В свободный доступ выложен дамп базы пользователей сайта криптовалютного фонда «Trident Crypto Fund» (tridentcryptofund.com).

В дампе 266,641 строк (35 Мб), содержащие:

🌵 адрес эл. почты
🌵 хешированный (MD5) пароль
🌵 имя/фамилия
🌵 мобильный телефон (всего около 3,1 тыс. записей)
🌵 страна (9,833 пользователей из России)
🌵 IP-адрес

Дамп получен “благодаря” уязвимости на сайте фонда. 🤦‍♂️

Со вчерашнего дня интернеты бурлят новостью про “утечку” из порно-соцсети «OnlyFans» (onlyfans.com). 🤣

Никакой утечки персональных данных обнаружить не удалось. “Утечка”, про которую все говорят – это фото и видео файлы (более 4,5 тыс.), общим размером более 1 Тб, рассортированные по папкам (более 1 тыс.) с именами моделей.

В свободный доступ выложили довольно старую базу пользователей мобильного приложения для торговли на рынке Forex – «Forex4you» (forex4you.ru.com) компании «EGlobal».

В Excel- файле 122,979 строк, содержащих:

🌵 имя/фамилия
🌵 страна (более 56 тыс. пользователей из России)
🌵 город
🌵 дата (с 16.05.2008 - по 16.09.2012)
🌵 адрес эл. почты
🌵 телефон
🌵 название сервера (EGlobal-Cent1, EGlobal-Classic, EGlobal-Pro и др.)

Дата создания файла 16.09.2006, дата последней модификации – 02.04.2013.

Разумеется, на сайте приложения написано: “Cистема шифрования трафика позволяет нам гарантировать усиленную защиту”. Видимо в 2013 году “система шифрования” еще была недостаточно хороша. 😂

«Известия» пишут про всплывшую в паблике старую базу «Forex4you»: 👇

«Известия» ознакомились с файлом. В документе, который доступен для свободного скачивания по ссылке, содержится более 120 тыс. строк с информацией. В каждой из них — данные об имени и фамилии пользователя, стране и городе проживания, о дате регистрации в приложении. Также есть адреса электронной почты и мобильные телефоны. Более 56 тыс. строк принадлежат клиентам из России. Остальные — гражданам Украины, Молдавии, Белоруссии, Казахстана, Киргизии, Узбекистана, Болгарии, а также Таджикистана. Даты регистрации относятся к периоду с 16 мая 2008 по 16 сентября 2012 года.

«Известия» направили запрос создателям мобильного приложения и в службу поддержки.

Сайт Forex4you на данный момент работает, убедились «Известия». Для валютной торговли можно зарегистрироваться как в десктопной версии, так и через мобильное приложение. С помощью портала можно круглосуточно торговать валютой и получать заемные средства. По информации на сайте, через него было открыто более 1,9 млн счетов.

https://iz.ru/981706/natalia-ilina/foreks-dlia-utekaiushchikh-dannye-o-valiutnykh-torgovtcakh-ushli-v-internet

Суд в Ростове-на-Дону вынес приговор Андрею Лукьянову, который занимался незаконной продажей детализаций телефонных соединений клиентов регионального оператора связи.

В компанию связи мужчина устроился в 2015 году и тогда же один из коллег предложил ему подработку. Лукьянову нужно было выяснить, на кого зарегистрирован номер, скопировать список звонков абонента и передать его заказчику.

Против него было возбуждено уголовное дело (“Неправомерный доступ к компьютерной информации с использованием служебного положения”) по 12 задокументированным фактам преступлений. В 2017 году он был уволен из компании по компрометирующим обстоятельствам.

Лукьянов полностью признал свою вину и дал показания на своих сообщников. Учтивая его раскаяние и помощь следствию, суд приговорил бывшего сотрудника компании к одному году лишения свободы условно.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

Уважаемые читатели, напоминаем вам про подписку на дайджест наиболее значимых утечек месяца! 🔥

Если нет времени читать все публикации на канале или захотите по итогам месяца освежить память - рекомендуем подписаться. Никакого спама. 😎

Подписаться на дайджест можно по этой ссылке: 👇
https://www.devicelock.com/ru/subscribe.html

В конце февраля написали про утечку базы пользователей сайта криптовалютного фонда «Trident Crypto Fund» и вот, спустя несколько дней появились расшифрованные пароли для половины этой базы.

Из 120 тыс. пар логин/пароль, почти 92% оказались уникальными и никогда ранее не встречались в утечках.

Недавно написали про то, что на руководителя краснодарского офиса регионального филиала АО «Россельхозбанк» завели уголовное дело за передачу третьему лицу базы данных клиентов банка.

Сейчас, когда это уголовное дело направили в суд, стало известно, что 32-летний руководитель офиса банка передал базу уполномоченному представителю банка, которая не имела допуска и доступа к информации, составляющей банковскую тайну. Сотруднице банка была поставлена задача использовать указанную информацию в своей работе по привлечению клиентов в допофис банка. 🤦‍♂️

Таким образом, в данном случае не видно никакого злого умысла в краже базы данных клиентов банка.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

🔥🔥🔥 https://habr.com/ru/post/490786 🔥🔥🔥

Несколько дней назад исследователь безопасности 0xyzq (в его Twitter еще несколько очень интересных находок!) прислал нам информацию по обнаруженному серверу с открытой директорией, на котором в открытом доступе находились не просто персональные (ФИО, телефоны, эл. почты, места работы и т.п.) и банковские (номера счетов и карт, даты истечения карт) данные клиентов одного из российских банков, но и инструменты для их получения. 😱

Мы проанализировали эти инструменты и получилась довольно большая статья для Хабра.

В свободный доступ на русскоязычном форуме выложили два текстовых файла (mail_ru_1.csv и mail_ru_2.csv) с информацией о сотрудниках «Mail.ru Group». В файлах 4,078 и 3,317 строк соответственно, содержащих:

🌵 ФИО
🌵 название подразделения (business unit)
🌵 адрес корпоративной эл. почты
🌵 юрлицо (Мэйл.Ру, Ситимобил, Имплат, Деливери Клаб и т.п.)
🌵 тип сотрудника (постоянный, удаленщик, декрет и т.п.)
🌵 SN (видимо серийный номер?)
🌵 дата (с 24.01.2020 по 31.01.2020)

Позже архив с этими файлами был “слит” через известную Telegram-помойку. 🤣

Также на форуме уже доступен и конверт этих файлов в формат Cronos. После конвертации и очистки от мусора и дублей получилось 4,315 строк. 👍

Официальный комментарий пресс-службы «Mail.ru Group»:

"Документ был создан для раздачи корпоративных подарков. Мы не планировали его публикацию, но не видим в ней каких-либо последствий для компании и коллег: там нет персональных данных или другой чувствительной информации"

В мае 2018 мы писали про то, что ФБР обнаружили инсайдера, слившего Викиликс информацию, опубликованную в рамках проекта "Vault 7", про инструменты кибершпионажа ЦРУ (про этот инструментарий у нас тоже есть отдельная статья).

Сейчас над Джошуа Адаме Шульте (Joshua A. Schulte) идет суд, на котором всплывают весьма интересные технические детали. 🤣

В частности, нас заинтересовали пароли, которые использовали в ЦРУ.

Например, для виртуальной машины с «Confluence», в которой содержались все похищенные инструменты кибершпионажа ЦРУ пароль был «123ABCdef», а пароль для основного сервера разработки – «mysweetsummer». 🤦‍♂️🤦🏻‍♂️🙈

Пароли были известны всей команде разработки ЦРУ Operational Support Branch (OSB) и публиковались на внутреннем портале.

Примечательно, что ни первый, ни второй пароли не входят в Топ-100 самых популярных паролей. Наше исследование паролей: 👇
https://www.devicelock.com/ru/blog/analiz-5-mlrd-parolej-chast-tretya.html

«Известия» пишут про утечку из криптовалютного фонда «Trident Crypto Fund», про которую мы писали тут: https://yangx.top/dataleak/1521 и тут: https://yangx.top/dataleak/1527.

«Известиям» удалось дозвониться до одного из пользователей, информация о котором содержится в базе. Он подтвердил, что регистрировался на сайте Trident Crypto Fund для участия в обучающем семинаре, но деньги не вкладывал. Он также сказал, что администрация сайта не предупредила его о возможной компрометации паролей для входа в личный кабинет.

Вчера написали про то, что ЦРУ использовало (и скорее всего продолжает использовать) слабые пароли для доступа к своим инструментам кибершпионажа.

В связи с этим решили посмотреть, а насколько популярные эти пароли и как часто они встречаются в коллекции из почти 5 млрд. утекших логинов/паролей. 😎

Выяснилось, что не такие это и популярные пароли:

✅ «123ABCdef» – встречается 457 раз
✅ «mysweetsummer» – встречается ровно 1 раз

Для сравнения, самый популярный пароль «123456» встречается 33,653,000 раз, похожий пароль «123abc» – 495,858 раз, а замыкающий Топ-100 популярных паролей «159357» – 457,074 раз. 🤷‍♂️

В декабре 2019 г. была обнаружена открытая база с данными 267 млн. Facebook-пользователей.

А сейчас Bob Diachenko обнаружил копию этой же базы на другом сервере. К тем же самым 267 млн. записям добавилось еще 41,8 млн. строк.

25 млн. “новых” строк содержали:

✅ Facebook-идентификатор
✅ номер телефона
✅ Facebook-логин (имя пользователя)

16,8 млн. “новых” строк содержали:

✅ Facebook-идентификатор
✅ номер телефона
✅ адрес электронной почты
✅ детали Facebook-профиля

Что интересно, через день после обнаружения база была уничтожена неизвестными – все персональные данные были стерты, а индексы Elasticsearch переименованы в “please_secure_your_servers”.

25-летнего сотрудника салона связи в Красноярске осудили за незаконную продажу данных абонентов «Билайн».

Молодого человека задержали в мае 2019 года. Используя свое служебное положение, он за денежное вознаграждение, передавал неправомерно скопированные из базы данных оператора персональные данные, а также сведения о телефонных соединениях абонентов. Заказы поступали через популярный мессенджер. Всего было выявлено и задокументировано четыре случая продажи данных. Про “мобильный пробив” мы писали тут.

Молодому человеку предъявили обвинение по ч. 2 ст. 138 УК РФ (Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений) и ч. 3 ст. 272 (Неправомерный доступ к компьютерной информации).

Приговором бывший сотрудник признан виновным и ему назначено наказание в виде 1 года 7 месяцев ограничения свободы.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

23 января 2020 года DeviceLock Data Breach Intelligence обнаружила очередной свободно доступный Elasticsearch-сервер с данными системы подбора грузового такси «MOVER» (mover24.ru).

Мы оповестили владельцев сервера и на следующий день Elasticsearch исчез из открытого доступа.

В индексе «mover» находилось около 200 тыс. записей, содержащих данные заказов.

"search_string": "48920 ***ёв Сергей ***ич 7910*** ***иев Исмаил ***ич 796*** GAZelle Бизнес Х***ВК750 Фургон 123181, г.Москва, ул.Маршала Катукова, д.*** 125599, г.Москва, ул.Ижорская, вл.*** 123181, г.Москва, ул.Маршала Катукова, д.*** 125599, г.Москва, ул.Ижорская, вл.***"

(реальные данные скрыты нами)

Утром написали про обнаруженный Elasticsearch-сервер сервиса подбора грузового такси «MOVER», а сейчас в открытом доступе появились данные, скачанные с этого сервера. 😱

Это в очередной раз доказывает, что практически каждый инцидент с открытой базой данных (не важно MongoDB или Elasticsearch), можно и нужно считать утечкой.

Если со стороны владельцев обнаруженного открытого сервера не следует мгновенной реакции в виде закрытия доступа к ресурсу, то данные этого сервера выкачиваются многочисленными “охотниками” за информацией. 😎

В связи с тем, что в открытом доступе снова оказалась база данных Facebook-пользователей, решили написать немного о цене этой информации на черном рынке.

В данный момент в продаже находятся несколько баз пользователей данной социальной сети: 👇

💰 350 млн. записей с профилями пользователей по всему миру (если пользователи открывали публичный доступ к их телефонам и адресам электронной почты, то они также попали в эту базу) - $5,000

💰 более 100 млн. записей с профилями пользователей из США, обогащенные номерами телефонов из внешних источников - $15,000

💰 более 40 млн. записей с профилями пользователей из США, обогащенные номерами телефонов и адресами электронной почты из внешних источников - $40,000

Профили пользователей включают в себя: идентификаторы Facebook и всю информацию, которую указали о себе сами пользователи.

Вся эта информация изначально получалась через официальный API, который функционировал до весны 2018 года, пока социальная сеть не запретила доступ к номерам телефонов и адресам электронной почты своих пользователей, после скандала с «Cambridge Analytica». 😎

СМИ сообщают, что северная транспортная прокуратура выявила утечку полной базы экспортно-импортных операций России за восемь лет:

Установлено, что на одном из сайтов указано на наличие в продаже полной, регулярно обновляющейся таможенной базы данных по всем экспортно-импортным операциям российских компаний за 2012-2019 годы.

Прокуратура направила в районный суд Москвы административный иск о признании информации запрещенной на территории России. Суд удовлетворил требования в полном объеме. После вступления в силу решение суда будет направлено в Роскомнадзор.

Речь идет об уже (стопятсот раз) заблокированном форуме «phreaker». Таможенные базы там выкладывались регулярно, однако продажа "материала" на форуме строго запрещена, поэтому, разумеется, ничего не продавалось, а раздавалось бесплатно или в обмен на другие базы. 🤦‍♂️

«Phreaker» не работает уже второй день, а на другом англоязычном форуме появилось объявление о покупке базы его пользователей. 🤣

Кстати, российские и украинские таможенные базы (см. предыдущий пост) выкладываются регулярно и на англоязычные форумы. 🙈

Руководителя одного из отделов сотовой компании в Сарове подозревают в продаже распечатки входящих и исходящих звонков по номеру клиента.

По версии следствия, в июле 2018 года 25-летний мужчина, используя свой логин, со своего рабочего компьютера, подключился к базе данных и получил сведения об исходящих и входящих звонках одного из абонентов компании. После этого он их продал третьему лицу. Про “мобильный пробив” читайте тут.

Уголовное дело возбуждено по признакам ч. 3 ст. 272 УК РФ (неправомерный доступ к компьютерной информации с использованием служебного положения). Законом предусмотрено лишение свободы на срок до пяти лет.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html