А вот пример того, почему важно быстро реагировать на оповещения исследователей безопасности, когда они сообщают компаниям об обнаружении открытых баз данных или других уязвимостей.
В данном конкретном случае украинские киберпреступники заявляют о взломе некой базы, размером 7 Гб, российского сайта госуслуг «Красногвардейского района» (прямая цитата, что за район и где он – не уточняется)
Те же самые киберпреступники оставляют такие сообщения в украинских базах, до которых они успевают дотянуться первыми:
«Ваша база даних MongoDB не захищена! Будь хто, хто має ip цієї бази може підключитись до неї без автентифікації по 27017 порту! THack3forU дбає про безпеку рідної країни!»
В данном конкретном случае украинские киберпреступники заявляют о взломе некой базы, размером 7 Гб, российского сайта госуслуг «Красногвардейского района» (прямая цитата, что за район и где он – не уточняется)
Те же самые киберпреступники оставляют такие сообщения в украинских базах, до которых они успевают дотянуться первыми:
«Ваша база даних MongoDB не захищена! Будь хто, хто має ip цієї бази може підключитись до неї без автентифікації по 27017 порту! THack3forU дбає про безпеку рідної країни!»
Forwarded from Лучшие IT каналы
🔥 Подборка самых интересных каналов про IT, хакинг и безопасность.
CyberYozh - бесплатный курс по анонимности и безопасности в сети. Истории ошибок и арестов известных киберпреступников, тайные технологии защиты информации, ловушки для хакеров и многое другое.
@webware - хакинг от новичка до профи. Только свежая и эксклюзивная информация. Offensive, Defensive, Penetration test, CTF…
@swaproservice - Обратная сторона цифровой паутины. От основ безопасности до взлома человека. Пентестинг, защита от мошенников, истории реальных людей и просто полезное чтиво не оставят вас равнодушным.
@vschannel - канал Дмитрия Момота, известного в сети под псевдонимом VektorT13. Он пишет про уникализацию, антидетекты, методики отслеживания, анти-фрод системы, отпечатки браузера, железа и операционной системы.
@exploitex - хакинг для новичков и профи. Информационная безопасность, этичный хакинг, уязвимости, пентест и многое другое, что необходимо каждому хакеру.
@itsec_news - регулярные подборки новостей и интересных публикаций в сфере информационной безопасности.
CyberYozh - бесплатный курс по анонимности и безопасности в сети. Истории ошибок и арестов известных киберпреступников, тайные технологии защиты информации, ловушки для хакеров и многое другое.
@webware - хакинг от новичка до профи. Только свежая и эксклюзивная информация. Offensive, Defensive, Penetration test, CTF…
@swaproservice - Обратная сторона цифровой паутины. От основ безопасности до взлома человека. Пентестинг, защита от мошенников, истории реальных людей и просто полезное чтиво не оставят вас равнодушным.
@vschannel - канал Дмитрия Момота, известного в сети под псевдонимом VektorT13. Он пишет про уникализацию, антидетекты, методики отслеживания, анти-фрод системы, отпечатки браузера, железа и операционной системы.
@exploitex - хакинг для новичков и профи. Информационная безопасность, этичный хакинг, уязвимости, пентест и многое другое, что необходимо каждому хакеру.
@itsec_news - регулярные подборки новостей и интересных публикаций в сфере информационной безопасности.
Исследователь с канала @webpwn обнаружил в свободном доступе на GitHub учетную запись компании DeviceLock, которую мы использовали для доступа к FTP-серверу технической поддержки клиентов.
Выглядит конечно неприятно, но не более того. Этот FTP имеет статус общедоступного (на самом деле только для клиентов DeviceLock DLP) и предназначен для обмена внутренними логами продукта.
Логи DeviceLock DLP не содержат никаких персональных или иных чувствительных данных наших клиентов и служат исключительно для поиска и устранения неисправностей в коде продукта.
Самое «страшное», что утекло - это названия директорий с именами наших клиентов, которых мы кстати, никогда и не скрывали. Список клиентов можно посмотреть тут: https://www.devicelock.com/ru/company/testimonials.html
Выражаем признательность исследователю за своевременное оповещение.
Выглядит конечно неприятно, но не более того. Этот FTP имеет статус общедоступного (на самом деле только для клиентов DeviceLock DLP) и предназначен для обмена внутренними логами продукта.
Логи DeviceLock DLP не содержат никаких персональных или иных чувствительных данных наших клиентов и служат исключительно для поиска и устранения неисправностей в коде продукта.
