«Известия» пишут:

В открытом доступе оказался сервер с персональной информацией клиентов сервиса «Премиум бонус», которая обеспечивает программы лояльности популярным кафе и ресторанам (например, «Му-Му», «Жан Жак», «Империя пиццы»). Об этом «Известиям» рассказал основатель и технический директор DeviceLock Ашот Оганесян, он обнаружил базу данных 16 марта.

«Известия» ознакомились с фрагментами базы данных. В клиентских записях присутствовали полные имена, фамилии и отчества покупателей, даты рождения, e-mail, мобильные телефоны, адреса доставки, сумма и состав заказов. В частности, на открытом сервере хранилась информация о посетителях ресторанов «Му-Му», «Жан- Жак», «Империя пиццы», «Тарелка», «Ташир Пицца», «Грузинские каникулы», «Джон Донн», «Тапчан», «Контакт бар», а также о покупателях магазинов «Органик Маркет», French Kiss, «Добрынинский и партнеры», «Интермода»


Технические подробности этой утечки мы опишем завтра. 😎

20-летний сотрудник одного из салонов сотовой связи в Костроме стал фигурантом уголовного дела из-за нарушения тайны телефонных переговоров клиентки.

По версии следствия, в июле 2019 года молодой человек попросил у своего 20-летнего приятеля, работавшего в салоне сотовой связи, проследить за девушкой - получить детализацию ее звонков и СМС, чтобы узнать, не общается ли она с другими мужчинами.

Против сотрудника салона связи возбудили дело по части 2 статьи 138 УК РФ (нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан, совершенное лицом с использованием своего служебного положения). Если вину подозреваемого докажут в суде, ему грозит до четырех лет заключения. 🤦🏻‍♂️


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

Как и обещали вчера, публикуем технические детали утечки данных клиентов ресторанов, магазинов и автосервисов, подключенных к облачной CRM-системе «Премиум бонус» (premiumbonus.ru).

16.03.2020 система DeviceLock Data Breach Intelligence обнаружила свободно доступный Elasticsearch-сервер с индексами системы «graylog» - высокопроизводительной платформы с открытым исходным кодом, предназначенной для управления логами.

Напомним, что именно через логи системы «graylog» в свое время утекли персональные данные из:

🌵 компании Inventive Retail Group (сети re:Store, Samsung, Sony Centre и др.)
🌵 транспортной компании FESCO
🌵 сервиса по подбору туров Слетать.ру
🌵 облачной системы POSIFLORA

В данном случае в логах находилась информация из системы «Премиум бонус» - всего более 600 млн. строк в 37 индексах.

Среди технической информации содержались персональные данные клиентов из Москвы, Санкт-Петербурга, Казани, Нижнего Новгорода, Новосибирска, Находки и других городов России.

В логах были замечены такие организации, как: «Му-Му», «Жан- Жак», «Империя пиццы», «Тарелка», «Ташир Пицца», «Грузинские каникулы», «Джон Донн», «Тапчан», «Контакт бар», «Органик Маркет», French Kiss, «Добрынинский и партнеры», «Интермода», «ЛавкаЛавка» и т.д.

Внимание привлек ресторан «Тапчан»: 😂

"organization_name": "Тапчан",
"message": "POST /mobile/buyer-info",
"phone": "7903***",
"full_message": "POST /mobile/buyer-info\n\nRESPONSE:\n{\n \"success\": true,\n \"phone\": \"7903***\",\n \"name\": \"Ашот Оганесян\",\n \"birth_date\": \"1974-12-02\",\n \"email\": \"[email protected]\",\n \"mobile_profile_filled\": true,\n \"gender\": \"male\",\n

