Forwarded from DeviceLock RU
Банкам очень не нравится, когда кто-то говорит об утечках их клиентов. Бороться с утечками они увы (для нас – простых клиентов, держащих там свои средства) не умеют. 😱
Зато их PR-отделы умеют ловко манипулировать фактами и размещать материалы в СМИ и в Telegram-каналах.
Цитата из «Известий»:
"Источник новостей о массовых утечках данных мог иметь коммерческий интерес, заявили «Известиям» в крупнейших финансовых организациях. В Альфа-банке, «Открытии» и Тинькофф-банке рассказали, что сообщения о компрометации персональных данных из их систем появились в прессе после того, как они отклонили предложение компании DeviceLock."
✅ Разумеется, DeviceLock ко всем ним (и к другим) обращались с предложением рассмотреть возможность использования продукта для борьбы с утечками. Любой другой производитель ПО, дистрибутор и системный интегратор также обращается к потенциальным потребителям своих продуктов.
✅ Факт также в том, что мы безвозмездно, т.е. даром, всегда сообщаем банкам (до случая явного отрицания с их стороны в стиле "вы врете, у нас утечек нет") о появлении тех или иных данных на черном рынке.
✅ Кроме того, мы единственные, кто открыто и публично говорит о проблеме, поэтому часто в СМИ и являемся первоисточником информации об утечках.
Кстати, пример такого отрицания со стороны Сбербанка описан в этой же статье «Известий»: "«Упоминание вами (представителем DeviceLock. — «Известия») неоднократных утечек данных не является обоснованным, так как не соответствует действительности», — подчеркивал в своем ответе топ-менеджер Сбербанка."
К сожалению это “не соответствие действительности” сейчас могут наблюдать все, причем и через официальные каналы коммуникаций самого Сбербанка, признавшего утечку данных уже 5 тыс. карт.
Зато их PR-отделы умеют ловко манипулировать фактами и размещать материалы в СМИ и в Telegram-каналах.
Цитата из «Известий»:
"Источник новостей о массовых утечках данных мог иметь коммерческий интерес, заявили «Известиям» в крупнейших финансовых организациях. В Альфа-банке, «Открытии» и Тинькофф-банке рассказали, что сообщения о компрометации персональных данных из их систем появились в прессе после того, как они отклонили предложение компании DeviceLock."
✅ Разумеется, DeviceLock ко всем ним (и к другим) обращались с предложением рассмотреть возможность использования продукта для борьбы с утечками. Любой другой производитель ПО, дистрибутор и системный интегратор также обращается к потенциальным потребителям своих продуктов.
✅ Факт также в том, что мы безвозмездно, т.е. даром, всегда сообщаем банкам (до случая явного отрицания с их стороны в стиле "вы врете, у нас утечек нет") о появлении тех или иных данных на черном рынке.
✅ Кроме того, мы единственные, кто открыто и публично говорит о проблеме, поэтому часто в СМИ и являемся первоисточником информации об утечках.
Кстати, пример такого отрицания со стороны Сбербанка описан в этой же статье «Известий»: "«Упоминание вами (представителем DeviceLock. — «Известия») неоднократных утечек данных не является обоснованным, так как не соответствует действительности», — подчеркивал в своем ответе топ-менеджер Сбербанка."
К сожалению это “не соответствие действительности” сейчас могут наблюдать все, причем и через официальные каналы коммуникаций самого Сбербанка, признавшего утечку данных уже 5 тыс. карт.
В дополнение к предыдущему репосту из @devicelock_ru 👇
Немного цифр и фактов о том, как «сообщения о компрометации персональных данных из их систем появились в прессе после того, как они отклонили наше предложение»:
🤦🏻♀️ Банк Тинькофф: предложение о сотрудничестве - июнь 2018, информация о продаже базы клиентов – август 2019. Прошел 1 год и 2 месяца.
🤦🏻♀️ Альфа Банк: предложение о сотрудничестве - июнь 2018, информация о продаже базы клиентов – июнь 2019. Прошел всего год.
🤦🏻♀️ Сбербанк: предложение о сотрудничестве - июль 2018 года, информация о продаже базы клиентов - октябрь 2019 года. Прошел 1 год и 2 месяца.
Ребята в службах безопасности банков хотели все отрицая до пенсии спокойно досидеть, а мы им помешали своей активностью. Прямо жаль их! 🤣😂
Немного цифр и фактов о том, как «сообщения о компрометации персональных данных из их систем появились в прессе после того, как они отклонили наше предложение»:
🤦🏻♀️ Банк Тинькофф: предложение о сотрудничестве - июнь 2018, информация о продаже базы клиентов – август 2019. Прошел 1 год и 2 месяца.
🤦🏻♀️ Альфа Банк: предложение о сотрудничестве - июнь 2018, информация о продаже базы клиентов – июнь 2019. Прошел всего год.
🤦🏻♀️ Сбербанк: предложение о сотрудничестве - июль 2018 года, информация о продаже базы клиентов - октябрь 2019 года. Прошел 1 год и 2 месяца.
Ребята в службах безопасности банков хотели все отрицая до пенсии спокойно досидеть, а мы им помешали своей активностью. Прямо жаль их! 🤣😂
Интересно было ли вам почитать новые исследования черного рынка российских баз данных? 👇
Anonymous Poll
92%
Да, интересно про любые базы
2%
Нет, не интересно вообще
2%
Да, интересно только про банковские базы
1%
Нет, интересно читать только про обнаружение открытых баз (MongoDB, Elasticsearch и т.п.)
