В конце марта мы писали (https://yangx.top/dataleak/890) об обнаружении в открытом доступе базы данных заказов на квесты «Клаустрофобии» (claustrophobia.com).

Обнаруженный нами тогда Elasticsearch-сервер содержал 1,068,927 заказов клиентов и был закрыт после нашего оповещения 31.03.2019.

Однако, как оказалось история на этом не закончилась. 10.11.2019 наша система DeviceLock Data Breach Intelligence обнаружила свободно доступный сервер Elasticsearch на том же самом IP-адресе, с тем же самым индексом «phobia-master», но уже содержащем 1,151,900 заказов. 🤦🏻‍♂️

Судя по данным поисковика Shodan, сервер повторно оказался в открытом доступе в тот же самый день - 10.11.2019.

Мы немедленно уведомили «Клаустрофобию» и к вечеру 11.11.2019 сервер исчез из свободного доступа. На момент закрытия на сервере находилось 1,152,268 заказов.

Каждый заказ содержал в себе: 👇

🌵 дату и время
🌵 название квеста
🌵 адрес квеста
🌵 стоимость
🌵 количество игроков
🌵 способ оплаты
🌵 статус квеста (пройден, не пройден)
🌵 имя игрока, делавшего заказ
🌵 телефон игрока, делавшего заказ
🌵 адрес электронной почты игрока, делавшего заказ
🌵 ссылку на фотографию команды


Это второй случай крупной утечки данных в нашей практике, когда один и тот же сервер появляется в свободном доступе повторно, после оповещения. 🤦‍♂️

Первый раз такое произошло (https://yangx.top/dataleak/1062) с сервером базы данных сайтов, осуществляющих платежи в пользу ГИБДД и ФССП: оплатагибдд.рф, paygibdd.ru, gos-oplata.ru, штрафов.net и oplata-fssp.ru. 🙈

🔥 Подборка самых интересных каналов про IT, хакинг и безопасность.

CyberYozh - бесплатный курс по анонимности и безопасности в сети. Истории ошибок и арестов известных киберпреступников, тайные технологии защиты информации, ловушки для хакеров и многое другое.

@webware - хакинг от новичка до профи. Только свежая и эксклюзивная информация. Offensive, Defensive, Penetration test, CTF…

@vschannel - канал Дмитрия Момота, известного в сети под псевдонимом VektorT13. Он пишет про уникализацию, антидетекты, методики отслеживания, анти-фрод системы, отпечатки браузера, железа и операционной системы.

@SecLabNews - канал русскоязычного новостного портала SecurityLab.ru, оперативно публикующего информацию о последних новостях IT-безопасности в России и мире.

@exploitex - DDoS атаки и вирусы, обзоры хакерских девайсов и жучков, гайды по взлому и секреты анонимности в интернете.

В свободный доступ выложили дамп 2016 года ныне закрытой криптовалютной биржи «BTC-E». Летом 2017 года биржа была закрыта, а серверы и активы, расположенные в США, арестованы ФБР. 😂

Дамп уже переведен в формат Cronos и содержит следующие столбцы:

🌵 Username
🌵 Email
🌵 Usd
🌵 Btc
🌵 ltc

Всего 568,356 записей.

Твиттер-пользователь @0xTay выложил в открытый доступ полный SQL-дамп базы итальянского провайдера IP-телефонии cheapnet.it. 🔥

Дамп датируется 5.11.2019 и помимо данных клиентов сервиса содержит логины и пароли (в открытом виде 🤦‍♂️) к панелям управления самого сервиса.

Например, таблица пользователей насчитывает 316,573 записи:

🌵 имя пользователя
🌵 адрес электронной почты
🌵 телефон
🌵 факс
🌵 дата создания
🌵 хешированный (SHA-1) пароль

Кроме того, есть отдельная таблица с расширенной информацией о пользователях, содержащая 28,367 строк:

🌵 полное имя
🌵 дата рождения
🌵 имя пользователя
🌵 ИНН
🌵 адрес
🌵 название компании
🌵 и многое другое

Житель города Копейск (Челябинская область) договаривался с работниками компаний-операторов сотовой связи о продаже базы телефонных номеров и затем перепродавал полученные сведения. С клиентами мужчина связывался посредством неназванных "популярных мессенджеров". Скорее всего речь идет о Telegram. 😎 Этой деятельностью он занимался больше года, прежде чем его поймали сотрудники УФСБ России по Челябинской области.

Речь идет о продаже номеров более ста абонентов. Это редчайший случай, когда был пойман посредник, предлагавший услуги "мобильного пробива". Подробнее в отчете «Цены российского черного рынка на пробив персональных данных».