и даже вот так: 😱

"full_message": "URL: http://card.tapchan.cafe:9901/api/0/orders/add?request_timeout=0:00:50&access_token=***\n\nPOST DATA: {\n \"date\": \"2020-03-09 16:15:00\",\n \"phone\": \"7903***\",\"comment\": \"калифорнийские роллы сделать без огурца и авокадо\",\n \"fullSum\": 1380,\n \"address\": {\n \"city\": \"Москва\",\n \"street\": \"*** проезд\",\n \"home\": \"***\",\n \"apartment\": \"***\",\n \"entrance\": \"***\",\n \"floor\": \"***\",\n \"doorphone\": \"***\",\n \"housing\": \"***\"\n },\n \"orderTypeId\": \"85b062e5-c87d-4300-b6cd-e7e6a8727a68\",\n \"discountCardTypeId\": \"241adb3e-8c05-4c97-99ce-91bd797a8304\",\n \"discountOrIncreaseSum\": 276\n },\n \"customer\": {\n \"name\": \"Оганесян Ашот\",\n \"phone\": \"7903***\",\n \"email\": \"[email protected]\"\n }\n}\n\n

(некоторые данные мы скрыли звездочками)

Таким образом, в логах помимо персональных данных клиентов организаций, подключенных к облачной CRM-системе «Премиум бонус», оказались также и данные их (клиентов) заказов. Итого:

🌵 ФИО
🌵 дата рождения
🌵 адрес (домашний или рабочий, смотря куда оформлялась доставка)
🌵 телефон
🌵 адрес электронной почты
🌵 пол
🌵 состав заказа (товары или услуги)
🌵 стоимость заказа
🌵 дата заказа
🌵 номер карты лояльности и количество бонусов на ней

Оценить количество пострадавших клиентов (физлиц) довольно сложно, т.к. одни и те же данные встречаются в логах много раз. Скажем, в одном из индексов, содержавшем более 55 млн. записей находилось более 300 тыс. строк с персональными данными клиентов. Учитывая наш опыт анализа предыдущих инцидентов, можно предположить, что в таких строках содержится не более 10% “полезной” информации, т.е. можно говорить о десятках тысяч пострадавших.

Разумеется, мы немедленно уведомили компанию-разработчика CRM-системы по всем доступным каналам (эл. почта, сообщения в Facebook и ВКонтакте). Доступ к серверу был закрыт на следующий день. 🤦🏻‍♂️

Интересно, что данный свободно-доступный сервер не обнаруживался поисковиками BinaryEdge, Shodan и ZoomEye. Его “видел” только Censys. 😎

Код ИБ ПРОФИ перешли в онлайн "благодаря" эпидемии короновируса COVID-19. 👇

Сейчас есть возможность купить билет только на один мастер-класс или на весь интенсив, который охватывает полный спектр вопросов по управлению информационной безопасностью:

✅ 6 дней (26, 27, 30, 31 марта, 1 и 2 апреля)
✅ 6 тематических потоков (Планирование, Взаимодействие с бизнесом, ИБ без бюджета, Повышение осведомленности, Безопасная разработка, Оценка защищенности)
✅ 4 часовых мастер-класса по каждой теме
✅ 24 мастер-класса на всем интенсиве

Подробнее на сайте «Код ИБ ПРОФИ».

Кстати, 7 апреля DeviceLock совместо с Код ИБ ПРОФИ проводит онлайн вебинар на тему «Защита от утечек конфиденциальной информации (DLP)». Регистрация тут. 👍

Возбуждено уголовное дело в отношении 19-летней сотрудницы офиса продаж и обслуживания сотовой компании в г. Ковров (Владимирская область).

В сентябре 2019 года девушка скопировала из информационно-биллинговой системы компании данные детализации соединений 4-х абонентов и отправила их постороннему лицу через Telegram, получив за это денежное вознаграждение (т.н. “мобильный пробив”).

Уголовное дело в отношении подозреваемой возбуждено по ч. 2 ст. 138 УК РФ (нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений с использованием служебного положения).


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

В Саратове полицейские задержали двух сотрудниц банка, которые, имея доступ к персональным данным граждан, мошенническим путем оформили кредиты на двух клиентов банка без их ведома на общую сумму более 600 тысяч рублей.

Еще на 5 клиентов они создали заявки, но получить средства подозреваемым не удалось.