2%
Да, интересно только про не банковские базы
Неизвестные заявляют (https://btcfile.link/f/3zGVyLNEMPQGF4iGpFRomHzWge6x), что им удалось завладеть полным дампом базы данных сети обменников «электронных» (Webmoney, Яндекс.Денег, Qiwi и др.) денег SmartWM.ru (включая yandex-id.com, smartid.live, smartwm.biz, obmenka.ua, obmenka24.ru, exchanger1.com, worldchange.ru, changeinfo.ru). 🔥
Дамп, содержащий логины, имена, адреса, пароли (частично расшифрованные), ID-кошельков пользователей, номера банковских карт (в частности MasterCard, выпущенные «YANDEX.MONEY NBCO LLC») и даты их истечения, балансы, сканы паспортов, пытаются продать за $50 тыс. 😱
Мы проверили несколько кошельков Яндекс.Денег из выложенного в свободный доступ примера и оказалось, что выложенные номера кошельков полностью соответствуют номерам телефонов и логинам. 👍
Дамп датируется предположительно 9-м октября 2019 г.
Дамп, содержащий логины, имена, адреса, пароли (частично расшифрованные), ID-кошельков пользователей, номера банковских карт (в частности MasterCard, выпущенные «YANDEX.MONEY NBCO LLC») и даты их истечения, балансы, сканы паспортов, пытаются продать за $50 тыс. 😱
Мы проверили несколько кошельков Яндекс.Денег из выложенного в свободный доступ примера и оказалось, что выложенные номера кошельков полностью соответствуют номерам телефонов и логинам. 👍
Дамп датируется предположительно 9-м октября 2019 г.
По версии прокуратуры Новосибирской области, с 22 августа 2016 года по 11 сентября 2017-го бывший оперуполномоченный подразделения экономической безопасности и противодействия коррупции УМВД по Новосибирску, злоупотребляя своими полномочиями, трижды незаконно получил из базы данных информационного центра ГУ МВД России по Новосибирской области сведения о персональных данных граждан.
Речь идёт о паспортных данных, фотографиях, адресах, телефонах, сведениях о привлечении к уголовной и административной ответственности и другой информации, которую обвиняемый передавал по WhatsApp своему знакомому в Москву.
35-летний бывший полицейский обвиняется в «злоупотреблении должностными полномочиями» (ч. 1 ст. 285 УК РФ) и «незаконном собирании и распространении сведений о частной жизни лиц с использованием служебного положения» (ч. 2 ст. 137 УК РФ).
Свою вину он не признал, отказавшись от дачи каких-либо пояснений.
Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: 👇
https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html
Речь идёт о паспортных данных, фотографиях, адресах, телефонах, сведениях о привлечении к уголовной и административной ответственности и другой информации, которую обвиняемый передавал по WhatsApp своему знакомому в Москву.
35-летний бывший полицейский обвиняется в «злоупотреблении должностными полномочиями» (ч. 1 ст. 285 УК РФ) и «незаконном собирании и распространении сведений о частной жизни лиц с использованием служебного положения» (ч. 2 ст. 137 УК РФ).
Свою вину он не признал, отказавшись от дачи каких-либо пояснений.
Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: 👇
https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html
Киберпротект
DLP-система Кибер Протего – защита от утечки конфиденциальных данных
DLP-система Кибер Протего предотвращает утечку конфиденциальной информации, контролирует передачу данных и позволяет обнаруживать нарушения политики их хранения.
Нам поступил официальный комментарий от Яндекс.Деньги относительно этой новости: https://yangx.top/dataleak/1305 👇
Опубликованные данные - это информация о счетах пользователей, которые, как выяснилось, обменивали деньги через сервис частного лица (все операции на таких ресурсах по сути являются переводами между физлицами). Данные о своих кошельках и картах пользователи оставляли на этом ресурсе добровольно — среди них оказались и наши клиенты. Мы расследовали ситуацию и выяснили, что злоумышленники взломали сервер этого частного ресурса и получили доступ к токенам, логинам, номерам карт и другой информации, которую там указали сами пользователи. Вне этого ресурса злоупотребить платежной информацией невозможно — для всех операций по кошелькам требуется ввод платёжного пароля, и у большинства наших пользователей уже давно настроена двухфакторная авторизация с паролем из смс или приложения. Для операций по картам также требуется подтверждение по 3Ds, но в любом случае мы перевыпустим все карты, данные которых были обнародованы.
Опубликованные данные - это информация о счетах пользователей, которые, как выяснилось, обменивали деньги через сервис частного лица (все операции на таких ресурсах по сути являются переводами между физлицами). Данные о своих кошельках и картах пользователи оставляли на этом ресурсе добровольно — среди них оказались и наши клиенты. Мы расследовали ситуацию и выяснили, что злоумышленники взломали сервер этого частного ресурса и получили доступ к токенам, логинам, номерам карт и другой информации, которую там указали сами пользователи. Вне этого ресурса злоупотребить платежной информацией невозможно — для всех операций по кошелькам требуется ввод платёжного пароля, и у большинства наших пользователей уже давно настроена двухфакторная авторизация с паролем из смс или приложения. Для операций по картам также требуется подтверждение по 3Ds, но в любом случае мы перевыпустим все карты, данные которых были обнародованы.
