СМИ разгоняют очередную историю про якобы утечку данных пользователей Clubhouse. 🤦🏻‍♂️

Действительно вчера в свободном доступе появился файл, содержащий небольшой фрагмент базы пользователей Clubhouse.

Все данные в этой базе получены путем парсинга профилей социальной сети и представляют собой открытую информацию, которую можно свободно получить через API. 🤣

Всего 1,300,515 записей (при этом нам достоверно известно, что в Clubhouse на текущий момент более 16,5 млн. зарегистрированных пользователей), содержащих только имя и идентификатор пользователя, ссылку на аватар, идентификатор Twitter/Instagram, идентификатор пригласившего пользователя.

В Татарстане будут судить 22-летнего специалиста офиса обслуживания и продаж оператора связи, которого обвиняют в продаже данных.

По версии следствия, с июля по август 2020 года молодой человек без ведома и согласия клиентов скопировал их персональные данные, детализацию разговоров и СМС, после чего переправил за плату неустановленному лицу через Telegram.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут.

22-летний уроженец Вологды и 25-летний житель Северодвинска признаны виновными в преступлении, предусмотренном ч. 3 ст. 272 УК РФ (неправомерный доступ к компьютерной информации, совершенный лицом с использованием своего служебного положения).

Судом и следствием установлено, что обвиняемые, являясь работниками офиса продаж одного из операторов сотовой связи в Северодвинске, осуществили доступ к охраняемой законом компьютерной информации, содержащей персональные данные абонентов, скопировали данные посредством фотографирования экрана рабочего компьютера на свой мобильный телефон и в корыстных целях передали информацию третьим лицам (т.н. “мобильный пробив”).

Им назначены штрафы в размере 25 тыс. руб.

Экс-сотрудника салона сотовой связи в Инте (Республика Коми) признали виновным в нарушении тайны телефонных переговоров за передачу данных абонентов.

Установлено, что в 2018 году он, используя доступ к информационным системам, запросил детализацию телефонных соединений по нескольким номерам без согласия абонентов и передал полученные данные третьему лицу.

Подсудимому назначили наказание в виде 100 часов обязательных работ.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут.

Проанализировали пароли из двух крупных утечек:

1️⃣ mirzacloud - теневой маркетплейс, продающий сборные коллекции ("комбо") пар логин/пароль, был взломан более месяца назад. Из 358 млн. пар логин/пароль только 19% являются уникальными (т.е. ранее не встречались в анализируемых нами утечках).

2️⃣ yam.comyam.com - крупный тайваньский интернет-портал был взломан еще в 2013 году, но дамп с 16,3 млн. записей появился в открытом доступе только в этом месяце. Из 8 млн. пар логин/пароль почти 94% оказались уникальными. 👍

В свободный доступ был выложен полный дамп базы данных израильского мобильного приложения «Elector», которое использовалось для регистрации избирателей на недавно прошедших в стране выборах. 🔥

Об утечке персональных данных 6,5 млн. израильских избирателей стало известно в конце марта.

В дампе содержатся:

🌵 ФИО
🌵 номер удостоверения личности
🌵 адрес
🌵 телефон  (не у всех)
🌵 адрес эл. почты (не у всех)
🌵 дата рождения
🌵 пол


До этого мы писали про утечку данных избирателей Грузии, Мальты и Украины.

В Ельце (Липецкая область) бывшая сотрудница сотовой компании подозревается в нарушении тайны телефонных переговоров.

По данным следствия, 19-летняя подозреваемая, в октябре 2019 г. занимая должность специалиста сотовой компании, пользуюсь служебным положением, осуществила неправомерный доступ к информационной базе, скопировала данные о детализации телефонных соединений конкретного абонента, проживавшего в городе Саратове, и передала их своему знакомому за денежное вознаграждение.

Уголовное дело возбуждено по по ч. 2 ст. 138 УК РФ (нарушение тайны телефонных переговоров, совершённое лицом с использованием своего служебного положения) и ч. 3 ст. 272 УК РФ (неправомерный доступ к компьютерной информации, совершенный лицом с использованием своего служебного положения).


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут.

Очередной слив якобы базы зарегистрировавшихся на сайте free.navalny.comfree.navalny.com. 😂

Про предыдущий фейк мы писали тут.

На этот раз людям, действительно регистрировавшимся на этом сайте, приходят письма с вложенным архивом.