Суд признал мужчину виновным в незаконном получении и разглашении информации, которая составляет коммерческую тайну (ч.3 ст. 183 УК России) и приговорил к двум годам лишения свободы условно.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: 👇

https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html

Документы с историями болезней, индивидуальными картами беременных и рожениц с указанием анкетных данных, адресами, диагнозами и результатами обследований были обнаружены местными жителями на проезжей части в городе Павловске, Воронежской области.

По словам очевидцев, карты больных выпали из грузовика, который выехал с территории Павловской районной больницы.

Главврач больницы говорит, что скандал поднимают «потому что это кому-то выгодно» и обращает внимание на то, что на фото очень старые карты (виден год – 1987-й и бланк СССР) и их срок хранения истёк. По его словам, после марта – апреля 2019 года медицинская документация из архива не вывозилась.

В открытый доступ выложили файл “СНС c 01.01.2019 по 28.10.2019.xlsx”, размером 42 Мб, содержащий 60,561 строк с информацией службы доставки.

Данные в этом файле похожи на выборку (фильтр) по одному из полей из другого файла, содержащего 1,048,575 строк. 😎

Список полей: 👇

🌵 Номер заказа PonyExpress
🌵 Дата заказа
🌵 Клиентский номер заказа
🌵 Договор плательщика в заказе
🌵 № перевозки
🌵 Код получателя
🌵 Номер накладной
🌵 Дата накладной
🌵 Месяц
🌵 Дата создания заказа
🌵 Время создания заказа
🌵 Откуда
🌵 Узел отправления
🌵 Компания-отправитель
🌵 Куда
🌵 Узел получения
🌵 Компания-получатель
🌵 Адрес получателя
🌵 Фамилия получателя
🌵 Телефон получателя
🌵 Мест
🌵 Вес
🌵 Контрольный вес
🌵 Объёмный вес
🌵 Услуга
🌵 Спецуслуга
🌵 Дата оплаты
🌵 Осн. тариф
🌵 Доп. тариф
🌵 Дата внесения СДД
🌵 СДД
🌵 Дата доставки (факт.)
🌵 Время доставки
🌵 Получил
🌵 Описание вложения
🌵 Примечание отправителя
🌵 Номер курьера
🌵 Курьер
🌵 Статус
🌵 Код последней проблемы
🌵 Тип проблемы
🌵 Примечание к проблеме
🌵 Стоимость заказа
🌵 Принято денег
🌵 Стоимость всех товаров заказа
🌵 Стоимость возвращённых товаров
🌵 Способ оплаты
🌵 % за наличный расчет
🌵 % за кредит. карту
🌵 Дата КП
🌵 Время КП
🌵 Логин торгового представителя
🌵 Местонахождение в настоящий момент
🌵 Узел регистрации местонахождения
🌵 Оператор ПВЗ
🌵 Код ПВЗ
🌵 Истек срок хранения
🌵 Номер возвратной накладной
🌵 Дата создания возвратной накладной
🌵 Город отправителя возвратной накладной
🌵 Адрес отправителя возвратной накладной
🌵 Адрес консолидационного пункта
🌵 Адрес получателя возвратной накладной
🌵 Услуга возвратной накладной
🌵 Тариф возвратной накладной
🌵 Местонахождение возвратной накладной
🌵 Дата события местонахождения возвратной накладной
🌵 Тип возврата
🌵 POD по возвратной накладной
🌵 Дата POD по возвратной накладной
🌵 Режим доставки по договору
🌵 Вид оплаты в заказе
🌵 Плательщик в заказе
🌵 Дата оплаты OnLine

Файл “СНС c 01.01.2019 по 28.10.2019.xlsx” с информацией службы доставки (предположительно «PonyExpress»): https://yangx.top/dataleak/1371

Приглашаем 4 декабря на 7-ю практическую конференцию "Конкурентная разведка&Экономическая безопасность" (КРЭБ).

В фокусе обсуждения - трансформация функций корпоративной безопасности в свете цифровой трансформации бизнеса, современные методы информационно-аналитической работы и разведки в Интернете, противодействие внутреннему мошенничеству и коррупции, кадровая безопасность, и конечно же, борьба с утечками информации. 🔥

С докладом "Обзор российского черного рынка персональных данных" выступит основатель и технический директор DeviceLock Ашот Оганесян. 👌

Также в числе спикеров и экспертов круглых столов: замначальника управления по борьбе с картелями ФАС России Антон Тесленко, начальник СЭБ Сбербанка Сергей Чупров, ведущий российский эксперт по конкурентной разведке Андрей Масалович, вице-президент международного сообщества по корпоративной безопасности ASIS Дмитрий Буданов и другие.