В настоящее время возбуждено уголовное дело по ч. 3 статьи 159 УК РФ (мошенничество).

Операторы вируса-вымогателя «Sodinokibi» (он же «REvil») опубликовали данные, украденные у консалтинговой компании «Brooks International» (brooksint.com).

Похищено около 16 Гб данных (12 Гб архив).

Среди украденный вымогателями данных – список логинов/паролей к различным сервисам (в т.ч. налоговым «UK - Government Gateway», «STATE OF FLORIDA - DEPT OF REVENUE» и т.п.) и социальным сетям (Facebook и Linkedin). 🔥

Кроме того, в открытом доступе оказались данные корпоративных банковских карт American Express, Visa, Master Card и Diners Club: номера карт, даты истечения, CCV/CVV-коды, биллинг адреса и имена. 😱

Ранее эти же злоумышленники публиковали данные, похищенные у производителя автокомпонентов «GEDIA Automotive Group»: https://yangx.top/dataleak/1506

Вы уже начали экстренно переводить сотрудников на удаленный режим работы ради карантина от коронавируса? Сотрудники теперь будут работать через терминальные сессии?

Тогда для вас мы подготовили специальное предложение. 🔥

Нет, это не реклама. Это реальная помощь тем, кто не успел подготовиться, но хочет обеспечить безопасность данных при работе сотрудников через терминальные сессии.

Мы готовы бесплатно, на месяц (или больше по запросу) предоставить дистрибутив, лицензии и инструкции по установке и настройке DeviceLock DLP, чтобы организации могли обеспечить прозрачный контроль перенаправленных устройств и буфера обмена данными, а также журналирование действий пользователя и теневое копирование переданных им файлов и данных. Для этого даже не потребуется выделять дополнительные серверные ресурсы – мы предлагаем простое, но эффективное решение ключевой задачи обеспечения безопасности корпоративных данных.

Для получения дистрибутива системы, лицензии и инструкций на нашем сайте запущена специальная страница. Давайте работать безопасно 😊 И будьте здоровы!

Данные 538 млн. пользователей китайской микроблоггинговой платформы «Weibo» выставлены на продажу.

Дамп продается за $250 и содержит такую информацию, как:

🌵 полное имя
🌵 логин
🌵 пол
🌵 местоположение
🌵 номер телефона (для 172 млн. пользователей)

Продавец утверждает, что данные получены в середине 2019 года. Однако, в своем официальном сообщении «Weibo» заявила, что в конце 2018 года они обнаружили подозрительную активность – загрузку больших списков телефонных номеров через официальное API сервиса с целью сопоставить номер телефона с аккаунтом пользователя.

При этом, данные, которые выставлены на продажу явно получены из SQL-базы данных (т.е. являются дампом), что идет вразрез с официальным объяснением причин инцидента. 😎

🌵 Добавили в “коллекцию” расшифрованные пароли пользователей сервиса продвижения в социальных сетях vkmix.com.

Из 1,8 млн. пар логин/пароль, почти 86% оказались уникальными, т.е. никогда ранее не встречались в утечках.

🌵 Кроме того, добавили 1,5 млн. пар логин/пароль покупателей магазина одежды и аксессуаров romwe.com. Около 68% оказались уникальными.

ФСБ сообщает о крупной спецоперации по задержанию кардеров и прочих причастных к “продаже краденных данных кредитных и расчетных карт российских и зарубежных финансовых учреждений, полученных в результате неправомерного доступа к учетным записям пользователей сети Интернет и платежных систем.” 👍

Сообщается также и о ликвидации 90 интернет-магазинов по продаже похищенных данных.

Задержаны более тридцати членов группы (включая граждан Украины и Литвы). Двадцати пяти из них предъявлены обвинения по ч. 2 ст. 187 (неправомерный оборот средств платежей).