Telegram
Утечки информации
Неизвестные заявляют (https://btcfile.link/f/3zGVyLNEMPQGF4iGpFRomHzWge6x), что им удалось завладеть полным дампом базы данных сети обменников «электронных» (Webmoney, Яндекс.Денег, Qiwi и др.) денег SmartWM.ru (включая yandex-id.com, smartid.live, smartwm.biz…
С нами связались представители обменника SmartWM.ru и предоставили детальную информацию по инциденту (https://yangx.top/dataleak/1305): 👇
12 сентября 2019 года неустановленным лицом осуществлен несанкционированный доступ к ряду наших ресурсов. В рамках проведенного исследования установлены способы осуществления вмешательства, а также предприняты меры по устранению угрозы.
Злоумышленник, осуществивший атаку, угрожал и требовал выкуп; после неудовлетворения озвученных им условий упомянутое неустановленное лицо выставило на продажу массив данных.
Мы провели мероприятия по уведомлению клиентов, чьи данные (например, адрес электронной почты, ФИО, номер паспорта), могли быть скомпрометированы. Предполагаем, что злоумышленник продолжит кампанию по дискредитации нашего имиджа, манипулируя имеющимися у него данными.
Отметим, что во время общения с преступником он заявлял, что его объектами заинтересованности являются и другие обменные пункты, "список которых доступен на bestchange.ru". В этой связи мы публикуем некоторые индикаторы атак, чтобы наши коллеги и партнеры могли осуществить проверку.
1. Получение несанкционированного доступа сопровождается их предварительным сканированием с помощью таких инструментов как: DirBuster, BurpSuite (Burp Collaborator) и т.п. Применение этих сканеров имеет отображение в журналах веб-сервера.
2. Для попытки обхода WAF (Web Application Firewal) атакующий модифицирует значение HTTP-заголовков. Например, добавляет "127.0.0.1" в заголовок X-Forwarded-For.
3. Осуществляя противоправную деятельность злоумышленник использовал
такие IP-адреса:
185.195.16.180
185.65.134.232
185.212.170.228
185.212.149.203
185.206.227.135
185.156.173.28
185.213.154.130
188.163.92.240
37.120.204.10
37.120.198.72
45.12.222.215
141.98.252.232
4. Злоумышленник использовал такие VPN-сервисы: MullVad, WireGuard. Кроме этого, большинство замеченных IP-адресов принадлежат компании M247.
5. Нижеприведенные кошельки также принадлежат злоумышленнику:
36fuuedwdipS8P1Z3sGfQHkM84jmk8xLXk
1CvC1gQxyXfzAVupbcayu7jcEQutd8RGiu
12Nx6ZLKqAQWPmWJoh1YSfv8Xk21WBHhnA
6. Аккаунт злоумышленника в Telegram: @piforyou
7. Просим учесть, что адрес электронной почты [email protected] является скомпрометированным и используется злоумышленником, по его же словам, для осуществления другой противоправной деятельности.
12 сентября 2019 года неустановленным лицом осуществлен несанкционированный доступ к ряду наших ресурсов. В рамках проведенного исследования установлены способы осуществления вмешательства, а также предприняты меры по устранению угрозы.
Злоумышленник, осуществивший атаку, угрожал и требовал выкуп; после неудовлетворения озвученных им условий упомянутое неустановленное лицо выставило на продажу массив данных.
Мы провели мероприятия по уведомлению клиентов, чьи данные (например, адрес электронной почты, ФИО, номер паспорта), могли быть скомпрометированы. Предполагаем, что злоумышленник продолжит кампанию по дискредитации нашего имиджа, манипулируя имеющимися у него данными.
Отметим, что во время общения с преступником он заявлял, что его объектами заинтересованности являются и другие обменные пункты, "список которых доступен на bestchange.ru". В этой связи мы публикуем некоторые индикаторы атак, чтобы наши коллеги и партнеры могли осуществить проверку.
1. Получение несанкционированного доступа сопровождается их предварительным сканированием с помощью таких инструментов как: DirBuster, BurpSuite (Burp Collaborator) и т.п. Применение этих сканеров имеет отображение в журналах веб-сервера.
2. Для попытки обхода WAF (Web Application Firewal) атакующий модифицирует значение HTTP-заголовков. Например, добавляет "127.0.0.1" в заголовок X-Forwarded-For.
3. Осуществляя противоправную деятельность злоумышленник использовал
такие IP-адреса:
185.195.16.180
185.65.134.232
185.212.170.228
185.212.149.203
185.206.227.135
185.156.173.28
185.213.154.130
188.163.92.240
37.120.204.10
37.120.198.72
45.12.222.215
141.98.252.232
4. Злоумышленник использовал такие VPN-сервисы: MullVad, WireGuard. Кроме этого, большинство замеченных IP-адресов принадлежат компании M247.
5. Нижеприведенные кошельки также принадлежат злоумышленнику:
36fuuedwdipS8P1Z3sGfQHkM84jmk8xLXk
1CvC1gQxyXfzAVupbcayu7jcEQutd8RGiu
12Nx6ZLKqAQWPmWJoh1YSfv8Xk21WBHhnA
6. Аккаунт злоумышленника в Telegram: @piforyou
7. Просим учесть, что адрес электронной почты [email protected] является скомпрометированным и используется злоумышленником, по его же словам, для осуществления другой противоправной деятельности.
Telegram
Утечки информации
Неизвестные заявляют (https://btcfile.link/f/3zGVyLNEMPQGF4iGpFRomHzWge6x), что им удалось завладеть полным дампом базы данных сети обменников «электронных» (Webmoney, Яндекс.Денег, Qiwi и др.) денег SmartWM.ru (включая yandex-id.com, smartid.live, smartwm.biz…
Продолжая тему с обменником SmartWM.ru – в свободном доступе уже появился Excel-файл (и его конверт в Cronos) с данными 999 клиентов обменника.
Заявленная актуальность данных - 09.10.2019, однако дата последнего входа в систему в этой таблице – 16.09.2019. 😎
В таблице очень много мусорных и пустых записей.
Заявленная актуальность данных - 09.10.2019, однако дата последнего входа в систему в этой таблице – 16.09.2019. 😎
В таблице очень много мусорных и пустых записей.
Журналисты зашли в интернет и обнаружили там разное… 🤦♂️🤦🏻♂️🤦🏽♂️
«Известия» пишут:
Базу кодов замков и домофонов корреспондент «Известий» обнаружил на одном из интернет-ресурсов — скачать ее можно свободно и бесплатно. В списке более 75 тыс. записей: есть цифровые ключи от подъездов в Москве и некоторых городах Подмосковья. В ней присутствуют как трехзначные коды механических замков, так и более сложные — от домофонов.
Затрудняемся сказать, когда первый раз в свободном доступе появилась база «коды домофонов Москвы», но в 2017 году уже были данные за 2011 год.
В данном случае речь идет о файле с данными (75,711 строк) за 08.2019.
Скоро журналисты расскажут нам про базу «Авито» или «ИП». Ждем… 🤣
«Известия» пишут:
Базу кодов замков и домофонов корреспондент «Известий» обнаружил на одном из интернет-ресурсов — скачать ее можно свободно и бесплатно. В списке более 75 тыс. записей: есть цифровые ключи от подъездов в Москве и некоторых городах Подмосковья. В ней присутствуют как трехзначные коды механических замков, так и более сложные — от домофонов.
Затрудняемся сказать, когда первый раз в свободном доступе появилась база «коды домофонов Москвы», но в 2017 году уже были данные за 2011 год.
В данном случае речь идет о файле с данными (75,711 строк) за 08.2019.
Скоро журналисты расскажут нам про базу «Авито» или «ИП». Ждем… 🤣
В августе 2018 пакистанский хакер взломал и украл данные 28,517,244 пользователей магазина "закрытых распродаж" – HauteLook.com, в том числе логины, адреса электронной почты и хешированные (bcrypt) пароли.
Совсем недавно стали доступны 6,5 млн. логинов и расшифрованных паролей к ним из этого дампа.
Мы проверили эти записи и на 60% пары логин/пароль оказались уникальными и никогда раньше не встречались в утечках. 👍
Совсем недавно стали доступны 6,5 млн. логинов и расшифрованных паролей к ним из этого дампа.
Мы проверили эти записи и на 60% пары логин/пароль оказались уникальными и никогда раньше не встречались в утечках. 👍
Продолжаем обновлять нашу коллекцию логинов и паролей, т.к. скоро планируем выпустить обновление исследования «анализ паролей». 👇
На этот раз в свободном доступе появились:
1️⃣ расшифрованные пароли от хостинговой площадки для Minecraft-cерверов – Leet.cc. Утечка произошла в сентябре 2016 года и затронула 5,071,759 аккаунтов, содержащих хешированные пароли (SHA-512 с солью поксоренные на Whirlpool с солью), логины и адреса эл. почты. Из 4,3 млн. расшифрованных паролей, 86% оказались уникальными.
2️⃣ 640 тыс. расшифрованных паролей от японского сервиса создания и хостинга Web-страниц - nanos.jp. Более 80% паролей оказались уникальными и никогда раньше не встречались в утечках.
На этот раз в свободном доступе появились:
1️⃣ расшифрованные пароли от хостинговой площадки для Minecraft-cерверов – Leet.cc. Утечка произошла в сентябре 2016 года и затронула 5,071,759 аккаунтов, содержащих хешированные пароли (SHA-512 с солью поксоренные на Whirlpool с солью), логины и адреса эл. почты. Из 4,3 млн. расшифрованных паролей, 86% оказались уникальными.
2️⃣ 640 тыс. расшифрованных паролей от японского сервиса создания и хостинга Web-страниц - nanos.jp. Более 80% паролей оказались уникальными и никогда раньше не встречались в утечках.
Неизвестные обнаружили и «слили» в свободный доступ открытую базу данных MongoDB, принадлежащую сервису поиска по социальным сетям (Twitter, Facebook, YouTube, Instagram, ВКонтакте и др.) – Social Searcher (social-searcher.com). 😱
В открытом доступе оказалось два файла:
🌵 accounts.json – содержит 75,824 записи с данными пользователей сервиса: адреса электронной почты, ключи доступа к API, даты регистрации и т.п.
🌵 searches.json – содержит 73,840 записи с поисковыми запросами пользователей: содержимое запросов, в каких соц. сетях искать, идентификаторы пользователей, даты создания запросов и т.п.
Ознакомится с выложенным примером данных можно тут: https://0bin.net/paste/PZt0jSKYzv1hqrSg#0iYNfBZPx3D0IDNfJczh4Fnsveo3hND06YKySKvOoGm 😎
Судя по данным о времени регистрации пользователей, база была «слита» 21-го сентября 2019 г. 🤦♂️
Про то, как исследователи обнаруживают открытые базы данных Elasticsearch и MongoDB читайте тут: 👇
https://www.devicelock.com/ru/blog/obnaruzhenie-otkrytyh-baz-dannyh-mongodb-i-elasticsearch.html
В открытом доступе оказалось два файла:
🌵 accounts.json – содержит 75,824 записи с данными пользователей сервиса: адреса электронной почты, ключи доступа к API, даты регистрации и т.п.
