Житель Екатеринбурга обнаружил на свалке несколько мешков с медицинскими документами, принадлежащие городской больнице № 40.

Большинство документов это акты сдачи-приемки работ, но среди них есть бумаги с персональными данными пациентов. Документы датированы 2002-2017 гг.

В открытый доступ выложены дампы пользователей двух форумов – «Cообщество QashqaiRussia» (qashqairussia.ru) и «Клуб Рено Дастер» (dusterclub.ru).

В первом дампе 10,403 строк, во втором - 12,479 строк, содержащие адреса эл. почты, хешированные (MD5) пароли и соль для хеширования.

Оба форума построены на движке «vBulletin».

В открытый доступ выложили дамп базы данных пользователей системы онлайн-бронирования трансферов «Кивитакси» (kiwitaxi.ru).

В дампе 336,079 строк, содержащих данные клиентов и сотрудников сервиса:

🌵 имя/фамилия
🌵 адрес эл. почты
🌵 телефон
🌵 должность (для сотрудников сервиса и некоторых других записей)
🌵 хэшированный (SHA2-512 и SHA1) пароль и соль для хеширования
🌵 токен авторизации OAuth (для сотрудников сервиса)

Судя по формату дампа, он сделан из MongoDB. Скорее всего сервер с данными был оставлен в открытом доступе. 🤦🏻‍♂️

В Олёкминском районе Якутии суд признал 24-летнего бывшего специалиста офиса обслуживания и продаж оператора сотовой связи виновным в нарушении тайны телефонных переговоров с использованием своего служебного положения (ч.2 ст.138 УК РФ).

В июле 2019 г. этот сотрудник, имея доступ к информации, со своего служебного компьютера без согласия абонента вошел в базу данных кампании и произвел детализацию его телефонных соединений за период с 1 июня по 1 июля 2019 г. Затем данные были переданы им за денежное вознаграждение третьему лицу (т.н. “мобильный пробив”).

Суда назначил наказание в виде обязательных работ сроком на 200 часов.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут.

Продолжаем анализировать дампы, выложенные в свободный доступ хакерами «Shiny Hunters».

Рассмотрим дамп базы данных пользователей американской E-Commerce платформы «Drizly» (drizly.com) - одной из крупнейших площадок по продаже алкогольных напитков в США и Канаде.

В дампе 2,479,145 строк, содержащих:

🌵 имя/фамилия
🌵 адрес эл. почты
🌵 дата рождения
🌵 платежный адрес и адрес доставки
🌵 телефон
🌵 дата создания профиля и последнего входа в систему (с 24.06.2013 по 02.07.2020)
🌵 идентификатор страны (1 – США, 2 – Канада)
🌵 IP-адрес
🌵 GPS-координаты
🌵 User-Agent, тип устройства (iPhone, Web, Android) и версия ОС
🌵 хэшированный (bcrypt и MD5) пароль и соль для хеширования (для bcrypt). 1,131,987 записей имеют пароли, хешированные “слабым” алгоритмом MD5


«Shiny Hunters» "сливали" данные Zoosk, proctoru.com, appen.com, scentbird.com, promo.com, dave.com, liveauctioneers.com, mathway.com, Tokopedia.com, chronicle.com и даже исходные коды Microsoft.

В свободный доступ попала очередная база данных, скачанная из недавно взломанного сервиса dataviper.io, исследователя Vinny Troia - зарегистрированные пользователи мобильного сервиса для чтения книг по подписке «Bookmate».

Утечка из самого сервиса «Bookmate» произошла в середине 2018 г.

В выложенной сейчас базе данных 8,026,860 строк (после удаление дублей - 8,026,781), содержащих:

🌵 логин
🌵 имя/фамилия
🌵 адрес эл. почты (3,827,982 записи)
🌵 дата рождения
🌵 IP-адрес
🌵 хешированный (SHA2-512) пароль
🌵 язык (3,289,118 записей с русским языком)

В г. Ковров (Владимирская область) судом вынесен приговор по уголовному делу в отношении сотрудницы АО «Мегафон Ритейл», обвиняемой в совершении преступления, предусмотренного ч.2 ст. 137 УК РФ (незаконное собирание и распространение сведений о частной жизни лица, составляющих его личную тайну, без его согласия, с использованием своего служебного положения).

В период с августа по 20 сентября 2019 года через мессенджер Telegram cпециалисту офиса продаж и обслуживания салона связи «Мегафон» г. Коврова поступило сообщение от неустановленного лица с просьбой о предоставлении ему информации о персональных данных абонентов АО «Мегафон Ритейл». Далее сотрудница, имея доступ к базам данных АО «Мегафон Ритейл», осуществила просмотр финансовых карточек клиентов, карточек клиентов, содержащих их паспортные данные (фамилия, имя, отчество, дата и месяц рождения, адрес регистрации, сведения о семейном положении, о детях, о ранее выданных паспортах, серию и номер паспорта), сфотографировала персональные данные на камеру своего телефона и передала их неустановленному лицу также через Telegram, за что получила денежное вознаграждение.

Проще говоря, сотрудница «Мегафон» занималась т.н. “мобильным пробивом”.

Приговором суда женщина признана виновной в совершении указанного преступления и ей назначено наказание в виде штрафа в размере 110 тыс. рублей.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут.

В свободный доступ выложено более 3 тыс. документов (MS Excel/Word, PDF и т.п.), принадлежащих норвежской нефтегазовой сервисной компании «Karmsund Maritime Group AS» («KaMOS»). 🔥

В открытом доступе находятся полные данные кредитных карт, инвойсы, списки клиентов, конфигурационные файлы (.rdp) для Remote Desktop Services и многое другое.

Некоторые файлы датированы началом августа 2020 г., что говорит о совсем свежем инциденте. 😎

Слив предположительно связан с сингапурским офисом – «Karmsund Maritime Singapore PTE Ltd» (karmsund.no/kamsing).

Относительно слива «Karmsund Maritime Group AS», о котором мы писали утром - еще в середине июля этого года, операторы вируса-вымогателя «Maze» заявили о том, что проникли в сеть этой компании, но никаких данных тогда слито в паблик не было.

Однако, текущий слив явно произошел позднее (в начале августа).

На продажу выставлен дамп базы пользователей “защищенного” 🤣 почтового сервиса «VFEMail.net» (адреса: @vfemail.net, @clovermail.net, @isonews2.com, @mail-on.us, @manlymail.net, @chewiemail.com, @openmail.cc, и др.).

7,115,459 строк, содержащих:

🌵 логин
🌵 адрес эл. почты
🌵 хешированный (MD5 и SHA-512) пароль
🌵 IP-адрес

Дамп датируется апрелем 2020 г.

В феврале 2019 г. данный “защищенный” 🤣 почтовый сервис подвергся хакерской атаке, в результате которой часть данных пользователей была уничтожена (были отформатированы все диски на всех американских серверах). После этого инцидента часть данных была восстановлена из бэкапа. 🙈

В Ростове-на-Дону суд признал виновными сотрудницу офиса продаж оператора сотовой связи Наталью Артамонову и посредницу Стеллу Собчук, которые продали детализацию звонков абонента местному бизнесмену Вадиму Масловскому.

Как было установлено, бизнесмен, являясь учредителем одной из фирм, решил проконтролировать генерального директора своей компании и за деньги заказал “мобильный пробив” у знакомой. За свою услугу посредница получила вознаграждение.

Заказчик и посредница признали свою вину по ч.1 ст.138 УК РФ (нарушение тайны телефонных переговоров) и отделались штрафом в 15 и 10 тыс. рублей соответственно.

Сотрудница оператора сотовой связи признана виновной по ч. 2 ст.138 УК РФ (нарушение тайны телефонных переговоров с использованием своего служебного положения) и ч. 2 ст.272 УК РФ (неправомерный доступ к компьютерной информации, совершенный из корыстной заинтересованности) и получила один год и шесть месяцев условно.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут.

