Уважаемые читатели, по традиции мы предлагаем вам дайджест наиболее значимых утечек прошедшего месяца! 🔥

Очередной выпуск ежемесячного дайджеста наиболее интересных публикаций в ноябре 2020 г.👇

https://dlbi.ru/leak-digest-november2020/

30 ноября суд Сызрани по ч. 3 ст. 272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло копирование компьютерной информации) приговорил 19-летнего специалиста ПАО «Вымпелком» («Билайн») к штрафу в размере 60 тысяч рублей и на год лишил его права занимать должности, связанные с доступом к охраняемой законом компьютерной информации.

По данным следствия, в июне этого года сотрудник оператора мобильной связи копировал личные карточки абонентов с номерами телефонов и иной информацией и пересылал их посредством Telegram (т.е. занимался т.н. “мобильным пробивом”). За каждый номер он получал по 100 рублей. 🤦‍♂️ Следствию удалось доказать 6 фактов продажи персональных данных.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут.

Проанализировали пары эл. почта/пароль из трех недавних утечек популярных азиатских сервисов: 👇

🌵 Японский сервис для организации мероприятий «Peatix» (подробнее про этот дамп тут). Из 2,7 млн. пар 94% являются уникальными, т.е. ранее не встречались в проанализированных нами утечках.

🌵 Японское мобильное приложения для создания семейных фотоальбомов «Famm». 98% пар из 1,3 млн. являются уникальными.

🌵 Крупнейший сингапурский онлайновый супермаркет «RedMart». Из 858 тыс. пар 82% - уникальные.

РБК пишет, что банки предложили давать за кражу данных о клиентах до 20 лет тюрьмы. Они рассчитывают, что это поможет остановить мошенников, которые занимаются сливом данных.

По нашему мнению это просто очередная попытка банков переложить с себя на физлиц ответственность за воровство данных. 

Ужесточение наказания только ухудшит ситуацию, так как организации и, в первую очередь, банки, чьей задачей и является защита данных, будут прилагать ещё меньше усилий в этой области. А риск тюремного заключения просто поднимет цены на чёрном рынке. 

Для улучшения ситуации нужно повышать ответственность юридических лиц, что подвигнет их на инвестиции в системы защиты. 

Проанализировали пароли из утечки клиентов одной из крупнейших площадок по продаже алкогольных напитков в США и Канаде «Drizly» (подробнее тут).

На текущий момент "расшифровано" более 375 тыс. стойких хешей bcrypt, но только 11% пар эл. почта/пароль являются уникальными (т.е. ранее не встречались в проанализированных нами утечках).

В открытый доступ попала полная версия утекшей базы данных интернет-магазина одежды romwe.com. 👇

Еще весной начали появляться логины и расшифрованные пароли из полной базы, тогда мы писали про них (тут и тут). 😎

Сейчас в паблике оказалась сконвертированная версия оригинального дампа из взломанного сервиса dataviper.io. Всего 20,322,958 строк, содержащих:

🌵 имя
🌵 адрес эл. почты
🌵 телефон
🌵 адрес (около 36 тыс. из России)
🌵 хешированный (MD5 с солью) пароль
🌵 IP-адрес
🌵 идентификатор Facebook

В оригинальном дампе столько же записей, но он имеет другой формат.

На сегодняшний день "расшифрованы" почти все хеши и около 76% пар эл. почта/пароль - уникальные (т.е. ранее не встречались в проанализированных нами утечках).

Операторы вируса-вымогателя «DoppelPaymer» взломали производителя электроники «Foxconn» (foxconnjobs.us).

Утверждается, что они похитили около 100 Гб, но пока никаких интересных данных в открытый доступ не выложено. 🤷‍♂️

Вчера ночью в свободный доступ попали файлы (Excel, Word, JPG) предположительно с персональными данными москвичей, переболевших коронавирусом COVID-19. 🔥🔥🔥

Всего 362 файла, общим размером около 940 Мб.