Самое «страшное», что утекло - это названия директорий с именами наших клиентов, которых мы кстати, никогда и не скрывали. Список клиентов можно посмотреть тут: https://www.devicelock.com/ru/company/testimonials.html
Выражаем признательность исследователю за своевременное оповещение.
А теперь вернемся к серьезным утечкам… 😎
Неизвестные «сдампили» базу данных компании FirstVDS (firstvds.ru), предоставляющей услуги хостинга на виртуальных выделенных серверах VDS или VPS. 🔥🔥🔥
Утекли данные клиентов, доступы к внутренним и клиентским серверам. 🤦♂️🤦🏻♂️🙈
Общий объем данных попавших в свободный доступ превышает 800 Мб. В распространяемом архиве находится 9 файлов формата .SQL:
✅ dedic_100_.sql
✅ domains.sql
✅ forum.roundabout.ru.sql
✅ item_502089.sql
✅ profile_124368.sql
✅ server_195.sql
✅ sysadmin_15.sql
✅ user.sql
✅ vds_66194.sql
Таблица users насчитывает 126745 строк, содержащих такие поля, как:
Таблица profile насчитывает 124616 строк, содержащих такие поля, как:
Также открытые пароли находятся в таблицах domains, sysadmin, vds, dedic. 😂
Мы проверили несколько контактов из этой утекшей базы – все они реальные. 👍
Неизвестные «сдампили» базу данных компании FirstVDS (firstvds.ru), предоставляющей услуги хостинга на виртуальных выделенных серверах VDS или VPS. 🔥🔥🔥
Утекли данные клиентов, доступы к внутренним и клиентским серверам. 🤦♂️🤦🏻♂️🙈
Общий объем данных попавших в свободный доступ превышает 800 Мб. В распространяемом архиве находится 9 файлов формата .SQL:
✅ dedic_100_.sql
✅ domains.sql
✅ forum.roundabout.ru.sql
✅ item_502089.sql
✅ profile_124368.sql
✅ server_195.sql
✅ sysadmin_15.sql
✅ user.sql
✅ vds_66194.sql
Таблица users насчитывает 126745 строк, содержащих такие поля, как:
id, name, isgroup, account, password, realname, email, lang, superuser, disabled, timezone, support, remotesupport, remotelevel, remoteid, changepasswd, note, chief, sendsms, phone, smstimefrom, smstimeto, avatar
Стоит отметить, что в этой таблице пароли хешированные. Таблица profile насчитывает 124616 строк, содержащих такие поля, как:
id, name, account, ptype, person, vatnum, kpp, country, zip, city, address, ccountry, czip, ccity, caddress, phone, fax, email, www, locale, hasinvoice, billnumber, invoicenumber, billtempl, invoicetempl, paydesc, contractnumber, director, jobtitle, rdirector, rjobtitle, baseaction, passport, regdate, maildocs, id1c, fastinvoice, invoicedesc, postcompany, postcurrency, reconciliationtempl, ogrn, bankname, bik, rs, ks, wrongaddress, returnreason
Таблица server насчитывает 195 строк, содержащих такие поля, как: id, name, mgrname, ip, username, password, rlimit, cpmodule, config, statdate, datacenter, active, loading, manualcontact, url, monitor, prolong, changeparam, sendtask, features
А в этой таблице пароли хранятся в открытом (текстовом) виде! 😱Также открытые пароли находятся в таблицах domains, sysadmin, vds, dedic. 😂
Мы проверили несколько контактов из этой утекшей базы – все они реальные. 👍
Анализ утекших данных FirstVDS показал, что примерный возраст данных - 7 лет.
В процессе анализа не удалось найти ни одну запись старше 2012 года.
Разумеется, это не делает данную утечку менее значимой, т.к. персональные данные клиентов (ФИО, даты рождения, номера паспортов, телефоны, адреса регистрации, адреса электронной почты и т.п.) имеют куда больший срок годности.
Однако, утекшие пароли возможно уже были изменены за прошедшие годы.
В процессе анализа не удалось найти ни одну запись старше 2012 года.
Разумеется, это не делает данную утечку менее значимой, т.к. персональные данные клиентов (ФИО, даты рождения, номера паспортов, телефоны, адреса регистрации, адреса электронной почты и т.п.) имеют куда больший срок годности.
Однако, утекшие пароли возможно уже были изменены за прошедшие годы.
А вот официальный ответ основателя и генерального директора FirstVDS Алексея Чекушкина:
Да, мы знаем об этой новости. Выложенная база датируется ещё 2012 годом — все пользователи, данные которых оказались в открытом доступе, были предупреждены ещё в те времена и тогда же сменили пароли к серверам и аккаунтам. Никого из действующих пользователей FirstVDS проблема не затрагивает, поэтому волноваться не о чем.
Да, мы знаем об этой новости. Выложенная база датируется ещё 2012 годом — все пользователи, данные которых оказались в открытом доступе, были предупреждены ещё в те времена и тогда же сменили пароли к серверам и аккаунтам. Никого из действующих пользователей FirstVDS проблема не затрагивает, поэтому волноваться не о чем.
В открытом доступе обнаружена незащищенная база данных MongoDB, в которой хранятся данные московских станций скорой медицинской помощи (ССМП). База называется «ssmp» и имеет размер 17.3 Гб. 🔥🔥🔥
В базе содержится:
✅ дата/время вызова
✅ ФИО членов бригады скорой помощи (включая водителя)
✅ госномер автомобиля бригады скорой помощи
✅ статус автомобиля бригады скорой помощи (например, “прибытие на вызов”)
✅ адрес вызова
✅ ФИО, дата рождения, пол пациента
✅ описание состояния пациента (например, “температура >39, плохо снижается, взрослый”)
✅ ФИО вызывавшего скорую помощь
✅ контактный телефон
✅ и многое другое…
Информация в базе похожа на логи (ОПЯТЬ логи!) какой-то системы мониторинга/отслеживания процесса выполнения задачи.
Самое печальное, что отсутствие аутентификации на этот раз не является единственной проблемой в данном инциденте. 😱
1️⃣ Во-первых, данную базу обнаружили украинские киберпреступники из группировки THack3forU, про которых мы упоминали тут: https://yangx.top/dataleak/906
2️⃣ Во-вторых, киберпреступники выложили эту базу и ее IP-адрес в открытый доступ и теперь все данные «гуляют» по интернету. 😂
3️⃣ В-третьих, сервер базы данных с персональными и медицинскими данным российских граждан располагается в Германии, на площадке хостинговой компании Hetzner Online GmbH. 🤦♂️🤦🏻♂️
В базе содержится:
✅ дата/время вызова
✅ ФИО членов бригады скорой помощи (включая водителя)
✅ госномер автомобиля бригады скорой помощи
✅ статус автомобиля бригады скорой помощи (например, “прибытие на вызов”)
✅ адрес вызова
✅ ФИО, дата рождения, пол пациента
✅ описание состояния пациента (например, “температура >39, плохо снижается, взрослый”)
✅ ФИО вызывавшего скорую помощь
✅ контактный телефон
✅ и многое другое…
Информация в базе похожа на логи (ОПЯТЬ логи!) какой-то системы мониторинга/отслеживания процесса выполнения задачи.
Самое печальное, что отсутствие аутентификации на этот раз не является единственной проблемой в данном инциденте. 😱
1️⃣ Во-первых, данную базу обнаружили украинские киберпреступники из группировки THack3forU, про которых мы упоминали тут: https://yangx.top/dataleak/906
2️⃣ Во-вторых, киберпреступники выложили эту базу и ее IP-адрес в открытый доступ и теперь все данные «гуляют» по интернету. 😂
3️⃣ В-третьих, сервер базы данных с персональными и медицинскими данным российских граждан располагается в Германии, на площадке хостинговой компании Hetzner Online GmbH. 🤦♂️🤦🏻♂️
Telegram
Утечки информации
А вот пример того, почему важно быстро реагировать на оповещения исследователей безопасности, когда они сообщают компаниям об обнаружении открытых баз данных или других уязвимостей.
В данном конкретном случае украинские киберпреступники заявляют о взломе…
В данном конкретном случае украинские киберпреступники заявляют о взломе…
Установили предполагаемого владельца открытой базы данных московских станций скорой медицинской помощи - ООО «Компьютерные интеллектуальные системы» (КИ системы): http://c-i-systems.com/solutions/programs-smp/
Отослали им оповещение с предложением закрыть доступ к базе.
К сожалению, база уже утекла и находится в публичном доступе. 😂
Отослали им оповещение с предложением закрыть доступ к базе.
К сожалению, база уже утекла и находится в публичном доступе. 😂
Ну что? Поехали разбирать новый кейс... 🙈
Снова открытая база Elasticsearch. Снова в базе логи, в которых токены авторизации и прямые ссылки на незащищенные данные. Снова через токены можно попасть в личные кабинеты пользователей и получить полный доступ к их данным. Снова никто не ответил на оповещение и тихо прикрыв базу, оставил дыру с токенами. 🔥
Снова открытая база Elasticsearch. Снова в базе логи, в которых токены авторизации и прямые ссылки на незащищенные данные. Снова через токены можно попасть в личные кабинеты пользователей и получить полный доступ к их данным. Снова никто не ответил на оповещение и тихо прикрыв базу, оставил дыру с токенами. 🔥
На этот раз отличился сервис автообзвона zvonok.com (он же calltools.ru).