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

Очередные данные пользователей Facebook оказались в свободном доступе. На этот раз мы обнаружили два разных Elasticsearch-сервера, содержащие данные пользователей (в основном из Вьетнама) этой социальной сети. 🔥

Первый сервер располагался во Вьетнаме и содержал 71,839,979 записей в индексе «fb_vietnam»:

🌵 идентификатор социальной сети (Facebook ID)
🌵 полное имя
🌵 адрес электронной почты (102,730 пользователей)
🌵 номер телефона (51,842,972 пользователя, из них - 62 с кодом страны “+7”)
🌵 дата рождения
🌵 пол
🌵 город/страна (471 пользователь из России)
🌵 дата обновления записи (с 21.10.2019 по 27.10.2019)

Кроме профилей пользователей Facebook, на этом сервере находилась подробная информация о клиентах различных вьетнамских онлайн-сервисов. Всего более 1,8 млн. записей, содержащих, кроме персональных данных, также информацию об используемых смартфонах, браузерах, операторах связи и т.п. Скорее всего сервер принадлежит какому-то маркетинговому агентству. 😱

Второй сервер (также располагался во Вьетнаме) содержал 41,663,710 записей в индексе «data»:

🌵 идентификатор социальной сети (Facebook ID)
🌵 полное имя
🌵 адрес электронной почты (5,623 пользователей)
🌵 номер телефона (2,040,875 пользователей)
🌵 дата рождения
🌵 пол
🌵 город/индекс/страна/координаты (широта и долгота)
🌵 язык интерфейса Facebook
🌵 количество друзей и подписчиков
🌵 логин Facebook
🌵 дата обновления профиля (с конца 2013 г. по середину 2019 г.)
🌵 остальная информация, которая может быть указана пользователем в своем профиле

Перекрёстная проверка показала, что вторая (меньшая) база является более полной (на пересекающемся наборе полей) и часто содержит данные, отсутствующие в первой (большой) базе. 👍

“Большая” база:

fb_id: 10000521239***
fb_email:
fb_name: *** Chí Hải
fb_gender:
fb_birthday:
fb_city:
updateTime:
fb_phone_number: 84120634***

“Маленькая” база:

facebook_id: 10000521239***
email:
fullname: *** Chí Hải
gender: 1
birthday:
city: Soc Trang
profile_updated_time: 2019-04-07
phone_number: 84120634***

(реальные данные скрыты нами)

Недавно мы писали о стоимости подобной информации на черном рынке.

Очень похоже на то, что появился новый “червь”, который ищет открытые Elsticsearch-сервера, обнуляет в них индексы с данными и создает новый пустой индекс с именем «nightlionsecurity.com».

На текущий момент уже более 300 серверов имеют такую “метку”.

«Night Lion Security» это компания, основателем которой является Vinny Troia. Именно Vinny Troia в июне 2018 обнаружил утечку базы британской консалтинговой компании «Cambridge Analytica», после чего и разгорелся скандал, связанный с приватностью данных пользователей Facebook.

Более того, позже Vinny Troia неоднократно выступал экспертом по вопросам “русского вмешательства в выборы президента США”, являясь ярым сторонником теории данного вмешательства. 😱

Кстати, сайт его компании nightlionsecurity.com недоступен из России. 🤣🤦‍♂️

В Волгограде возбуждено уголовное дело в отношении 39-летней бывшей сотрудницы АО «Вымпелком» (торговая марка «Билайн»).

По данным следствия, женщина, воспользовавшись своим служебным положением и имея доступ к данным клиентов, получала сведения об их личных переговорах и продавала эти сведения посторонним (т.н. “мобильный пробив”). Плату за услуги неизвестные перечисляли ей банковским переводом.

На данный момент сотрудница оператора связи уже уволена с работы. На нее заведено уголовное дело по ч.2 ст.138 УК РФ (нарушение тайны телефонных переговоров, совершенное лицом с использованием своего служебного положения).


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

В Уфе утверждено обвинительное заключение по уголовному делу 23-летнего бывшего сотрудника «Сбербанк России».

В августе 2019 г. к банковскому служащему обратился его знакомый с просьбой предоставить выписку по банковской карте, принадлежащей его бывшей супруге. Обвиняемый передал ему отчет по истории операций движения денег.