В некоторых Excel-файлах находится более 100 тыс. строк, содержащих: ФИО, даты рождения, адреса проживания, телефоны, номера паспортов и т.п. 😱

Самый "свежий" файл датируется 12.06.2020.

Кроме архива с файлами, в открытый доступ были выложены ссылки на Google Docs и закрытые Telegram-чаты больниц и поликлиник. 🤦‍♂️

Поучаствовал в распространении персональных данных москвичей, переболевших коронавирусом COVID-19, Telegram-канал кибермошенника Павла Ситникова (известного под никами underground, Tobin Frost, Slippery Fox, flatl1ne, часть из которых заблокирована на теневых форумах за мошенничество).

Сегодня в 0:23 (МСК) в данный Telegram-канал был выложен текстовый файл, содержащий ссылки на архив с персональными данными и Google Docs. Через некоторое время пост с файлом был удален, но запись о нем сохранилась на сайтах сбора Telegram-статистики.

ТАСС пишет про утечку персональных данных москвичей, переболевших коронавирусом COVID-19.:

Власти Москвы подтвердили утечку персональных данных москвичей, переболевших COVID-19.

"В ходе проверки информации об утечках персональных данных москвичей, переболевших коронавирусом, было установлено, что взломов и какого-либо другого несанкционированного вмешательства в работу информационных систем правительства Москвы не было. Утечка произошла вследствие человеческого фактора: сотрудники, которые занимались обработкой служебных документов, допустили передачу этих файлов третьим лицам. Проверка продолжается, по ее результатам будут приняты меры", - приводятся в сообщении слова руководителя Департамента информационных технологий Москвы Эдуарда Лысенко.

В июне 2018 г. исследователь Vinny Troia обнаружил открытый Elasticsearch-сервер с информацией, собранной компанией-поставщиком “больших данных” «Exactis» (exactis.com), о примерно 300 млн. американцев.

В 2019 г. сервис dataviper.io, принадлежащий Vinny Troia, был взломан и базы данных, собранные исследователем утекли. 🤣 Мы уже писали про базу «People Data Labs» с данными 400 млн. человек, которую также находил Vinny Troia и про многие другие "его" базы. 😎

На этот раз нам на анализ попалась база «Exactis» в формате dataviper.io. В ней 298,885,050 строк, содержащих имена, номера телефонов, адреса эл. почты, почтовые адреса, даты рождения, IP-адреса и т.п.

Операторы одного из вирусов-вымогателей выставили на продажу на своем onion-сайте (hn4wg4o6s5nc7763.onion/auction) 85,064 SQL-дампов.

Дампы принадлежат жертвам, отказавшимся платить выкуп.

Судя по тому, что среди этих 85 тыс. дампов встречаются и такие, чей размер не превышает нескольких байт, все это делается в автоматическом режиме без какого либо отбора.

За каждый дамп злоумышленники просят 0,03 биткоина (около $540). 🤷‍♂️

В конце октября была взломана MySQL-база данных MMO-игры «The Mafia Boss» (themafiaboss.com).

Хакеры завладели данными более чем 2 млн. зарегистрированных пользователей, включая: имена, адреса эл. почты, хешированные (MD5 и bcrypt) пароли, IP-адреса и многое другое.

На сегодняшний день "расшифровано" около 2 млн. паролей и почти 71% пар эл. почта/пароль являются уникальными, т.е. ранее не встречались в проанализированных нами утечках.

Мир кибербезопасности очень инертен, вымогателей становится только больше, промышленные системы и различные отрасли экономики каждый день страдают от масштабных APT-атак, а активные действия спецслужб только добавляют всему этому шоу пикантности. Ситуация эта вряд ли в ближайшем времени как-то изменится, и лишь продолжит усугубляться, поэтому наш долг держать руку на пульсе.

С этой задачей отлично справляется канал SecAtor. Ребята мониторят все горячие новости, шутят, разбирают отчеты крупных компаний, а их главная фишка - обзоры APT-группировок, вместе с их проделками.