🌵 searches.json – содержит 73,840 записи с поисковыми запросами пользователей: содержимое запросов, в каких соц. сетях искать, идентификаторы пользователей, даты создания запросов и т.п.
Ознакомится с выложенным примером данных можно тут: https://0bin.net/paste/PZt0jSKYzv1hqrSg#0iYNfBZPx3D0IDNfJczh4Fnsveo3hND06YKySKvOoGm 😎
Судя по данным о времени регистрации пользователей, база была «слита» 21-го сентября 2019 г. 🤦♂️
Про то, как исследователи обнаруживают открытые базы данных Elasticsearch и MongoDB читайте тут: 👇
https://www.devicelock.com/ru/blog/obnaruzhenie-otkrytyh-baz-dannyh-mongodb-i-elasticsearch.html
Мы обнаружили и сообщили (владельцам сервера) о том, что в свободно доступных индексах Elasticsearch обнаружены персональные данные (ФИО, ИНН, телефоны и т.п.) граждан Казахстана, отправлявших заявки в «Zhas Project: Проект развития молодежного корпуса» (zhasproject.kz) - совместный проект Международного банка реконструкции и развития и Министерства образования и науки Казахстана. 😴
К сожалению, никакой реакции на наше оповещение не последовало и Elasticsearch-сервер открыт до сих пор. 🤦♂️
Если среди наших читателей есть те, кому не безразлична проблема безопасности персональных данных граждан Казахстана, предлагаем им связаться с данным проектом и рассказать о проблеме. 👍
А подробнее об инциденте мы напишем позже. 😎
К сожалению, никакой реакции на наше оповещение не последовало и Elasticsearch-сервер открыт до сих пор. 🤦♂️
Если среди наших читателей есть те, кому не безразлична проблема безопасности персональных данных граждан Казахстана, предлагаем им связаться с данным проектом и рассказать о проблеме. 👍
А подробнее об инциденте мы напишем позже. 😎
3-го сентября система DeviceLock Data Breach Intelligence обнаружила свободно доступный Elasticsearch принадлежащий транспортной компании «БТФ» (tk-btf.ru).
В индексах Elasticsearch содержались логины и пароли (в открытом виде 🤦♂️) для доступа в личные кабинеты (tms.stage.tk-btf.ru) пользователей системы заказа перевозок:
"Request/Body": "{\"userName\":\"s.korXXXXX\",\"password\":\"5230bXXXXX\"}"
(реальные данные скрыты нами)
Кроме того, там находились ФИО и номера телефонов водителей:
"message": "Response body: [{\"id\":2,\"fullName\":\"XXX Николай Викторович 1\",\"assignedCode\":\"000022\",\"phoneNumber\":\"+7123XXXXXXX\",\"state\":{\"$type\":\"TransportManagementSystem.Mobile.Contracts.Dtos.DriverControllerDtos.InQueueDriverStateDto, TransportManagementSystem.Mobile.Contracts\",\"queuePriority\":\"regular\",\"state\":\"inQueueDriverState\"}}
По данным Shodan, сервер впервые появился в открытом доступе 03.09.2019. Мы оповестили владельцев через социальную сеть ВКонтакте и 16-го сентября сервер был убран из открытого доступа, а мы получили ответ: “Спасибо большое!”. 👍
🌵 Ранее мы писали про утечку из крупнейшей российской транспортно-логистической компании «FESCO»: https://yangx.top/dataleak/1081 🔥
🌵 Так же мы находили сервер, принадлежащий облачному сервису «LOGINE», предназначенному для автоматизации процессов транспортной логистики: https://yangx.top/dataleak/1103
🌵 А недавно сообщали про открытые сервера «ЛОРУС Эс Си Эм» - провайдера логистических услуг для крупных промышленных предприятий: https://yangx.top/dataleak/1241
В индексах Elasticsearch содержались логины и пароли (в открытом виде 🤦♂️) для доступа в личные кабинеты (tms.stage.tk-btf.ru) пользователей системы заказа перевозок:
"Request/Body": "{\"userName\":\"s.korXXXXX\",\"password\":\"5230bXXXXX\"}"
(реальные данные скрыты нами)
Кроме того, там находились ФИО и номера телефонов водителей:
"message": "Response body: [{\"id\":2,\"fullName\":\"XXX Николай Викторович 1\",\"assignedCode\":\"000022\",\"phoneNumber\":\"+7123XXXXXXX\",\"state\":{\"$type\":\"TransportManagementSystem.Mobile.Contracts.Dtos.DriverControllerDtos.InQueueDriverStateDto, TransportManagementSystem.Mobile.Contracts\",\"queuePriority\":\"regular\",\"state\":\"inQueueDriverState\"}}
По данным Shodan, сервер впервые появился в открытом доступе 03.09.2019. Мы оповестили владельцев через социальную сеть ВКонтакте и 16-го сентября сервер был убран из открытого доступа, а мы получили ответ: “Спасибо большое!”. 👍
🌵 Ранее мы писали про утечку из крупнейшей российской транспортно-логистической компании «FESCO»: https://yangx.top/dataleak/1081 🔥
🌵 Так же мы находили сервер, принадлежащий облачному сервису «LOGINE», предназначенному для автоматизации процессов транспортной логистики: https://yangx.top/dataleak/1103
🌵 А недавно сообщали про открытые сервера «ЛОРУС Эс Си Эм» - провайдера логистических услуг для крупных промышленных предприятий: https://yangx.top/dataleak/1241
Киберпротект
DLP-система Кибер Протего – защита от утечки конфиденциальных данных
DLP-система Кибер Протего предотвращает утечку конфиденциальной информации, контролирует передачу данных и позволяет обнаруживать нарушения политики их хранения.