Свою вину обвиняемый признал. Дело передано на рассмотрение в городской суд.

В ноябре 2019 г. хакер получил доступ к одному из компьютеров «AMD», на котором он обнаружил (и затем скачал) документы, содержавшие информацию (в том числе исходные коды) по текущим и будущим графическим продуктам компании: «Navi 10», «Navi 21» и «Arden». 🔥

За скачанные данные хакер требует $100 млн., а если покупатель не найдется, то информацию он обещает выложить в открытый доступ.

В качестве подтверждения пользователем xxXsoullessXxx на GitHub были выложены куски исходных кодов. В настоящий момент этот репозитарий (и несколько его клонов) недоступен, а в другом выложены скриншоты и условия.

Кроме того, на нескольких теневых форумах недавно были размещены объявления о продаже исходников «AMD».

В «AMD» признали факт утечки. 👍

Исследователь Bob Diachenko, ранее выявивший утечку госуслуг Республики Татарстан и российской IT-компании «Инфотех Груп», сообщил в Twitter, что он обнаружил открытый AWS-сервер (Amazon S3) с данными российских клиентов консьерж-сервиса «Quintessentially» (quintessentially.ru).

В открытом доступе находятся паспортные данные сотен клиентов сервиса, а также данные их кредитных карт и банковские документы. 😱

К сожалению, на оповещения исследователя сервис не реагирует. 🤦‍♂️

В Казани в отношении 23-летней бывшей сотрудницы филиала одного из операторов сотовой связи вынесен приговор за преступление, предусмотренное ч. 2 ст. 138 УК РФ (нарушение тайны телефонных переговоров граждан, совершенное лицом с использованием своего служебного положения).

1 октября 2019 года к злоумышленнице обратился ее подчиненный с просьбой сделать детализацию телефонных соединений супруги его друга. Он сказал, что данная информация нужна его приятелю, так как тот поссорился с женой. Женщина согласилась помочь коллеге и подготовила список входящих и исходящих соединений абонента. 🤦‍♂️

Суд назначил ей наказание в виде обязательных работ на срок 80 часов.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

Вчера написали про то, что облачное хранилище Amazon S3 (AWS), с данными российских клиентов консьерж-сервиса «Quintessentially», оказалось в свободном доступе. Вечером представители сервиса отреагировали на оповещение и закрыли доступ. 🤦‍♂️

Всего в открытом доступе находилось 810,476 файлов, из них около 540 файлов - это сканы содержащие документы, банковские карты и другие персональные данные клиентов. 😱

В Казани оштрафовали 21-летнего Максима Соколова, который во время работы в компании сотовой связи за деньги передал знакомому информацию о звонках одного из абонентов.

Следствием и судом установлено, что в мае 2019 года к Соколову, работавшему в офисе казанского филиала одной из компаний сотовой связи, обратился гражданин с просьбой за денежное вознаграждение предоставить детализацию телефонных звонков одного из абонентов компании.

Не имея законного разрешения, Соколов через специальную программу получил список входящих и исходящих звонков, который отправил обратившемуся к нему лицу через мессенджер.

Соколов признал вину полностью и возместил причиненный ущерб. Уголовное дело в отношении него было прекращено, его оштрафовали на 15 тысяч рублей.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

14.03.2020 система DeviceLock Data Breach Intelligence обнаружила свободно доступный Elasticsearch-сервер, в индексах которого содержалась информация службы технической поддержки российской системы контроля и управления доступом (СКУД) «Sigur» (sigursys.com).

В одном из индексов, размером более 900 Мб, находилась переписка между клиентами компании и службой техподдержки, часто содержащая чувствительную информацию (например, пароли, имена, телефоны, адреса эл. почты).

Мы сразу же уведомили компанию и к вечеру сервер “тихо” исчез из открытого доступа. 🤷‍♂️

Недавно мы писали о том, что Elasticsearch-сервер с данными технической поддержки Microsoft находился в открытом доступе: https://yangx.top/dataleak/1461.