Все по делу и на постоянной основе.

«Руки-ножницы российского инфосека» - SecAtor

Вчера Telegram-канал AviaNews сообщил, что списки пассажиров индийской авиакомпании «Vistara», выполняющей вывозные чартерные рейсы из Шереметьево в Дели, оказались в открытом доступе.

Мы проверили информацию и выяснили, что на сайте одной из туристических компаний, прямо на главной странице находится ссылка на Google Drive, по которой свободно доступен Excel-файл со списком из 446 пассажиров, актуальностью на 20 ноября: 🤦‍♂️🤦🏻‍♂️🙈

🌵 имя/фамилия
🌵 номер паспорта
🌵 номер билета

В Перми двух сотрудниц филиала крупного банка признали виновными по ч.2 ст. 183 УК РФ (незаконные получение и разглашение сведений, составляющих банковскую тайну).

Установлено, что сотрудницы филиала, располагая персональными данными клиентов, в течение 2019–2020 гг. передавали их коммерческой организации, которая совершала телефонные звонки с целью рекламы различных товаров и услуг.

Суд приговорил каждую из подсудимых к штрафу 40 тыс. рублей, а также лишил права работать в банке на срок 1 год и 6 месяцев.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут.

В свободный доступ попал дамп 2016 года части базы данных членов Коммунистической партии Китая (КПК). 🔥

В файле 1,956,731 строка, содержащая:

🌵 имя/фамилия
🌵 пол
🌵 адрес
🌵 место работы
🌵 телефон
🌵 образование
🌵 номер регистрационной карты

Всего в КПК более 90 млн. членов.

01.09.2020 в свободном доступе появился Elasticsearch-сервер с данными зарегистрированных пользователей библиотеки подкастов soundstream.media.

Мы оповещали сервис о проблеме и даже получили ответ: “Спасибо за информацию, в ближайшие дни исправим.” Однако, до сих пор сервер открыт. 🤦‍♂️🤦🏻‍♂️

В индексе содержится более 270 тыс. записей:

🌵 имя/фамилия
🌵 адрес эл. почты
🌵 IP-адрес
🌵 ссылка на профиль в соц. сети (Facebook, Google)
🌵 хешированный (bcrypt) пароль
🌵 информация о мобильном устройстве (модель, версия ОС и т.п.)
🌵 дата обновления профиля и последней активности

В суд Владикавказа передано уголовное дело с обвинительным заключением в отношении сотрудника компании сотовой связи Северной Осетии, который обвиняется в совершении преступления, предусмотренного ч. 4 ст. 274.1 УК РФ (неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре РФ).

По версии следствия, в период с апреля по май 2019 г. сотрудник компании сотовой связи, осуществил неправомерный доступ к охраняемой компьютерной информации, содержащей персональные данные абонентов сотовой связи, а также сведения, составляющие коммерческую тайну, скопировал ее на свой рабочий компьютер, подверг изменению, а после осуществил блокировку сим-карт, путем ограничения предоставления услуг связи по ним.

Судя по описанию преступления, сотрудник оператора занимался предоставлением незаконной услуги «восстановление Сим-карты». Про цены черного рынка на данный вид услуг мы писали в нашем отчете «Обзор черного рынка “пробива” российских физлиц за 2020 год».


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут.

В Липецкой области в суд направлено два уголовных дела по обвинению двух жительниц Ельца в совершении преступлений, предусмотренных ч. З ст. 272 УК РФ (неправомерный доступ к компьютерной информации, совершенный лицом с использованием своего служебного положения).

По данным следствия, две сотрудницы офиса оператора сотовой связи в силу служебного положения имели доступ к конфиденциальным сведениям об абонентах и детализации их телефонных звонков. Удалось доказать утечку информации по двум номерам. Женщины друг для друга выясняли данные по номерам их близких: одна интересовалась, с кем перезванивается её муж, а другая - с кем общается её молодой человек. 🤦‍♂️


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут.