457,074 раз. 🤷‍♂️

В декабре 2019 г. была обнаружена открытая база с данными 267 млн. Facebook-пользователей.

А сейчас Bob Diachenko обнаружил копию этой же базы на другом сервере. К тем же самым 267 млн. записям добавилось еще 41,8 млн. строк.

25 млн. “новых” строк содержали:

✅ Facebook-идентификатор
✅ номер телефона
✅ Facebook-логин (имя пользователя)

16,8 млн. “новых” строк содержали:

✅ Facebook-идентификатор
✅ номер телефона
✅ адрес электронной почты
✅ детали Facebook-профиля

Что интересно, через день после обнаружения база была уничтожена неизвестными – все персональные данные были стерты, а индексы Elasticsearch переименованы в “please_secure_your_servers”.

25-летнего сотрудника салона связи в Красноярске осудили за незаконную продажу данных абонентов «Билайн».

Молодого человека задержали в мае 2019 года. Используя свое служебное положение, он за денежное вознаграждение, передавал неправомерно скопированные из базы данных оператора персональные данные, а также сведения о телефонных соединениях абонентов. Заказы поступали через популярный мессенджер. Всего было выявлено и задокументировано четыре случая продажи данных. Про “мобильный пробив” мы писали тут.

Молодому человеку предъявили обвинение по ч. 2 ст. 138 УК РФ (Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений) и ч. 3 ст. 272 (Неправомерный доступ к компьютерной информации).

Приговором бывший сотрудник признан виновным и ему назначено наказание в виде 1 года 7 месяцев ограничения свободы.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

23 января 2020 года DeviceLock Data Breach Intelligence обнаружила очередной свободно доступный Elasticsearch-сервер с данными системы подбора грузового такси «MOVER» (mover24.ru).

Мы оповестили владельцев сервера и на следующий день Elasticsearch исчез из открытого доступа.

В индексе «mover» находилось около 200 тыс. записей, содержащих данные заказов.

"search_string": "48920 ***ёв Сергей ***ич 7910*** ***иев Исмаил ***ич 796*** GAZelle Бизнес Х***ВК750 Фургон 123181, г.Москва, ул.Маршала Катукова, д.*** 125599, г.Москва, ул.Ижорская, вл.*** 123181, г.Москва, ул.Маршала Катукова, д.*** 125599, г.Москва, ул.Ижорская, вл.***"

(реальные данные скрыты нами)

Утром написали про обнаруженный Elasticsearch-сервер сервиса подбора грузового такси «MOVER», а сейчас в открытом доступе появились данные, скачанные с этого сервера. 😱

Это в очередной раз доказывает, что практически каждый инцидент с открытой базой данных (не важно MongoDB или Elasticsearch), можно и нужно считать утечкой.

Если со стороны владельцев обнаруженного открытого сервера не следует мгновенной реакции в виде закрытия доступа к ресурсу, то данные этого сервера выкачиваются многочисленными “охотниками” за информацией. 😎

В связи с тем, что в открытом доступе снова оказалась база данных Facebook-пользователей, решили написать немного о цене этой информации на черном рынке.

В данный момент в продаже находятся несколько баз пользователей данной социальной сети: 👇

💰 350 млн. записей с профилями пользователей по всему миру (если пользователи открывали публичный доступ к их телефонам и адресам электронной почты, то они также попали в эту базу) - $5,000

💰 более 100 млн. записей с профилями пользователей из США, обогащенные номерами телефонов из внешних источников - $15,000

💰 более 40 млн. записей с профилями пользователей из США, обогащенные номерами телефонов и адресами электронной почты из внешних источников - $40,000

Профили пользователей включают в себя: идентификаторы Facebook и всю информацию, которую указали о себе сами пользователи.