Forwarded from DeviceLock RU
16-17 октября 2019 года в Экспоцентре (Москва) пройдет Форум ВБА-2019 «Цифровая эволюция в финансах», организованный Ассоциацией российских банков.
Компания "Смарт Лайн Инк", российский разработчик программного комплекса DeviceLock DLP и мировой лидер в области разработки программных средств контроля доступа к периферийным устройствам и предотвращения утечек данных с корпоративных компьютеров, выступает участником экспо-зоны форума.
Будем рады всех видеть 16-17 октября на нашем стенде В10.4, в Экспоцентре.
🔥🔥🔥
Приглашаем также посетить 17 октября в 12:00 доклад директора по решениям Сергея Вахонина «Как предотвращать утечки конфиденциальных данных в режиме реального времени». Доклад будет представлен в рамках секции «Информационная и кибербезопасность. Защита персональных данных. Антифрод», зал №3.
Компания "Смарт Лайн Инк", российский разработчик программного комплекса DeviceLock DLP и мировой лидер в области разработки программных средств контроля доступа к периферийным устройствам и предотвращения утечек данных с корпоративных компьютеров, выступает участником экспо-зоны форума.
Будем рады всех видеть 16-17 октября на нашем стенде В10.4, в Экспоцентре.
🔥🔥🔥
Приглашаем также посетить 17 октября в 12:00 доклад директора по решениям Сергея Вахонина «Как предотвращать утечки конфиденциальных данных в режиме реального времени». Доклад будет представлен в рамках секции «Информационная и кибербезопасность. Защита персональных данных. Антифрод», зал №3.
И снова про «пробив». На этот раз пишет «Коммерсантъ»:
🤦♂️ ЦБ предпочитает не замечать сегмент «пробива», который составляет львиную долю черного рынка данных клиентов банков.
🤦♂️ Из блицопроса выяснилось, что мониторинга объявлений по «пробиву» ФинЦЕРТ сам не ведет.
🤦♂️ При проверках кредитных организаций ФинЦЕРТ ставит на вид, что есть предложения по «пробиву» их клиентов, предлагает разобраться и принять меры, но не более, утверждают банкиры.
🤦♂️ При этом и участники рынка, и сторонние эксперты по информационной безопасности в один голос говорят, что выявить «пробивщиков» просто. «Делается контрольная закупка, а далее по логам (по журналу обращений к учетной записи.— “Ъ”) отслеживается тот, кто смотрел карточку клиента»,— поясняет собеседник “Ъ” в крупном банке.
🤦♂️ Заинтересованных в выявлении таких инсайдеров нет. Банкам сдавать злоумышленников в полицию невыгодно, поскольку это повлечет возбуждение уголовного дела, суд, публичность, репутационные риски.
🤦♂️ Знакомый полицейский пожаловался, что часто банки, наоборот, чинят препятствия при расследовании подобных уголовных дел, чтоб избежать возможной огласки. Результат очевиден — рынок «пробива» процветает.
🤦♂️ ЦБ предпочитает говорить, что из банков утекает малая доля персональных данных россиян, и не замечать очевидного.
Недавно мы опубликовали отчет «Цены российского черного рынка на пробив персональных данных (лето 2019)» 👇
https://www.devicelock.com/ru/blog/tseny-chernogo-rynka-na-rossijskie-personalnye-dannye.html
🤦♂️ ЦБ предпочитает не замечать сегмент «пробива», который составляет львиную долю черного рынка данных клиентов банков.
🤦♂️ Из блицопроса выяснилось, что мониторинга объявлений по «пробиву» ФинЦЕРТ сам не ведет.
🤦♂️ При проверках кредитных организаций ФинЦЕРТ ставит на вид, что есть предложения по «пробиву» их клиентов, предлагает разобраться и принять меры, но не более, утверждают банкиры.
🤦♂️ При этом и участники рынка, и сторонние эксперты по информационной безопасности в один голос говорят, что выявить «пробивщиков» просто. «Делается контрольная закупка, а далее по логам (по журналу обращений к учетной записи.— “Ъ”) отслеживается тот, кто смотрел карточку клиента»,— поясняет собеседник “Ъ” в крупном банке.
🤦♂️ Заинтересованных в выявлении таких инсайдеров нет. Банкам сдавать злоумышленников в полицию невыгодно, поскольку это повлечет возбуждение уголовного дела, суд, публичность, репутационные риски.
🤦♂️ Знакомый полицейский пожаловался, что часто банки, наоборот, чинят препятствия при расследовании подобных уголовных дел, чтоб избежать возможной огласки. Результат очевиден — рынок «пробива» процветает.
🤦♂️ ЦБ предпочитает говорить, что из банков утекает малая доля персональных данных россиян, и не замечать очевидного.
Недавно мы опубликовали отчет «Цены российского черного рынка на пробив персональных данных (лето 2019)» 👇
https://www.devicelock.com/ru/blog/tseny-chernogo-rynka-na-rossijskie-personalnye-dannye.html
Исследователь Bob Diachenko (Владимир Дьяченко), который совсем недавно обнаружил открытый Elasticsearch-сервер с персональными данными 20 млн. россиян, включая налоговую информацию (про это тут: https://yangx.top/dataleak/1290), сообщает об обнаружении нового открытого сервера с данными российского бюро кредитных историй Эквифакс, а также мобильных операторов МТС и Мегафон на более чем 1 млн. человек. 🔥🔥
Подробности будут скоро. 👍
Подробности будут скоро. 👍
В Telegram начали «разгонять» новую базу Сбербанка с якобы 8657 записями, в формате Cronos.
