Вам красное или белое?
В конце июня в сети появилась база данных клиентов магазина “Красное и белое”. В базе были имена, телефоны и даты рождения примерно 100 тысяч человек. Тогда все пошумели, да и забыли.

Однако, пользователь с ником MURC1ELAGO, который выложил ту самую базу, на этом не успокоился.  В сентябре он разместил ссылку на базу со сведениями о 124 тысячах покупателей, в октябре и ноябре у него появилось еще два фрагмента по 90 тысяч записей каждый, в декабре к ним добавилось еще 180 тысяч записей. И вот наконец в эти выходные он разместил базу, содержащую 928 тысяч записей, то есть уже почти миллион.

Что интересно, данный пользователь зарегистрировался на небезызвестном сайте всего лишь в конце апреля прошлого года и до конца июня выкладывал в основном всякую никому толком не нужную ерунду. А вот в последние полгода он размещает исключительно данные покупателей «Красного и белого» (ну были там еще учетки со слитых околохакерских форумов, но они и так гуляют по сети). Пару раз его обвиняли в том, что базы - сплошной мусор, однако, никто ничего так и не подтвердил, и не опровергнул.

Ну и особенно примечательно то, что все это происходит на фоне новостей о передаче управления сети «Красное и белое» группе компаний «Бристоль».
@In4security

И не выиграл, а проиграл…
В некоторых зарубежных СМИ сегодня вышла новость о том, что в Великобритании вынесен приговор человеку, который взломал Национальную британскую лотерею. Вот прямо так и пишут.

Первое, что настораживает – это приговор – 9 месяцев тюремного заключения. Как-то маловато за взлом лотереи. Поэтому попробуем разобраться.

История началась в 2016 году, когда компания-оператор национальной лотереи Camelot сообщила о том, что примерно 26 тысяч аккаунтов ее клиентов могут быть скомпрометированы и порекомендовала пользователям поменять пароли.

Полиция быстро выяснила, что атаки проводились методом брута, и вскоре детективам удалось отследить IP-адреса, с которых осуществлялся перебор паролей. IP-адреса принадлежали Университету Астона (что в Бирмингеме), так что банальный анализ логов внутри университетской сети привел детективов к первому подозреваемому – Идрису Кайоду Акинвунми. Вот уж правда – вычислили по IP.

Индиец сразу во всем сознался и выдал двух своих сообщников, с которыми он общался в групповом чате в WhatsApp. Один из них дал ему орудие преступления, популярную у школьников программку для брута Sentry MBA, и проинструктировал, куда вбивать IP-адрес и куда нажимать.

Правда Идрис не знал имен соучастников  – он сумел сообщить только ник одного из них в WhatsApp – Rosegold, поэтому британской полиции пришлось применить WhatsApp-деанонимайзер, который привел сыщиков в Ноттинг Хилл. Настоящий, а не тот, где Хью Грант и Джулия Робертс.

Вторым подозреваемым стал Анвар Батсон, который сразу же сказал сыщикам, что стал жертвой троллей, установивших бекдор на его компьютер. Правда он забыл о том, что на его телефоне стоял WhatsApp. И почистить историю сообщений он тоже забыл. Так выяснился и третий подозреваемый – Даниэль Томпсон.

Вся троица пошла под суд. Батсон до последнего все отрицал, но потом вдруг во всем признался и смиренно выслушал приговор. В итоге он в месте с Томпсоном был приговорен к 9 месяцам заключения, а вот их индийский коллега отделался четырьмя. Кроме того, им всем придется оплатить судебные издержки в размере 250 фунтов стерлингов и возместить ущерб клиенту лотереи в размере…

А вот размер-то тут как раз и имеет значение! Британские хакеры настолько суровы, что сумели увести у клиентов лотереи в общей сложности 13 фунтов стерлингов (1040 рублей по текущему курсу), 5 из которых Идрис Акинвунми перечислил Анвару Батсону за то, что тот поделился с ним программой, которая бесплатно валяется по всему интернету. Томпсон, похоже, вообще ничего не заработал.

Так что, как вы понимаете, слухи о взломе Национальной британской лотереи несколько преувеличены и являются ничем иным, как кликбейтными заголовками.
@In4security

Первая полноценная рабочая неделя 2020 года и в сети уже появились 2 базы данных, утекшие из банков Украины, входящих в ТОП-15 кредитных учреждений страны.
База данных клиентов Ощадбанка содержит полтора миллиона записей и распространяется без пароля. Впрочем, она содержит лишь ФИО, адреса и контактные данные.

Что касается базы Приватбанка (на скриншоте), то она содержит сведения о миллионе клиентов, включая их паспортные данные, ИНН и так далее.

Если содержащаяся в базах информация достоверна, то эта утечка может бороться за лидерство в масштабах кредитно-финансовой системы Украины.
@In4security

Сводки с киберфронтов
Хотели написать под вечер пост о суровых русских правительственных хакерах, но тут подоспела новость от наших любимых скрипт-кидди из группировки THack3forU.

Напомним, что ранее они уже отметились такими преступлениями века, как взлом сетевого принтера, «DDoS» силами трех человек при помощи LoIC, написанием трояна под Androoid, который толком не троян и не работает на половине современных телефонов, а также другими не менее громкими делами.

Была статья на Pikabu с разоблачением этой школоты, но они упорно продолжают вести свой канал.

Кстати, после предыдущих постов и статьи об этих ребятах нам даже поступали сообщения с угрозами вычислить по IP.

Чем же отметились «хакеры» сегодня?  Они выложили запись третьесортного пранка с депутатом Верховной рады Украины по имени Iлля Кива, разместив попутно номер его телефона. Кстати, фамилия депутата была написана неправильно – «Кiва» вместо «Кива», но это неудивительно – все тексты на канале «украинских хакеров» написаны так, словно их переводили с русского на ураинский через переводчик гугла.

Так в чем же проблема? А проблема в том, что этот номер гуглится по имени и фамилии депутата меньше, чем за минуту. Хотя если они гуглили по фамилии «Кiва», вместо правильной то да, тут согласны, это в некотором роде достижение.
@In4security

Facebook вообще не парится по поводу модерации рекламных объявлений. Фейковые рекламные аккаунты появляются ежедневно, а объявления, рекламирующие сайты мошенников, выполнены как под копирку.

В рекламе используется уже стандартная для подобных ресурсов двухступенчатая схема: ссылка в объявлении ведет на страницу на GitHub.io, на которой висит лендинг с кнопкой. Нажав на кнопку, пользователь попадает уже непосредственно на сайт с опросами, доменное имя которого как правило состоит из абстрактного сочетания букв и цифр.

Казалось бы, модерировать такие объявления можно было бы даже автоматически, ведь пользователи жаловались на них тысячи раз, но нет, Facebook остается эффективной рекламной площадкой для мошенников.
@In4security

Извините, нас снова взломали
Главная новость на сегодня – это несомненно слив 500 тысяч паролей от роутеров и IoT-устройств. Злоумышленнику они просто перестали быть нужными, и он выложил их в открытый доступ, так что проверьте, нет ли вашего роутера в списке.

Но помимо этой новости есть и другие любопытные события. Например, сегодня Mitsubishi Electric заявила о том, что в отношении компании была осуществлена успешная кибератака, в ходе которой злоумышленники возможно получили доступ к конфиденциальным сведениям о разработках и сотрудниках. С учетом того, что Missubishi Electric является одним из главных подрядчиков Минобороны и предприятий ядерной отрасли Японии, данная атака может иметь более чем серьезные последствия.

За последние полгода это уже второй взлом, затрагивающий инфраструктуру компании. В июне 2019 года корпорация заявляла о том, что ряд компьютеров в ее главном офисе был скомпрометирован. В тот раз всю вину свалили на китайских хакеров, а генеральный секретарь Кабинета министров Японии Ёсихидэ Суга лично приносил свои извинения и уверял граждан в том, что информация, касающаяся обороноспособности государства, не была похищена.
@In4security

Спасибо нашему подписчику за отличный пример раздолбайства разработчиков.