Вся эта информация изначально получалась через официальный API, который функционировал до весны 2018 года, пока социальная сеть не запретила доступ к номерам телефонов и адресам электронной почты своих пользователей, после скандала с «Cambridge Analytica». 😎

СМИ сообщают, что северная транспортная прокуратура выявила утечку полной базы экспортно-импортных операций России за восемь лет:

Установлено, что на одном из сайтов указано на наличие в продаже полной, регулярно обновляющейся таможенной базы данных по всем экспортно-импортным операциям российских компаний за 2012-2019 годы.

Прокуратура направила в районный суд Москвы административный иск о признании информации запрещенной на территории России. Суд удовлетворил требования в полном объеме. После вступления в силу решение суда будет направлено в Роскомнадзор.

Речь идет об уже (стопятсот раз) заблокированном форуме «phreaker». Таможенные базы там выкладывались регулярно, однако продажа "материала" на форуме строго запрещена, поэтому, разумеется, ничего не продавалось, а раздавалось бесплатно или в обмен на другие базы. 🤦‍♂️

«Phreaker» не работает уже второй день, а на другом англоязычном форуме появилось объявление о покупке базы его пользователей. 🤣

Кстати, российские и украинские таможенные базы (см. предыдущий пост) выкладываются регулярно и на англоязычные форумы. 🙈

Руководителя одного из отделов сотовой компании в Сарове подозревают в продаже распечатки входящих и исходящих звонков по номеру клиента.

По версии следствия, в июле 2018 года 25-летний мужчина, используя свой логин, со своего рабочего компьютера, подключился к базе данных и получил сведения об исходящих и входящих звонках одного из абонентов компании. После этого он их продал третьему лицу. Про “мобильный пробив” читайте тут.

Уголовное дело возбуждено по признакам ч. 3 ст. 272 УК РФ (неправомерный доступ к компьютерной информации с использованием служебного положения). Законом предусмотрено лишение свободы на срок до пяти лет.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

В Петербурге полицейские задержали 21-летнего молодого человека по подозрению в продаже фейковых аккаунтов для каршеринга.

По версии следствия, с июня по октябрь 2019 года Роман Амелин зарегистрировал на подставных лиц десятки учетных записей для доступа к сервисам каршеринга.

Подозреваемый покупал по 500 руб. персональные данные людей (сканы паспортов и водительских прав, а также селфи с паспортами) из разных регионов России, которые обращались в микрофинансовые организации, после чего регистрировал аккаунты в сервисах каршеринга и продавал их уже по цене от 2 до 5 тысяч рублей.

Обвинение в совершении преступления, предусмотренного частью 1 статьи 272 УК РФ (неправомерный доступ к компьютерной информации), ему уже предъявлено. Санкция статьи предусматривает штраф, исправительные работы или заключение на срок до двух лет. Подозреваемый находится под домашним арестом.

Австралийский образовательный ресурс «K-7 Maths» (k7maths.com, k7math.com, schoolcentre.com.au) оставил в открытом доступе Elasticsearch-сервер с более чем 1 млн. данных своих пользователей. 🙈

В индексе users находится 1,081,022 записей, содержащих:

🌵 имя/фамилия
🌵 адрес электронной почты
🌵 дата регистрации (первая регистрация – 18.07.2008, последняя – 14.03.2020), истечения подписки, последней рассылки и последнего входа в систему
🌵 хешированный (bcrypt с солью) пароль
🌵 тип подписки (trial, personal)
🌵 идентификаторы подписки и заказа

В индексе orders находится 14,522 записей, содержащих:

🌵 имя/фамилия плательщика
🌵 идентификатор пользователя из индекса users
🌵 дата заказа (первый – 16.03.2009, последний – 14.03.2020)
🌵 название школы
🌵 статус заказа (complete)
🌵 тип лицензии (Personal License, Personal License Extension)
🌵 способ оплаты (bank_transfer, credit_card_pin)

Сервер находится в открытом доступе с 16.06.2019 и разумеется все эти данные уже были скачаны и выложены на одном из форумов. 🤦‍♂️

8 марта 2020 года DeviceLock Data Breach Intelligence обнаружила свободно доступный Elasticsearch-сервер с информацией платформы для рекрутмента «Potok» (potok.io).

Мы немедленно оповестили владельцев сервера по электронной почте, однако никакой реакции за этим не последовало. Через 2 дня мы повторно сообщили о проблеме через приватное сообщение на официальной странице в Facebook – опять никакой реакции. Помог только публичный пост в Facebook, после которого был получен ответ “спасибо” и сервер с данными наконец исчез из открытого доступа (12.03.2020). 🤦‍♂️

По данным поисковика Shodan, этот сервер оказался в открытом доступе 03.03.2020. 🙈

В свободном доступе находились индексы «jobs_», «offers_» и «applicants_».

В индексе «applicants_» на момент обнаружения было 5,861,256 записей, содержащих данные кандидатов: 👇

🌵 ФИО (на русском и латиницей)
🌵 телефоны (включая мобильный номер)
🌵 адрес электронной почты
🌵 город
🌵 подробное резюме (включая такие данные, как дата рождения, место жительства, места работы и т.п.)
🌵 многое другое

"_type": "applicant",
"_id": "6629160",
"email": "***@mail.ru",
"title": "Директор по строительству",
"company_id": 1409,
"created_at": "2020-03-09T18:39:04.828+03:00",
"source_id": 403,
"salary": null,
"schedule": [],
"city": "1",
"company_partner_id": null,
"resumes": [
{
"id": 10600918,
"cv_text": "Директор по строительству,
…
"agreement_confirmed": "not_sent",
"status": "active",
"address": null,
"source_type": "Добавлен",
"source_type_code": "sourced",
"fio": "Марина *** ***",
"fio_tr": "Marina *** ***",
"phones": ["7915***"],
"jobs_aggs": 1,

(реальные данные скрыты нами)

Данные индексов «jobs_» (более 158 тыс. записей), «offers_» (более 1,2 тыс. записей) и «applicants_» (более 5,8 млн. записей), находившегося с 03.03.2020 по 12.03.2020 в открытом доступе Elasticsearch-сервера платформы для рекрутмента «Potok» (potok.io).

Сотрудник компании сотовой связи в Челябинской области продавал персональные данные абонентов.

По данным следствия, в 2019 году специалист, работавший в офисе одного из операторов, имея доступ к сведениям ограниченного доступа, собрал и продал персональные данные 10 абонентов.

В отношении этого сотрудника возбуждено уголовное дело по ч. 2 ст. 137 УК РФ (нарушении неприкосновенности частной жизни).


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

В открытый доступ выложили данные, похищенные у клиники «Advanced Urgent Care» (urgentcarefloridakeys.com) из Ки-Уэст (штат Флорида, США). 🚑🏥

Клиника отказалась платить выкуп вымогателям и они “слили” 12 Гб файлов на один из форумов. 💰

Среди утекших файлов попадаются копии банковских чеков, отчеты по оплатам и даже списки пациентов с персональными данными (около 10 тыс. строк):

🌵 имя/фамилия
🌵 адрес
🌵 телефон
🌵 дата рождения
🌵 номер карточки социального страхования (SSN)

Судя по всему, файлы были украдены в марте этого года.

12 марта 2020 года наша система DeviceLock Data Breach Intelligence обнаружила свободно доступный Elasticsearch-сервер с информацией образовательного онлайн-сервиса для поиска репетиторов и тренеров «UpStudy» (upstudy.ru).

В открытом доступе находилось 4 индекса:

🌵 arrangement – 3,569 записей
🌵 default – 105,337 записей
🌵 upstudy – 10,363 записей
🌵 repetitor – 56,326 записей

В индексе «upstudy» содержались данные заказов (более 2,5 тыс.), также включающие в себя персональные данные репетиторов и студентов.

🌵 стоимость заказа
🌵 описание заказа
🌵 дата заказа
🌵 ФИО репетитора и студента
🌵 дата рождения репетитора и студента
🌵 пол репетитора и студента
🌵 телефон репетитора и студента
🌵 почтовый адрес репетитора и студента
🌵 адрес электронной почты репетитора и студента

"REPETITOR": {
"ID": "21826",
"NAME": "Нелля",
"ACTIVE": "Y",
"LAST_NAME": "***",
"SECOND_NAME": "",
"DATE_REGISTER": "12.10.2015 14:03:50",
"LAST_LOGIN": "07.09.2016 12:24:22",
"FULL_NAME": "*** Нелля ",
"EMAIL": "***@mail.ru",
"PERSONAL_STREET": "Седова",
"PERSONAL_BIRTHDAY": "***.1990",
"PERSONAL_MOBILE": "+7 (921) ***",
"LOGIN": "***@mail.ru",
"PERSONAL_GENDER": "F",

(реальные данные скрыты нами)

В индексе «default» содержались данные около 25 тыс. зарегистрированных пользователей сервиса (студентов):

🌵 ФИО
🌵 пол
🌵 почтовый адрес
🌵 телефон
🌵 адрес электронной почты
🌵 дата рождения
🌵 дата регистрации и последнего входа в систему

В теории база могла быть “тестовая” (это самое любимое оправдание всех компаний, допустивших подобные утечки 🤣), поэтому для проверки мы зарегистрировались на сервисе и затем обнаружили эти данные в базе:

"USER": {
"NAME": "Ашот",
"ACTIVE": "Y",
"LAST_NAME": "",
"SECOND_NAME": "",
"DATE_REGISTER": "14.03.2020 16:52:08",
"LAST_LOGIN": "14.03.2020 16:52:16",
"FULL_NAME": " Ашот ",
"EMAIL": "ashot@devicelock.com",
"PERSONAL_STREET": "тестовая",
"PERSONAL_BIRTHDAY": "01.01.2020",
"PERSONAL_MOBILE": "+7 (999) 123 45 67",
"LOGIN": "ashot@devicelock.com",
"PERSONAL_GENDER": "M",

12.03.2020 мы уведомили сервис об обнаруженной проблеме, однако никакого ответа не получили. Через 2 дня мы повторно сообщили о проблеме через приватное сообщение на официальной странице сервиса в Facebook – и опять никакой реакции. 16.03.2020 было написано публичное оповещение через Facebook. Однако, сервер с данными был убрал из свободного доступа только 17.03.2020. 🙈

Необходимо отметить, что данный Elasticsearch-сервер впервые появился в открытом доступе 26.06.2019, но потом был закрыт и повторно “всплыл” уже только 10.03.2020. 🤦‍♂️🤦🏻‍♂️

«Известия» пишут:

В открытом доступе оказался сервер с персональной информацией клиентов сервиса «Премиум бонус», которая обеспечивает программы лояльности популярным кафе и ресторанам (например, «Му-Му», «Жан Жак», «Империя пиццы»). Об этом «Известиям» рассказал основатель и технический директор DeviceLock Ашот Оганесян, он обнаружил базу данных 16 марта.

«Известия» ознакомились с фрагментами базы данных. В клиентских записях присутствовали полные имена, фамилии и отчества покупателей, даты рождения, e-mail, мобильные телефоны, адреса доставки, сумма и состав заказов. В частности, на открытом сервере хранилась информация о посетителях ресторанов «Му-Му», «Жан- Жак», «Империя пиццы», «Тарелка», «Ташир Пицца», «Грузинские каникулы», «Джон Донн», «Тапчан», «Контакт бар», а также о покупателях магазинов «Органик Маркет», French Kiss, «Добрынинский и партнеры», «Интермода»


Технические подробности этой утечки мы опишем завтра. 😎