Мы ее проверили и, как и ожидалось, это оказалось фейком – после дедупликации (по номерам кредитных карт и паспортам) всего остается 5200 записей, которые были опубликованы ранее. 🤦🏻♂️
Не поддавайтесь на фейки из непроверенных источников. 😎
Мы ее проверили и, как и ожидалось, это оказалось фейком – после дедупликации (по номерам кредитных карт и паспортам) всего остается 5200 записей, которые были опубликованы ранее. 🤦🏻♂️
Не поддавайтесь на фейки из непроверенных источников. 😎
Как и обещали ранее, немного технических подробностей про утечку данных бюро кредитных историй «Эквифакс» и «Объединенное кредитное бюро», а также мобильных операторов «МТС» и «Мегафон»: https://yangx.top/dataleak/1319, которую обнаружил исследователь Bob Diachenko (Владимир Дьяченко). 🔥🔥
На сервере с именем test.greenmoney.ru, находилась не требующая аутентификации для подключения MongoDB, в которой содержалось несколько свободно доступных баз данных, в том числе:
✅ GreenMoneyDocumentsDb
✅ GreenMoneyDocumentsMKK
Сервер принадлежит онлайн-сервису по выдаче займов - ООО МФК «ГринМани» (greenmoney.ru) из Кемерово. 😂 Кстати, в государственном реестре микрофинансовых организаций указано: “По решению Центробанка России от 12.09.2019 года, ООО МФК «ГринМани» исключена из реестра микрофинансовых организаций". 🤣🤦🏻♂️🙈
Несмотря на то, что сервер содержит в своем имени слово «test», скорее всего на нем находилась копия реальной базы данных, предназначенной для разработчиков. Мы в своей практике неоднократно находили базы данных оставленные подразделениями разработки и тестирования, наполненные информацией из т.н. «продакшен баз». 😱
Интерес представляет только база «GreenMoneyDocumentsDb» с 29 «коллекциями», общим размером 184,6 Гб. Остальные базы данных имели размер не более 11 Мб. Среди этих 29 «коллекций» особо хочется выделить несколько:
🌵 Коллекция «FinanceInfoEquifaxCH» - размером 52,5 Гб с более чем 1 млн. документов, содержащая результаты проверок через БКИ «Эквифакс»: ФИО, дата рождения, место рождения, серия и номер паспорта, кем и когда выдан, ИНН, адрес регистрации, адрес фактического проживания, информация по кредитам, телефоны и т.п.
"responsestring" : "Клиент найден и у него есть кредитная история",
"lastname" : "ХХХ",
"firstname" : "АНДРЕЙ",
"middlename" : "ДМИТРИЕВИЧ",
"birthday" : "ХХ.ХХ.1984",
"birthplace" : "ГОР ЛЕНИНГРАД",
"docno" : "4005ХХХХХХ",
"docdate" : "ХХ.ХХ.2004",
"docplace" : "XXX РАЙОНА САНКТ-ПЕТЕРБУРГА",
"cred_first_load" : "27.02.2017",
"cred_sum" : "26000.00",
"cred_sum_first" : "26000.00",
"cred_date" : "25.01.2017",
"cred_enddate" : "26.01.2018",
"cred_sum_payout" : "1096.68",
"cred_date_payout" : "29.03.2017",
"op_cred_sum_paid" : "2060.10",
"ta_cred_sum_paid" : "10770.95",
"cred_sum_debt" : "23939.90",
(реальные данные скрыты нами)
🌵 Коллекция «FinanceInfoOkb» - размером 825 Мб с примерно 130 тыс. документов, содержащая результаты проверок через БКИ «Объединенное кредитное бюро», практически со всеми теми же персональными данными и информацией о кредитах клиентов, что и в «FinanceInfoEquifaxCH».
🌵 Коллекция «FinanceInfoMegafon» - содержащая результаты проверок через оператора сотовой связи «Мегафон»: номер телефона, ФИО, дата рождения, регион, серия и номер паспорта, адрес и т.п.
🌵 Коллекция «FinanceInfoMTS» - содержащая результаты проверок через оператора сотовой связи «МТС»: номер телефона, регион.
Сервер впервые «засветился» в открытом доступе 20.10.2018, однако не содержал в себе, на тот момент, никакой критичной информации. Лишь в августе 2019 на нем стали появляться данные, видимо копировавшиеся с настоящего сервера, которые оставались в свободном доступе, как минимум до 10.10.2019. 🤦♂️
Это далеко не единичный случай, когда небанковские финансово-кредитные учреждения оставляют данные своих клиентов на незащищенных ресурсах. Ранее обнаруживались персональные данные клиентов МФО «Займоград» (https://yangx.top/dataleak/66) и финансового брокера «Финсервис» (https://yangx.top/dataleak/863). 😎
На сервере с именем test.greenmoney.ru, находилась не требующая аутентификации для подключения MongoDB, в которой содержалось несколько свободно доступных баз данных, в том числе:
✅ GreenMoneyDocumentsDb
✅ GreenMoneyDocumentsMKK
Сервер принадлежит онлайн-сервису по выдаче займов - ООО МФК «ГринМани» (greenmoney.ru) из Кемерово. 😂 Кстати, в государственном реестре микрофинансовых организаций указано: “По решению Центробанка России от 12.09.2019 года, ООО МФК «ГринМани» исключена из реестра микрофинансовых организаций". 🤣🤦🏻♂️🙈
Несмотря на то, что сервер содержит в своем имени слово «test», скорее всего на нем находилась копия реальной базы данных, предназначенной для разработчиков. Мы в своей практике неоднократно находили базы данных оставленные подразделениями разработки и тестирования, наполненные информацией из т.н. «продакшен баз». 😱
Интерес представляет только база «GreenMoneyDocumentsDb» с 29 «коллекциями», общим размером 184,6 Гб. Остальные базы данных имели размер не более 11 Мб. Среди этих 29 «коллекций» особо хочется выделить несколько:
🌵 Коллекция «FinanceInfoEquifaxCH» - размером 52,5 Гб с более чем 1 млн. документов, содержащая результаты проверок через БКИ «Эквифакс»: ФИО, дата рождения, место рождения, серия и номер паспорта, кем и когда выдан, ИНН, адрес регистрации, адрес фактического проживания, информация по кредитам, телефоны и т.п.
"responsestring" : "Клиент найден и у него есть кредитная история",
"lastname" : "ХХХ",
"firstname" : "АНДРЕЙ",
"middlename" : "ДМИТРИЕВИЧ",
"birthday" : "ХХ.ХХ.1984",
"birthplace" : "ГОР ЛЕНИНГРАД",
"docno" : "4005ХХХХХХ",
"docdate" : "ХХ.ХХ.2004",
"docplace" : "XXX РАЙОНА САНКТ-ПЕТЕРБУРГА",
"cred_first_load" : "27.02.2017",
"cred_sum" : "26000.00",
"cred_sum_first" : "26000.00",
"cred_date" : "25.01.2017",
"cred_enddate" : "26.01.2018",
"cred_sum_payout" : "1096.68",
"cred_date_payout" : "29.03.2017",
"op_cred_sum_paid" : "2060.10",
"ta_cred_sum_paid" : "10770.95",
"cred_sum_debt" : "23939.90",
(реальные данные скрыты нами)
🌵 Коллекция «FinanceInfoOkb» - размером 825 Мб с примерно 130 тыс. документов, содержащая результаты проверок через БКИ «Объединенное кредитное бюро», практически со всеми теми же персональными данными и информацией о кредитах клиентов, что и в «FinanceInfoEquifaxCH».
🌵 Коллекция «FinanceInfoMegafon» - содержащая результаты проверок через оператора сотовой связи «Мегафон»: номер телефона, ФИО, дата рождения, регион, серия и номер паспорта, адрес и т.п.
🌵 Коллекция «FinanceInfoMTS» - содержащая результаты проверок через оператора сотовой связи «МТС»: номер телефона, регион.
Сервер впервые «засветился» в открытом доступе 20.10.2018, однако не содержал в себе, на тот момент, никакой критичной информации. Лишь в августе 2019 на нем стали появляться данные, видимо копировавшиеся с настоящего сервера, которые оставались в свободном доступе, как минимум до 10.10.2019. 🤦♂️
Это далеко не единичный случай, когда небанковские финансово-кредитные учреждения оставляют данные своих клиентов на незащищенных ресурсах. Ранее обнаруживались персональные данные клиентов МФО «Займоград» (https://yangx.top/dataleak/66) и финансового брокера «Финсервис» (https://yangx.top/dataleak/863). 😎
В открытый доступ выложили тестовый кусок из 20 млн. базы пользователей социальной сети Instagram, выставленной на продажу.
В тестовом примере 20,101 строка, каждая содержащая:
🌵 имя пользователя
🌵 ID пользователя
🌵 адрес электронной почты (не для всех)
🌵 полное имя (имя/фамилия)
🌵 номер телефона (не для всех)
🌵 полный почтовый адрес (не для всех)
🌵 описание профиля
🌵 ссылку на фотографию профиля
🌵 статистическую информацию по профилю (количество лайков, комментариев и т.п.)
Скорее всего речь идет о базе данных индийской маркетинговой компании «Chtrbox», которая в мае этого года оставила в открытом доступе свой Elasticsearch-сервер с 49 млн. строк в индексах. Тогда в Facebook (владеет Instagram) заявили, что пострадало всего 350 тыс. аккаунтов – как обычно соврали про реальный размер утечки. 🤣
База представляет собой парсинг профилей социальной сети и фактически содержит только ту информацию, которую оставили о себе сами пользователи, плюс статистика из Instagram. 😴
В тестовом примере 20,101 строка, каждая содержащая:
🌵 имя пользователя
🌵 ID пользователя
🌵 адрес электронной почты (не для всех)
🌵 полное имя (имя/фамилия)
🌵 номер телефона (не для всех)
🌵 полный почтовый адрес (не для всех)
🌵 описание профиля
🌵 ссылку на фотографию профиля
🌵 статистическую информацию по профилю (количество лайков, комментариев и т.п.)
Скорее всего речь идет о базе данных индийской маркетинговой компании «Chtrbox», которая в мае этого года оставила в открытом доступе свой Elasticsearch-сервер с 49 млн. строк в индексах. Тогда в Facebook (владеет Instagram) заявили, что пострадало всего 350 тыс. аккаунтов – как обычно соврали про реальный размер утечки. 🤣
База представляет собой парсинг профилей социальной сети и фактически содержит только ту информацию, которую оставили о себе сами пользователи, плюс статистика из Instagram. 😴