В открытой базе данных Elasticsearch находилось 4 индекса, каждый индекс представлял из себя технический лог системы.
Из логов легко можно было вычленить URL’ы, а по ним уже получить доступ к звонкам в формате WAV:
https://zvonok.com/manager/media/converted/*******dfc1/aed4cb1af98/1e39804439.wav
Зарывшись в логи чуть поглубже можно было найти токены авторизации (public_key). Из этой информации уже легко формировался URL для доступа в личный кабинет:
https://calltools.ru/lk/cabapi_external/api/v1/phones/call_by_id/?public_key=********dec33920b83d85998352fccb &call_id=1902071004846910
Кроме того, через логи можно было вытащить списки для автообзвона, которые использовали клиенты этого сервиса. Например, список с названием «сбер дебетовая» содержал 678 телефонных номеров. 👍
База оставалась открытой более 4 дней с момента первичного оповещения сервиса и «закрылась» 04.04.2019 в промежутке между 11:00 и 15:00 (МСК), после вторичного оповещения через чат на сайте.
Всего Shodan фиксировал эту базу 4 раза, начиная с 28-го января 2019 года.
В данный момент все URL по-прежнему работают и предоставляют доступ к данным клиентов сервиса. 🤦♂️🤦🏻♂️
В открытой базе данных Elasticsearch находилось 4 индекса, каждый индекс представлял из себя технический лог системы.
Из логов легко можно было вычленить URL’ы, а по ним уже получить доступ к звонкам в формате WAV:
https://zvonok.com/manager/media/converted/*******dfc1/aed4cb1af98/1e39804439.wav
Зарывшись в логи чуть поглубже можно было найти токены авторизации (public_key). Из этой информации уже легко формировался URL для доступа в личный кабинет:
https://calltools.ru/lk/cabapi_external/api/v1/phones/call_by_id/?public_key=********dec33920b83d85998352fccb &call_id=1902071004846910
Кроме того, через логи можно было вытащить списки для автообзвона, которые использовали клиенты этого сервиса. Например, список с названием «сбер дебетовая» содержал 678 телефонных номеров. 👍
База оставалась открытой более 4 дней с момента первичного оповещения сервиса и «закрылась» 04.04.2019 в промежутке между 11:00 и 15:00 (МСК), после вторичного оповещения через чат на сайте.
Всего Shodan фиксировал эту базу 4 раза, начиная с 28-го января 2019 года.
В данный момент все URL по-прежнему работают и предоставляют доступ к данным клиентов сервиса. 🤦♂️🤦🏻♂️
Используя токены из открытой базы zvonok.com можно было попасть в личные кабинеты пользователей сервиса.
Прокуратура Саратова начала проверку по факту несанкционированного складирования медицинских отходов, среди которых имеется медицинская документация на пациентов и работников, неподалеку от здания медицинского «Ди Центра».
В выброшенных документах сдержаться анкетные данные граждан, их домашние адреса, диагнозы и результаты обследований.
В выброшенных документах сдержаться анкетные данные граждан, их домашние адреса, диагнозы и результаты обследований.
Вы заметили, что веб-сайт компании ООО «Компьютерные интеллектуальные системы» (c-i-systems.com), который также располагался в Германии, как и база данных московских станций скорой медицинской помощи (про это тут: https://yangx.top/dataleak/916), больше не доступен? 😎
Читатель канала прислал ссылку на расследование про группировку украинских хакеров THack3forU:
https://pikabu.ru/story/mamkinyi_khakeryi_na_strazhe_nezalezhnosti_6629474
Тех самых, что слили базу данных московских станций скорой медицинской помощи (про это тут: https://yangx.top/dataleak/916).
https://pikabu.ru/story/mamkinyi_khakeryi_na_strazhe_nezalezhnosti_6629474
Тех самых, что слили базу данных московских станций скорой медицинской помощи (про это тут: https://yangx.top/dataleak/916).
Пикабу
Мамкины хакеры на страже незалежности.
Сегодня многие IT-сообщества обсуждают обнаруженную в открытом доступе свежую и постоянно обновляемую базу данных московских станций скорой помощи. Ситуация, конечно, неприятная. Мало того, что всем ж Автор: Vlunu