Одна российская компания, занимающаяся написанием софта для учреждений, работающих с персональными данными первой категории (намеренно не будем разглашать название организации и отрасль), выложила на свой git скрипт, предназначенный для автоматического продления сертификатов от let’s encrypt.

Проблема в том, что в скрипте открытым текстом содержится пароль (сам пароль – это тоже отдельная тема), что позволяет невозбранно использовать его для извлечения содержимого лежащих там же pfx-файлов (примеры вы можете видеть на скриншоте). Таким образом любой желающий может получить ключи и невозбранно осуществлять, скажем, MItM-атаки.

Судя по доскам объявлений, автор сего шедевра подрабатывает ремонтом компьютеров и подключением телевидения и интернета. Тот случай, когда не стоит экономить на квалифицированных разработчиках.
@In4security

Наследный кронхакер! Неделю назад в топе новостей висело сообщение о том, что саудовцы взломали айфон Джефа Безоса. Однако, детальный разбор отчета показывает, что судя по всему все несколько иначе: не взломали и не саудовцы.

Позиция проводящей расследование FTI базируется на том, что саудовский кронпринц отправил Безосу видео в WhatsApp и сообщение с видеофайлом содержало вредоносный код. Основной вывод криминалиста, изучавшего телефон Безоса звучит так: «Сообщение, в котором содержалось видео размером 4.22 мегабайта, было больше по объему, однако из-за того, что оно было зашифровано, нам не удалось изучить его содержимое». То есть зашифрованное сообщение больше оригинального файла, а значит обязательно содержит в себе помимо видео вредоносное содержимое.

Тут кроются целых две ошибки криминалиста, которые позволяют поднять вопрос о его компетенции: 1) исследуемое устройство или образ уже содержало ключи, позволяющие расшифровать сообщение, просто эксперт о них не знал (а расшифровка сразу расставила бы все точки над i); 2) все зашифрованные WhatsApp видео слегка увеличиваются в размерах – в сообщения добавляется служебная информация.

Таким образом в распоряжении экспертов имеются: совершенно безобидный видеофайл и зашифрованное сообщение, расшифровать которое (имея в распоряжении телефон) способен любой более-менее продвинутый пользователь.

В отчете написано, что после получения данного видео траффик с телефона Безоса значительно увеличился, но, как видите, пока не предоставлено доказательств причинно-следственной связи между этими событиями.

Когда FTI берется за расследование, где-то в мире грустит один саудовский принц, любящий рассылать видео с котиками.
@In4security

Carder’s paradise В понедельник вечером на Jocker’s Stash на продажу было выставлено более 30 миллионов дампов банковских карт. Большая часть из них принадлежит американским гражданам, однако, в базе также содержатся дампы примерно миллиона банковских карт из ста стран мира.  Источник утечки не сообщается, но эксперты единодушно склоняются к тому, что большая часть дампов была получена в сети американских магазинов Wawa, сообщившей об утечке данных в декабре прошлого года. Правда тогда представители компании заявили, что утечка не затронула сведений о CVV и PIN-кодах, в то время как в предлагаемой на продажу базе содержатся дампы второй и первой дорожек банковских карт, что позволяет предположить, что они несколько слукавили или недооценили масштаб проблемы.  По имеющейся информации дампы были получены вследствие использования в сети магазинов и на прилегающих к ним заправочных станциях POS-терминалов, зараженных специальным трояном. Чтобы вы могли оценить масштаб проблемы: у Wawa более 800 магазинов по всей стране, а это означает, что число зараженных POS-терминалов может исчисляться десятками тысяч.  На данный момент дампы продаются по цене от 17 долларов за американскую карту до 210 долларов за некоторые карты, выпущенные в других государствах.  Это уже не первый такой инцидент в США, в нашей же стране ничего подобного по масштабу пока не отмечалось. @In4security

Похоже, что в МЧС восприняли переход на электронный документооборот слишком буквально и теперь согласовывают заявки на закупку техники через Pastebin.
@In4security

Политический киберсквоттинг
Сеть молниеносно реагирует на события. 15 января, когда появилась информация о том, что новым премьером станет Михаил Мишустин, в рунете тут же были зарегистрированы домены:
mihail-mishustin.ru
mihailmishustin.ru
mishustin2024.ru
mishustinpremier.ru

mihail-mishustin.ru
mihailmishustin.ru
mishustin2024.ru
mishustinpremier.ru

На следующий день, когда был подписан соответствующий указ, их количество пополнилось еще 8 доменными именами, в том числе и в зонах, отличных от .RU:
mikhailmishustin.ru
mishustin24.ru
mishustinu.ru
mmishustin.ru
mishustin.site
mikhailmishustin.com
mmishustin.com
mikhail-mishustin.com

mikhailmishustin.ru
mishustin24.ru
mishustinu.ru
mmishustin.ru
mishustin.site
mikhailmishustin.com
mmishustin.com
mikhail-mishustin.com

Параллельно с этим, 15 января, кто-то зарегистрировал домены kudrin2024.rukudrin2024.ru и medvedev2021.rumedvedev2021.ru. И если с 2024 годом все более-менее понятно: если вдруг Кудрин решит баллотироваться в президенты, этот домен можно будет ему продать, то вот что может случится с Медведевым в 2021 году – ума не приложим.
@In4security

Начало сегодняшнего дня ознаменовалось двумя событиями. Сперва в одном небезызвестном канале выложили архив с резюме 102 сотрудников Group IB (в том числе бывших), добытых из Linked In, а спустя несколько часов в сети появилось объявление о продаже списка сотрудников этой компании.

Сперва показалось, что речь идет об одной и той же информации, однако, в резюме не содержится сведений о датах рождения и адресах регистрации, а в продаваемом списке они якобы присутствуют.

Впрочем, продавец особого доверия не вызывает так что достоверность информации пока под вопросом.

Напомним, что в сентябре прошлого года подобная история произошла с компанией SearchInform, тогда в открытый доступ попали данные 46 сотрудников.
@In4security

Всего 99 смартфонов понадобилось для того, чтобы обмануть Google Maps и создать искусственную пробку.

Современный художник-акционист Саймон Веккерт включил навигатор на всех телефонах, положил их в тележку и пешком перемещался с ними по городу. В результате гугловский сервис отметил красным улицы, по которым перемещался Веккерт и перенаправил сотни настоящих машин в объезд.

Такая простая в исполнении шутка в реальности может использоваться в самых различных сценариях. Например, для того чтобы вынудить кого-то проехать по строго определенной улице, имитировав пробки на остальных путях.
@In4security

Заказывая что-либо через интернет, приходится оставлять о себе какой-то минимум информации. Например, имя, телефон, адрес электронной почты или почтовый адрес.

К сожалению, с безопасностью этих данных все очень плохо. Вчера вечером в сети появилось объявление о продаже базы Росгосцирка. В ней содержатся данные тысяч людей, приобретавших электронные билеты в цирк в Москве, Санкт-Петербурге и Екатеринбурге.

У нас все привыкли достаточно наплевательски относиться к таким утечкам: «ну выложили базу, ну и ладно», в большинстве случаев даже не проводится расследование и не наказываются виновные.

Кстати, интересно, нет ли в этой базе данных граждан Евросоюза? GDPR ведь имеет экстерриториальное действие.
@In4security

На этой неделе на одном из крупных российских форумов выложили на продажу совсем свежую базу данных, содержащую сведения о более чем 1 миллионе клиентов крупнейшего африканского банка – NedBank, головной офис которого находится в ЮАР. Стоимость базы составляла от 3 до 10 тысяч долларов США.

Согласно информации с форума, база была стянута с сервера южноафриканского телеком-оператора, обслуживающего банк, причем доступ к серверу у продавца имеется до сих пор.

Не прошло и пяти дней, как база данных была приобретена на эксклюзивных условиях неизвестным покупателем.

Похоже кто-то решил отомстить за нигерийские письма!
@In4security

Данные 6 с половиной миллионов граждан Израиля оказались в открытом доступе

Все произошло после того, как IT-специалисты, работающие на партию Ликуд, загрузили базу данных зарегистрированных избирателей в приложение, используемое для мониторинга голосования и взаимодействия с гражданами. Однако, уязвимости приложения позволяли без проблем получить полный доступ к базе, содержащей сведения об именах, номерах удостоверений личности, адресах, телефонах и прочей информации избирателей.

Похожая история произошла 14 лет назад, когда сотрудник Министерства внутренних дел украл реестр населения и выложил его в сети.

Разработчик приложения, компания Feed-b, сообщила о том, что уязвимость была оперативно устранена. Остается только догадываться, сколько людей успели скачать заветную базу данных.
@In4security

В честь Всемирного дня безопасного Интернета мы решили разобрать неприятный инцидент, связанный с продажей списка сотрудников компании @Group_IB.

Основная цель нашего исследования – привлечение внимания к проблемам в сфере информационной безопасности.

Надеемся, что статья будет полезной для наших коллег из ИБ. А для остальных подписчиков послужит хорошим примером работы с открытыми источниками данных.
https://graph.org/Kto-prodaet-bazu-Group-ib-02-11
@In4security

Сегодня на популярном российском форуме любителей утекших баз данных выложили логи общения пользователей портала Госуслуг с техподдержкой.

В базе содержится 138235 строк, актуальность - ориентировочно конец 2019 года.

В логах переписки можно найти несколько сотен адресов электронной почты, мобильных номеров, упоминания фамилий, дат рождения и прочих персональных данных.

Более того, многие пользователи отправляли в техподдержку скриншоты с использованием приложений типа LightShot, загружая их в облако. Таким образом, даже спустя год после обращения скриншоты с их персональными данными остаются висеть в общем доступе.
@In4security

Остров невезения в океане есть
В Пуэрто-Рико сотрудники госкомпании, получив фишинговое письмо, перевели пенсионные накопления на сумму более 2.6 миллиона долларов на счет злоумышленников.

В январе в Puerto Rico Industrial Development Company поступило письмо от имени сотрудника пенсионного фонда, в котором сообщалось, что отныне пенсионные взносы необходимо переводить не в тот банк, в который они перечислялись раньше. В письме содержались подробные инструкции по переводу и номера счетов. Сотрудников компании ничуть не смутил тот факт, что счета были открыты в зарубежном банке и спокойно перевели на них деньги.

Спустя некоторое время в компанию поступило уже настоящее сообщение из пенсионного фонда, в котором сообщалось о том, что деньги на счет так и не поступили. Только тогда сотрудники компании заподозрили неладное.

Вскоре выяснилось, что это далеко не первый подобные случай. По той же схеме были обмануты компания Pridco (63 тысячи долларов), Туристическая компания Пуэрто-Рико (1.5 миллиона долларов), Департамент транспорта и дорожного строительства, а также Агентство по торговле и экспорту.

И пока правительство Пуэрто-Рико думает, что проще: поднять пенсионный возраст или научиться выявлять фишинговые письма, кто-то уже заработал себе миллионы на спокойную старость.
@In4security

Эксперты: данным россиян больше ничего не угрожает
Сегодня Роскомнадзор опубликовал новость о том, что в целях защиты персональных данных были заблокированы два популярных у любителей утечек сайта: phreaker.pro и dublikat.eu.

Тут нужно отметить, что Роскомнадзор блокирует доступ к этим сайтам уже не в первый раз. Тот же phreaker вносили в реестр в апреле, мае и июле 2019 года, а dublikat попадал в реестр в феврале и марте прошлого года и даже пережил переезд на другое доменное имя.

Интересно то, что если dublikat работает в прежнем режиме (посетители таких сайтов как правило умеют пользоваться зарубежными VPN и даже не замечают блокировок), то вот phreaker.pro внезапно упал, не выдержав такой новости. Впрочем, с утра перебои наблюдались и в работе сайта самого Роскомнадзора.

Мы, конечно, выступаем за безопасность и защиту персональных данных, но такой способ борьбы с утечками напоминает устранение протечки трубы путем установки под нее ведра: труба протекает как прежде, но соседям снизу на голову уже не капает, так что все хорошо.
@In4security