В открытый доступ выложили данные по ипотечным кредитам американской American Nationwide Mortgage Company (americannationwide.com).

Доступна информация по 1 млн кредитов (из 37 млн всего утекших записей) по ноябрь 2018 года:

🌵 имя/фамилия
🌵 адрес
🌵 телефон
🌵 адрес электронной почты (не для всех записей)
🌵 пол
🌵 возраст
🌵 год приобретения недвижимости
🌵 год постройки недвижимости
🌵 ориентировочная стоимость недвижимости
🌵 размер кредита
🌵 банк, выдавший кредит
🌵 тип кредита

🔥 Подборка самых интересных каналов про IT, хакинг и безопасность.

CyberYozh - бесплатный курс по анонимности и безопасности в сети. Истории ошибок и арестов известных киберпреступников, тайные технологии защиты информации, ловушки для хакеров и многое другое.

@webware - хакинг от новичка до профи. Только свежая и эксклюзивная информация. Offensive, Defensive, Penetration test, CTF…

@vschannel - канал Дмитрия Момота, известного в сети под псевдонимом VektorT13. Он пишет про уникализацию, антидетекты, методики отслеживания, анти-фрод системы, отпечатки браузера, железа и операционной системы.

@SecLabNews - канал русскоязычного новостного портала SecurityLab.ru, оперативно публикующего информацию о последних новостях IT-безопасности в России и мире.

@exploitex - DDoS атаки и вирусы, обзоры хакерских девайсов и жучков, гайды по взлому и секреты анонимности в интернете.

Как обычно, технические детали мы напишем чуть позже. Поверьте, там интересно (спойлер: когда обнаруженный нами сервер был закрыт и журналистом была написана эта статья, мы обнаружили второй свободно доступный сервер). 🔥🔥🔥

Сервер ОФД «Дримкас» стал общедоступным 9 сентября и пробыл в таком состоянии три дня. На нем хранятся журналы с более 14 млн записей. Об уязвимости сообщили «Известиям» в компании по кибербезопасности DeviceLock.

Утекли строки с информацией — начиная от безобидных ИНН, адреса, названия компании и заканчивая информацией об электронных адресах и телефонах представителей, а также заключенных сделках, ассортименте и ценах товара.

Также в Сеть попали телефоны и e-mail 3 тыс. физических лиц — пользователей скидочной программы «Покупай-ка».

https://iz.ru/921673/vadim-arapov/ushli-iz-bazy-v-set-utekli-14-mln-zapisei-kompanii-i-pokupatelei

На специализированном форуме появился CSV-файл с данными 24 млн. пользователей облачного сервиса Lumin PDF (luminpdf.com), предназначенного для работы с PDF-документами. 🔥

В файле users.csv размером 4,06 Гб содержатся данные всех пользователей (24,386,039 строк) сервиса, с момента основания в 2014 г. и по апрель 2019 г.

🌵 имя/фамилия
🌵 пол
🌵 адрес электронной почты
🌵 язык интерфейса
🌵 хэшированный (bcrypt) пароль и/или Google-токен

Большинство записей содержат Google-токены, т.к. пользователи сервиса используют его в основном из Google Drive. Лишь 118,746 пользователей регистрировались через вебсайт и имеют свои собственные пароли.

Данные были получены в апреле 2019 г. из MongoDB, которую разработчики оставили в свободном доступе. 🤦‍♂️

Интересный факт – обнаруживший данную базу человек пытался связаться с разработчиками сервиса и предупредить их о проблеме, однако на его оповещения никто не реагировал. Тогда он и выложил данные всех пользователей на форум. 🤣

Неизвестные запустили вебсайт, содержащий данные (фотографии, имена, даты рождения, телефоны, ссылки на соц. сети) людей, участвующих в уличных протестах в Гонконге: hkleaks.ru. 😂

Интересно, что информация там представлена на китайском языке, а сам сайт находится в доменной зоне RU. 😎

В свободный доступ была выложена довольно старая база пользователей (1,476,783 аккаунтов) портала KM.RU. 😴

Сама утечка произошла в феврале 2016 года в результате хакерской атаки (известной под именем «Operation Wrath of Anakin») на портал.

До этого эта база уже периодически «всплывала» на различных форумах.

Данные распространяются в формате JSON-файла (размером 518 Мб), в котором содержатся:

🌵 имена/фамилии
🌵 адреса электронной почты
🌵 даты рождения
🌵 пол
🌵 номера телефонов
🌵 секретный вопросы для восстановления доступа и ответы на них
🌵 IP-адреса

Снова утечка из-за неправильно настроенной утилиты резервного копирования rsync. На этот раз утекли файлы, в которых содержалась информация о работе СОРМ в сети российского сотового оператора МТС, с диска сотрудника Nokia Networks. 🔥

Всего в открытый доступ (rsync-сервер был проиндексирован поисковиками Shodan и BinaryEdge) попало 1.7 Тб из которых:

🌵 700 Гб это фотографии в формате JPG
🌵 245 Гб это PST-файлы MS Outlook (календари, заметки, электронная почта)
🌵 197,343 PDF-файлов (в основном договора на установку и обслуживание оборудования)
🌵 множество архивов (ZIP, CAB и RAR), DWG-файлов (AutoCAD), документов Excel и MS Word и т.п.

Ранее «по вине» rsync в открытом доступе оказались материалы расследования ФБР: https://yangx.top/dataleak/696

В Подмосковье местные жители обнаружили очередную свалку с копиями паспортов и другими документами (копии трудовых книжек, дипломов, доверенности), содержащими персональные данные (ФИО, адреса, телефоны, СНИЛС и т.д.) граждан.

Во многих документах фигурирует «Всероссийский учебно-научный методический центр при Минздраве России».

Недавно писали (https://yangx.top/dataleak/1214), что 1,3 млн. паролей из базы пользователей биржи кроссовок и одежды StockX продаются за $300 и вот в свободном доступе появилось 2,7 млн. расшифрованных паролей. 👍

Из 2,749,951 пар логин/пароль почти 70% оказались уникальными и ранее никогда не встречались в паблике.

Напомним, что этим летом из StockX утекло 6,847,162 записей с персональными данными покупателей: https://yangx.top/dataleak/1204

28.08.2019 DeviceLock Data Breach Intelligence выявила свободно доступный Elasticsearch-сервер с индексами, в которых находились данные покупателей ювелирного интернет-магазина AltynGroup.Ru.

В одном из индексов, среди прочей информации (логов магазина), находились:

🌵 фамилия/имя
🌵 дата рождения
🌵 адрес электронной почты
🌵 телефон
🌵 пол (не для всех записей)
🌵 состоит в браке или нет (не для всех записей)
🌵 дата свадьбы (не для всех записей)
🌵 данные бонусной карты (не для всех записей)

"DATA": "{\"userId\":\"834\",\"avatar\":null,\"firstName\":\" XXX\",\"lastName\":\"XXX\",\"birthDate\":\"30.03.1986\",\"email\":\"[email protected]\",\"phone\":\"8 (968) XXX\",\"sex\":\"\",\"maritalStatus\":null,\"weddingDate\":\"\",\"bonusCardInfo\":{\"number\":null,\"name\":null,\"nextName\":null,\"needPaymentsToNextCard\":null,\"ballsCount\":null,\"ballsExpire\":null,\"ballsExpireAt\":null,\"loyaltyProgramInfo\":\"<div class=\\\"collapse-items\\\">\\r\\n\\t<div>\\r\\n <img alt=\\\"bonus-program-3.jpg\\\" src=\\\"https:\\/\\/altyngroup.ru\\/upload\\/medialibrary

(реальные данные скрыты нами)

Помимо этих данных, в логах также содержались токены доступа, данные корзин покупателей и прочая служебная информация интернет-магазина.

К сожалению, на наше оповещение (от 28.08) никто не отреагировал и сервер с данным покупателей до сих пор находится в свободном доступе. За это время размер индекса с логами интернет-магазина вырос на 91,343 строк. 😱

Более того, кто-то выложил на специализированном форуме кусок этой базы, в виде CSV-файла с 542 строками (имена, телефоны, адреса эл. почты и даты рождения). 🤦‍♂️🤦🏻‍♂️

Данные 542 покупателей ювелирного интернет-магазина AltynGroup.Ru были выложены на специализированном форуме. А сама база магазина находится в открытом доступе (не смотря на наше оповещение) уже почти месяц. 🤦🏻‍♂️

Вторая серия утечки с серверов ОФД «Дримкас» (первая статья: https://yangx.top/dataleak/1263).

Скоро сделаем разбор того, что и как мы обнаружили на двух серверах, а пока статья Известий:

С серверов оператора фискальных данных «Дримкас» в общей сложности утекло более 90 млн записей с различными данными о юридических и физических лицах. Ресурс ОФД с 76 млн строчек информации с 8 августа семь дней находился в открытом доступе, сообщили «Известиям» в DeviceLock. 9 сентября на три дня стали доступны журналы с более 14 млн записей, писали «Известия» ранее.

Среди попавших в Сеть сведений — полные реквизиты фискальных чеков (есть в распоряжении «Известий»), включая порядковый номер, дату и время, ФИО продавца, количество товара, его название и цену. Например, 1 августа 2019-го покупатель с квитанцией номер 44793 купил три упаковки чипсов со вкусом зеленого лука за 31 рубль за штуку и пачку сигарет за 102 рубля. Оператор работал в смену с номером 360. Общая сумма —195 рублей, включая 6% НДС по упрощенному налогообложению. В другом чеке от 30 июля 2019-го видно, что сигареты куплены за 107 рублей в «Магазине у клена», расположенном в городе Новоалтайске.

В пресс-службе ФНС «Известиям» сообщили, что попавшая в открытый доступ информация с серверов передавалась в рамках отдельной коммерческой услуги «Дримкас кабинет», которая не подлежит регулированию и защите в рамках законодательства о контрольно-кассовой технике.

Опрошенные «Известиями» юристы подтвердили, что утекшая информация — фискальная. Фамилия, имя и отчество кассира — персональные данные, поскольку они прямо относятся к физическому лицу и позволяют его определить, пояснила партнер коллегии адвокатов Pen&Paper Екатерина Тягай.

https://iz.ru/923418/vadim-arapov/techet-i-vmeniaetsia-v-set-popali-eshche-76-mln-zapisei-o-klientakh

Помните совсем недавно мы первыми обнаружили и написали про крупнейший слив персональных данных практических всех сотрудников ОАО «РЖД» (https://yangx.top/dataleak/1231)? 🔥🔥🔥

Тогда неизвестные опубликовали в свободном доступе, на уже закрытом ресурсе infach.me, информацию (ФИО, СНИЛС, даты рождения, фотографии и т.п.) о 703,000 человек. 👇

Точная причина утечки до сих пор неизвестна, никаких официальных версий не публиковалось. Однако, по нашей информации данные утекли с одного из «забытых» компьютеров разработчиков внутреннего портала «Мой РЖД» (my.rzd.ru), который в данный момент украшает надпись: ”Извините, Сервисный портал недоступен. Ведутся профилактические работы”. 🤣

Есть версия, что на оставленный в открытом доступе компьютер разработчика был осуществлен удаленный доступ по RDP-протоколу и более того – злоумышленники перед тем, как выложить базу, связывались с представителями РЖД и пытались им ее продать. Это разумеется документально неподтвержденные слухи. 🙈

Зато нам совершенно точно известно, что эти данные (не все, а около полумиллиона записей) были скачены с ресурса infach.me еще до его закрытия и в данный момент база (архив размером около 20 Гб) распространяется среди очень ограниченного круга лиц. 🔥🔥🔥

Мы видели эту базу (CSV-файл с данными и отдельный набор JPG-файлов с фотографиями) и можем подтвердить ее абсолютное сходство с тем, что было изначально выложено на infach.me.

Уверены, скоро данная база или ее куски появятся и в свободном доступе на всем известных ресурсах, где распространяют базы. Следите за нашими новостями, мы про это обязательно напишем. 😎

P.S.
Кстати, посмотреть то, как данные выглядели на ресурсе infach.me до его закрытия, можно на сайте archive.org: https://web.archive.org/web/20190826210045/https://infach.me/group/rabi_rzd 😱

В данный момент база сотрудников РЖД, полученная путем парсинга ресурса infach.me (до его закрытия), распространяется среди ограниченного круга лиц. 😎

В городе Алексин Тульской области местный житель за 1 тысячу рублей продал базу данных клиентов коммерческого банка из Нижнего Новгорода. 🤦‍♂️🤦🏻‍♂️

В отношении 46-летнего мужчины возбуждено уголовное дело по ч. 1 ст. 137 УК РФ (незаконное распространение сведений о частной жизни, составляющих личную тайну). Обвиняемому избрана мера пресечения в виде подписки о невыезде.

Дело направлено в Алексинский городской суд для рассмотрения по существу.


✅ Недавно мы выпустили новый отчет "Цены черного рынка на базы данных российских банков (лето 2019)": 👇

https://www.devicelock.com/ru/blog/tseny-chernogo-rynka-na-rossijskie-personalnye-dannye-bazy-dannyh.html

✅ А также делали обзор случаев задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными в России: 👇

https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html).

30.08.2019 DeviceLock Data Breach Intelligence выявила свободно доступный Elasticsearch-сервер с индексами “cnews-nginx” и “cnews-syslog”, в которых находились логи доступа к веб-серверу интернет-издания «CNews» (cnews.ru).

Мы немедленно оповестили издание об обнаруженной проблеме и достаточно быстро получили ответ (что бывает крайне редко). 👍

По словам представителя «CNews»: “админ открыл доступ случайно только на два часа и удивлен как быстро вам удалось это обнаружить”. 😎

В логах не содержалось никакой критичной информации, за исключением, пожалуй, ключа доступа (параметр “&auth=”) к чтению еще не опубликованных материалов.

Мы обещали написать про утечку данных чеков и другой информации с серверов ОФД «Дримкас» и мы выполняем обещание. 😎

Ранее, по нашим материалам, про эту утечку написали две статьи «Известия» (https://yangx.top/dataleak/1263 и https://yangx.top/dataleak/1273), а теперь мы сами представим технические детали инцидента. 👇

И так, 11.09.2019 в 21:00 (МСК) система DeviceLock Data Breach Intelligence обнаружила свободно доступный Elasticsearch-сервер с индексами “logs-release”, “update-logs-release”, “hub2kab-release” и многими другими. Общий размер “засвеченных” индексов с данными составлял около 60 Гб. 😱

По данным поисковика Shodan этот сервер находился в открытом доступе с 09.09.2019. 😂

В индексах содержалась информация (логи):

🌵 о кассовых аппаратах (включая прошивки, которые также были доступны для скачивания по линкам из логов)
🌵 о торговых точках, в которых установлены эти кассовые аппараты (ККТ)
🌵 данные кассиров
🌵 содержимое чеков
🌵 и даже персональные данные некоторых покупателей (“благодаря” электронной карте программы лояльности «Покупай-ка»).

Из логов мы довольно быстро установили принадлежность данного открытого Elasticsearch-сервера – компанию «Дримкас» (dreamkas.ru):

"shopInfo": {
"address": "692522 Приморский край г.Уссурийск ул.Тургенева 13",
"realAddress": "Магазин",
"inn": "251105934906",
"legalName": "ИП Изотов С.Л.",
"shopName": "М-н \"Кулинария 555\"",
"kpp": "251101001"
},

],
"kktInfo": {
"fnRegistryName": "Шифровальное (криптографическое) средство защиты фискальных данных фискальный накопитель «ФН-1»",
"daysBeforeExpire": 62,
"fnFullness": "менее 90%",
"fnNumber": "9282000100157585",
"kktFactoryNumber": "0491006194",
"kktRegistryName": "Вики Мини Ф",
"ffdVersion": "1.05"
},
"kktRegistrationInfo": {
"senderEmail": "[email protected]",
"autonomic": false,
"ofdProvider": {
"name": "Такском ОФД",
"inn": "7704211201",
"serverPort": 7777,
"checkURL": "nalog.ru",
"serverHost": "f1.taxcom.ru"
},
"registryNumber": "0002579246023352"

Оповещение было отправлено нами 11.09.2019 в 21:35 (МСК) и 12.09.2019 примерно в 10:00 (МСК) сервер был убран из свободного доступа. К сожалению, это был не единственный открытый их сервер, но про это будет написано чуть позже. 🙈

Вечером 12-го мы даже получили ответ от «Дримкас»: “С опоздание отвечаем на ваше сообщение. Спасибо за предоставление важной информации. Она была передана для проверки специалистам. Проводим технический аудит.” 👍

Вот так в логах хранились данные покупателей (программа лояльности «Покупай-ка»):

"response_json": "{\n \"phone\" : \"7914XXXXXX\",\n \"loyalData\" : {\n \"discount\" : 300,\n \"discountType\" : \"PERCENT\",\n \"accumulations\" : 1707053\n },\n \"cards\" : [ \"002075XXXXXX\" ],\n \"card\" : \"002075XXXXXX\"\n}",
"path": "https://pokupaika.app/api/v1/customer/4a25be07-3529-409f-ab8a-1fe0d0e014c5/info/?key=XXX&phone=7914XXXXXX&email=XXX&card=XXX",
"@timestamp": "2019-09-11T02:56:22.538Z",

(реальные данные скрыты нами)

Данные кассиров:

\"cashier\" : {\n \"inn\" : \"235501272496\",\n \"name\" : \"Гордиенко Светлана Юрьевна\"\n },\n \"fnNumber\" : \"9287440300426322\",\n \"taxModes\" : [ \"ENVD\" ],\n \"workMode\" : [ ],\n \"autonomic\" : true,\n \"workModes\" : [ ],\n \"ofdProvider\" : { },\n \"fnRegistryName\" : \"Шифровальное (криптографическое) средство защиты фискальных данных фискальный накопитель «ФН-1.1» исполнение 2\",\n \"registryNumber\" : \"0003960721007823\"\n }

продолжение в следующем посте 👇👇👇

начало в предыдущем посте 👆👆👆

Данные по покупке:

"type": "PURCHASE_DOCUMENT_REPORT",
"positions": [
{
"number": 1,
"totalSum": 14000,
"barcode": "4601728013684",
"quantity": 1000,
"tax": "NDS_20",
"product": {
"meta": {
"barcodes": [
"4601728013684"
],
"type": "ALCOHOL",
"name": "Водка \"КЕДРОВИЦА НА КЕДРОВЫХ ОРЕХАХ\"",
"alcCode": "0350566000001264110",
"measure": "шт",
"precision": 1,
"alcCapacity": 0.25,
"tax": "NDS_20",
"alcTypeCode": "200",
"alcContent": 40,
"sortOrder": 0
},

Общий размер утекших данных оценить сложно, т.к. речь идет о логах, в которых содержатся часто повторяющиеся записи. Ориентировочно, на каждый миллион строк приходится около 1500 записей со “значащими” данными (без учета дублей).

На момент закрытия 12.09 в “значащих” индексах содержалось всего 157,618,617 строк.

Во второй части мы расскажем про обнаруженный нами второй сервер «Дримкас», в котором находились уже подробные данные фискальных чеков. 🔥🔥🔥

Авиакомпания Malindo Air сегодня разослала своим клиентам письмо, в котором предупреждает об инциденте с утечкой персональных данных пассажиров, обвиняя в этом двух бывших сотрудников индийской компании-подрядчика: 👇

As a result of the findings, two former employees of our e-commerce services provider, GoQuo (M) Sdn Bhd in their development centre in India had improperly accessed and stole the personal data of our customers.

😂🤣😭

Мы, как обычно, первыми написали про эту утечку и сделали ее разбор (даже проверили некоторые записи пассажиров и убедились в их подлинности): https://yangx.top/dataleak/1255 👍😎

В дополнение к уже написанному ранее, можем добавить, что эта утечка не результат кражи, а результат обычного безалаберного обращения с данными клиентов сотрудниками подрядчика. 😱

Изначально данные пассажиров были выложены в свободно доступное облако Amazon, по адресу https://sunstarcms.s3.amazonaws.com/test/backups/index.htm, в виде бэкапов: 🤦‍♂️🤦🏻‍♂️🙈

GQ FlightEngine PG backup
gitlab backup
GQDP2CMS backup
GQ FlightEngine PGLoyalty backup
GQ FlightEngine PG Preprod backup
GQ FlightEngine PG backup
GoQuoWebService backup
GoQuo BKK backup
GoQuo FareBasis BKK backup
PaymentGateway BKKAir backup
master backup
model backup
msdb backup
BatikairCMS ID Live backup
GQ FlightEngineB2BDB backup
GQ FlightEngineDB GW backup
GQ FlightEngineDB OD backup
GoQuoWebService backup
GoQuo OD API backup
GoQuo OD backup
MalindoCMSv2 backup

Сейчас утекшие данные пассажиров Malindo Air и Thai Lion Air можно свободно скачать со специализированных форумов, а информация о российских пассажирах даже выделена в отдельную базу данных в формате Cronos. 😎

Представляем наш новый отчет из серии исследований услуг черного рынка - «Пробив кредитной истории». 🔥🔥

На черном рынке широко представлен «пробив» по всем основным БКИ: Национальное бюро кредитных историй (НБКИ), Объединенное кредитное бюро (ОКБ), Эквифакс.

Подробнее читайте тут: 👇
https://www.devicelock.com/ru/blog/probiv-kreditnoj-istorii.html