В Пензенской области силами отдела «К» регионального управления МВД и УФСБ России по Пензенской области при участии Управления «К» БСТМ МВД России и ФСБ России пресечена деятельность "хакерской" группировки, известной на теневых форумах под именем «Gods Of Logs». 👇

Перед судом предстали трое участников преступной группы - 21-летний уроженец одной из стран ближнего зарубежья, 27-летний житель города Заречного Пензенской области и 32-летний житель Москвы.

В начале 2019 г. все трое договорились о создании вредоносной программы (HVNC-бот плюс т.н. “стиллер”), предназначенной для похищения логинов/паролей и данных банковских карт с зараженных компьютеров, и последующем её распространении для использования сторонними лицами. Уроженец ближнего зарубежья занимался написанием кода, а задачей двух других было тестирование и продажа вредоносной программы, а также поиск и поддержка клиентов.

После того, как программа была готова к использованию, она стала распространяться на теневых форумах (wwh, xss, skynetzone и др.) по модели подписки (Malware-as-a-Service). В Telegram был создан канал программы (@GodsOfLogs) и бот для ее поддержки (@hvnc_bot). По данным следствия, в период с марта по октябрь 2019 г. доступ к программе оплатили не менее четырёх неустановленных лиц.

Кроме того, злоумышленники и сами использовали свою программу, “заливая” на HVNC-бота американский и европейский трафик, а затем, используя данные банковских карт жертв, “вбивали” на booking.com отели Турции и Грузии, зарабатывая на кешбэке и выводя деньги в биткоины. Тут хочется отметить, что свою деятельность некоторые члены группировки начинали в 2016 г. именно с кардинга и позже даже продавали скиммеры. 😎

В декабре 2019 г. злоумышленники встретились в Пензе, где планировали совместно продолжить работу над вредоносной программой, но были арестованы и помещены под стражу. В ходе обысков были изъяты компьютеры, мобильные телефоны и другие носители информации, содержащие доказательства незаконной деятельности. Кроме того, в квартире, которую злоумышленники арендовали в Пензе, обнаружили и изъяли синтетические наркотики (мефедрон), которые обвиняемые приобрели для личного употребления.

Обвинение было выдвинуто по статье 273 УК РФ (создание, использование и распространение вредоносных компьютерных программ) и статье 228 УК РФ (незаконное приобретение и хранение наркотиков). Суд над злоумышленниками состоялся 11 августа и каждому было назначено наказание в виде двух лет лишения свободы условно.

Примеры объявлений, размещенных группировкой «Gods Of Logs» на теневых форумах.

Про «Gods Of Logs» вышел YouTube-ролик с более детальным рассказом. 👇

https://www.youtube.com/watch?v=n-10E5UyGpM

Проанализировали дамп пользователей хостинга “шокирующих” видео-роликов shockgore.com.

Дамп датирован 11.08.2020 и содержит 73,797 строк:

🌵 логин
🌵 имя/фамилия
🌵 адрес эл. почты
🌵 пол
🌵 хешированный (MD5) пароль (59,889 уникальных)
🌵 дата регистрации и последней активности (с 13.05.2018 по 11.08.2020)
🌵 IP-адрес

Из 59,9 тыс. хешей “расшифровано” 38,4 тыс., при этом 92% пар логин/пароль – уникальные и ранее не встречались в других утечках. 👍

В Пензенской области сотрудники полиции и ФСБ России задержали еще одну “хакерскую” группировку (два дня назад мы писали про арест «Gods Of Logs»). На этот раз речь идет о группе «BlowMind», промышлявшей воровством YouTube-каналов. 👇

В июле 2020 г. возбуждено уголовное дело по факту создания и распространения вредоносной компьютерной программы (ч. 2 с. 273 УК РФ). В совершении преступления подозреваются шесть жителей Пензы в возрасте от 17 до 20 лет, которые были задержаны 16.07.2020.

Группировка была создана в январе 2020 г. Злоумышленники договорились о написании “стиллера”, который будет воровать cookies и логины/пароли из браузеров.

В состав группировки вошли: организатор и координатор группы (blackhatqq, bet1sh, estilmate), Python-разработчик (munqush), поддержка (ParatrooperA), “логер” (SwedenOptimaTeen) и др.

Затем были наняты (за процент от последующей продажи украденных каналов) более 200 т.н. “воркеров”, в чьи задачи входил поиск владельцев YouTube-каналов и навязывание им (через методы социальной инженерии) запуска “стиллера”. Для них даже было написано специальное руководство.

“Воркеров” искали через многочисленные теневые форумы. Что интересно, позже на этих форумах стали появляться жалобы на «BlowMind» (жаловались на обман, маленькие выплаты и т.п.). Некоторые аккаунты членов группировки даже были заблокированы за мошенничество. 😂

Жертвам (владельцам YouTube-каналов) “стиллер” засылался под видом легитимного ПО. Под это ПО создавались фейковые сайты и владельцам каналов предлагалось за деньги сделать его обзор (для этого и надо было запустить вредоносный EXE-файл). Размер исполняемого файла “стиллера” специально был раздут до 550 Мб, чтобы его невозможно было загрузить на проверку в virustotal.com.

В ранних версиях “стиллер” фактически поддерживал только браузер Chrome начиная с версии 80 (из Edge/Yandex Browser/Firefox данные не воровались), но позднее была добавлена поддержка всех популярных браузеров и даже не самых популярных (например, Vivaldi).

В результате действий злоумышленников были взломаны и похищены несколько сотен популярных YouTube-каналов. Похищенные таким образом каналы затем перепродавались. 😱

Примеры объявлений, размещенных группировкой «BlowMind» на теневых форумах.

В июле написали, что в Хакасии было утверждено обвинительное заключение по уголовному делу в отношении 23-летнего сотрудника одного из операторов сотовой связи, который в сентябре 2019 г. осуществил неправомерный доступ к сведениям о детализации телефонных переговоров 4-х пользователей мобильного оператора, а затем передал их за деньги третьему лицу.

29 июля 2020 года Абаканским городским судом Республики Хакасия сотруднику оператора сотовой связи вынесен обвинительный приговор и назначено наказание в виде лишения свободы сроком 2 года условно. Приговор вступил в законную силу.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут.

В начале июля на теневых форумах появилась в продаже «Таможенная база ВЭД России за 2018 год».

Продавец утверждает, что в базе, формата Cronos, 23 млн. записей и более 70 полей с данными.

Чуть позже, на одном из форумов по бесплатному обмену базами, появились эти же данные (судя по составу полей и размеру) в условно-открытом доступе.

Всего 22,870,294 строк, содержащих:

🌵 данные декларации
🌵 данные отправителя
🌵 данные получателя
🌵 данные товара
🌵 стоимость
🌵 дату
🌵 и многое другое

Ранее мы писали, что был задержан сотрудник таможенной службы, который выгружал данные о таможенном декларировании и системе управления профилями рисков из «Единой автоматизированной системы таможенных органов» (ЕАИС ТО).

В СМИ снова обсуждают очередную псевдо-утечку – в открытом Elasticsearch-сервере найдено 235 млн. профилей пользователей социальных сетей Instagram, TikTok и Youtube. 🤦‍♂️

Данные представляют собой парсинг профилей социальных сетей и фактически содержат только ту информацию, которую оставили о себе сами пользователи. Информация собиралась маркетинговым агентством «Deep Social».

Такие базы регулярно появляются в открытом доступе и никакими утечками они конечно не являются. 😂 Однако, подобный сбор данных профилей пользователей, как правило запрещен лицензионными соглашениями социальных сетей.

В мае система DLBI обнаружила свободно доступный сервер Elasticsearch, в индексах которого содержались данные собранные парсингом более 300 млн. профилей социальных сетей Facebook, Instagram, Twitter, LinkedIn, Google+, а также пользователей Telegram и некоторых блог-платформ.