Подробности и регистрация по ссылке: 👇
https://vipforum.ru/conferences/kreb/

Для подписчиков нашего канала действует скидка 15% по промокоду #утечкамнет 👍

1️⃣ В июле 2019 года был взломан онлайн-сервис по созданию комиксов «Toondoo». В открытый доступ утекли данные 6,034,161 пользователей, содержащие: эл. почту, IP-адреса, логины, пол, местоположение и хешированные (с солью) пароли.

Мы добавили 4,2 млн. расшифрованных паролей из этой утечки в нашу коллекцию. Почти 84% пар логин/пароль оказались уникальными. 👍

2️⃣ В конце прошлого года от утечки пострадала компания «BlankMediaGames», производящая браузерную игру «Town of Salem». Утекло 8,388,894 аккаунтов игроков, содержащих: эл. почту (всего 7,633,234 уникальных адресов), IP-адреса, логины, данные по активности в игре и на форуме, хешированные пароли и даже платежная информация. 😱

Сейчас в свободном доступе находится более 4,8 млн. расшифрованных паролей из этой утечки, причем 62% пар логин/пароль никогда ранее не встречались в утечках.

Ранее писали, что была обнаружена база данных ГИБДД с информацией по регистрационным действиям в Москве и МО за за период с января по март 2019 года: https://yangx.top/dataleak/1349

Сейчас в свободном доступе на нескольких форумах распространяется обновление этой базы за май 2019 года (всего 128,599 строк): 🔥

🌵 Телефон
🌵 Дата
🌵 номер
🌵 Старый номер
🌵 Марка
🌵 Модель
🌵 Год выпуска
🌵 VIN
🌵 двигатель
🌵 Серия СОР
🌵 № СОР
🌵 Серия ПТС
🌵 № ПТС
🌵 Фамилия (орг)
🌵 Имя
🌵 Отчество
🌵 Дата рождения
🌵 № удост.лич.
🌵 Дата выдачи уд. Личн.
🌵 Кем выдано уд.лич.
🌵 Нас. пункт
🌵 Ул.
🌵 Дом
🌵 Кор.
🌵 Кв.
🌵 Стоимость авто
🌵 Дата выдачи ПТС

Неделю назад писали о том, что была взломана база данных образовательной онлайн-платформы «Учи.ру» и утекли 50 тыс. записей пользователей этой платформы, а сейчас в свободном доступе появились данные пользователей межвузовской площадки электронного образования «Универсариум» (universarium.org). 😱

В распространяемом текстовом файле находится 568,784 строк, содержащие:

🌵 ФИО
🌵 адрес электронной почты
🌵 номер телефона (всего 17,4 тыс. записей)

Судя по всему, данные получены в ноябре 2019 года. 😎

Хакер называющий себя Phineas Fisher, который в 2015 взломал и выложил данные итальянской компании «Hacking Team», в 2016 году получил доступ к ИТ-системам и базам данных банка «Cayman National Bank & Trust Company (Isle of Man) Limited». 🔥🔥

Сейчас хакер выложил в свободный доступ более 2Тб данных банка, обслуживающего офшорные компании (около 1,500 счетов). 👍

Файлы можно скачать с сайта «Distributed Denial of Secrets (DDoS)»: https://data.ddosecrets.com/file/Sherwood/

1️⃣ В мае 2019 г. хакер Gnosticplayers (https://yangx.top/dataleak/1359) получил доступ к 139 млн. пользователей сервиса графического дизайна «Canva». 🔥

В открытом доступе 1,2 млн. расшифрованных паролей, но всего 6% пар логин/пароль – уникальные. 😂

2️⃣ Сервис хостинга анимированных GIF-файлов «Gfycat» был взломан тем же самым Gnosticplayers. Пострадало 8 млн. записей.

Расшифровано 147 тыс. паролей и 62% пар логин/пароль раньше не встречались в утечках. 👍

3️⃣ 41 млн. пользователей сервиса «ShareThis», обеспечивающего расшаривание веб-страниц в соцсетях, также пострадали от Gnosticplayers в этом году.

Из 2 млн. расшифрованных паролей, 72% - уникальные. 👍

4️⃣ Форум музыкальной игры «Flash Flash Revolution» был взломан дважды – в феврале 2016 г. и в июле 2019 г. 🤦🏻‍♂️ Уязвимость в vBulletin позволила злоумышленникам слить более 4 млн. записей: эл. почту, IP-адреса и хешированные (MD5 с солью) пароли.

Сейчас расшифровано 4,9 млн. паролей из этих двух утечек, но только 1,5% пар логин/пароль – уникальные. 😂

В Ставрополе суд вынес приговор бывшему сотруднику банка, который продавал данные клиентов.

Было установлено, что 23-летний банковский служащий, пользуясь служебным положением и доступом к информации, фотографировал данные клиентов с монитора рабочего компьютера и отправлял их третьему лицу за денежное вознаграждение. За все время он успел продать информацию 4 клиентов банка.

Речь идет о том, что бывший сотрудник занимался "банковским пробивом". Подробнее об этом явлении мы писали в отчете «Цены российского черного рынка на пробив персональных данных». 😎

Суд города Ставрополя признал мужчину виновным и приговорил его к полутора годам лишения свободы условно.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: 👇

https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html

В открытый доступ (сразу на нескольких форумах) выложили файл, содержащий данные пользователей брянского сервиса скидочных акций Livingjoy.ru.

В файле users_list_city_generated_06_11_2019-02_04.xls находится 32,026 строк:

🌵 ФИО
🌵 Эл. почта
🌵 Телефон
🌵 Пол
🌵 Дата рождения
🌵 Район
🌵 Дата регистрации
🌵 Дата последней активности
🌵 Сумма покупок
🌵 Баланс

На сайте Livingjoy.ru указано (цитата): “Сайтом пользуются 32526 посетителей”, поэтому можно говорить о том, что утекли данные всех пользователей сервиса. 😱

Этот инцидент - это не взлом и не действия злонамеренных инсайдеров, а классическая ошибка. Файл был выложен на один из подразделов сайта и попал в индекс поисковых машин. 🤦🏻‍♂️ Используя нехитрый «дорк» для Google, можно обнаружить еще один файл с именем users_list_city_generated_20_10_2019-11_25.xls. Оба файла располагаются в одной папке для отчетов, куда имеют доступ все посетители сайта. 🤦‍♂️

👆(мы изменили имена файлов, т.к. данные до сих пор находятся в свободном доступе)👆

В закрытом доступе («для своих») появился полный дамп «хакерского» форума DedicateT.com. 🔥🔥

Дамп представляет собой виртуальный образ сервера, на котором (помимо собственно файлов и данных ОС) находятся резервные копии базы MySQL с данными форума (117 Мб):

🌵 таблицы пользователей (более 8,4 тыс.) - идентификатор, имя, эл. почта, дата рождения, дата регистрации и последней активности, принадлежность группам, регион, хеш пароля и многое другое. 😂

🌵 таблица приватных сообщений пользователей (более 10 тыс.) - идентификатор пользователя и сообщения, имя пользователя, дата, текст сообщения и т.п. 🤣

🌵 таблица IP-адресов (более 123 тыс.) – идентификатор пользователя и адреса, IP-адрес, действие, дата и т.п. 😱

🌵 множество других таблиц, содержащих всю информацию форума.

SQL-дамп датируется 11.08.2019. 👍

Отметим, что в свободном доступе находится довольно много дампов различных «хакерских» форумов: lolzteam, Void.to, Demon Forums и некоторых других. 😎

Исследователи Vinny Troia (ранее обнаружил базу данных маркетинговой компании «Exactis») и Bob Diachenko (ранее обнаружил утечку клиентов МФК «ГринМани») обнаружили открытый Elasticsearch-сервер, содержащий 1,2 млрд записей общим размером 4 Тб, располагавшийся на площадке Google Cloud Service (IP - 35.199.58.125). 🔥🔥🔥

На сервере находились персональные данные сотен миллионов людей, полученные из профилей Facebook, Twitter, Github и LinkedIn: почти 50 млн. уникальных номеров телефонов и 622 млн. уникальных адресов электронной почты.

Принадлежность сервера с данными установить не удалось. 😎

Данные 1,2 млрд человек, которые обнаружены на открытом Elasticsearch-сервере, изначально были собраны двумя компаниями - «People Data Labs» (peopledatalabs.com) и «OxyData» (oxydata.io).

Однако, кому принадлежит сервер с адресом 35.199.58.125, на котором находились данные, собранные этими двумя компаниями, пока неизвестно. 🤷‍♂️

На сервере были обнаружены следующие индексы:

pdl_20190924
nx-locations-v2
nx-locations-suggest-v2
oxy_20190918
nx-locations-v1
pdl_20190912

По данным Shodan, впервые этот сервер появился в свободном доступе 04.10.2019, а последний раз его «видел» BinaryEdge 17.10.2019. Исследователи обнаружили его 16.10.2019. 😎

По случаю своего 10-летия, Shodan раздают базовую подписку всего за $1 (вместо $49)! Предложение действует всего 24 часа, до 3:00 (МСК) 24-го ноября: https://t.co/e6mRc8kQGt?amp=1 🔥

Про то, как исследователи, с помощью Shodan и BinaryEdge, обнаруживают открытые базы данных Elasticsearch и MongoDB мы писали отдельную статью: 👇

https://www.devicelock.com/ru/blog/obnaruzhenie-otkrytyh-baz-dannyh-mongodb-i-elasticsearch.html