В архиве содержится текстовый файл с 529,570 строками: адреса эл. почты и даты (с 22.03.2021 по 02.04.2021).

447,880 записей имеют дату подтверждения регистрации на сайте.

Директор ФБК - организации, являющейся иностранным агентом, признал факт утечки базы адресов электронной почты, про которую мы писали вчера вечером.

Кроме того, в Telegram создан специальный бот @navalnyfail_bot, который позволяет проверить свой эл. адрес на попадание в эту утечку.

В отношении жителя Иваново возбуждены уголовные дела по признакам преступлений, предусмотренных ч. 3 ст. 272 (неправомерный доступ к компьютерной информации, совершенный лицом с использованием своего служебного положения), ч. 4 ст. 274.1 (неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации с использованием своего служебного положения) УК РФ.

30-летний задержанный, являясь сотрудником одного из операторов сотовой связи, осуществил неправомерный доступ к охраняемой компьютерной информации, а также нарушил правила эксплуатации средств хранения и обработки указанной информации.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут.

16 апреля в Санкт-Петербурге в ходе встречи с российским гражданином при получении информации закрытого характера, содержащейся в базах данных правоохранительных органов и ФСБ России, задержан с поличным украинский дипломат — консул Генерального консульства Украины в Санкт-Петербурге Александр Сосонюк.

РБК пишет, что на теневом форуме 14 апреля появилось объявление о продаже данных клиентов «СберПремьер» - специальной программы Сбербанка для обслуживания постоянных клиентов на привилегированных условиях.

По утверждению продавца базы, в ней содержится 500 тыс. записей о клиентах, а данные выгрузил сотрудник банка.

РБК ознакомился с бесплатным пробником базы из 20 записей клиентов. Он содержит ФИО, номер телефона, адрес электронной почты, номер счета без одной цифры, подразделение Сбербанка, номер клиента по порядку в базе и номер отделения.

Данные клиентов подтверждаются при переводе через «Сбербанк Онлайн». Шесть из них подтвердили РБК достоверность ФИО и номера телефона, а один подтвердил, что является клиентом «Сбербанк Премьер».🔥

Разумеется, Сбербанк утверждает, что «никакой утечки данных или банковской тайны из банка не было». 🤣😂🤦‍♂️


Напомним, что ранее Сбербанк уже пытался скрыть реальный масштаб утечки данных своих клиентов и транзакций по их платежным картам. 😱

В свободный доступ была выложена база данных пользователей сервиса знакомств LovePlanet.ruLovePlanet.ru.

Эта утечка произошла в 2015 году и мы ее ранее анализировали.

В базе 20,077,950 строк, содержащих адрес эл. почты, логин и текстовый пароль.

Спустя ровно год опять был взломан “хакерский” форум OGUsers.comOGUsers.com. Это уже третий "слив" базы пользователей этого форума. Про прошлый мы писали тут.

На этот раз в дампе 350 тыс. строк, содержащих данные зарегистрированных пользователей.

Именно благодаря прошлым "сливам" этого форума были пойманы злоумышленники взломавшие более 50 крупных Twitter-аккаунтов (Маска, Гейтса, Обамы и др). Про то, как их вычислили тут. 👍

Как и предсказывали специалисты, в свободном доступе довольно быстро появились базы данных зарегистрировавшихся на сайте free.navalny.comfree.navalny.com, обогащенные дополнительной информацией. 👍

На текущий момент доступно два Excel-файла, в которых помимо адресов электронной почты, полученных из утекшей базы free.navalny.com, присутствуют дополнительные поля:

🌵112,469 строк, содержащих ФИО, даты рождения, домашние адреса, пол, телефоны, места работы и учебы.

🌵52,709 строк, содержащих имена/фамилии и номера телефонов.

А вот, например, пентестер и автор Telegram-канала «Beched's thoughts» (@masterbeched) проанализировал код страницы сайта free.navalny.comfree.navalny.com и выяснил, что он содержал в открытом виде пароль администратора Django-бэкенда. 🔥😱

Возможно, что это и не являлось прямой причиной утечки базы зарегистрированных адресов эл. почты, которую потом обогатили данными из других баз. Однако, это дает достаточно ясное понимание того, какой уровень квалификации у людей поддерживающих данный ресурс и обеспечивающих информационную безопасность проекта. 🤦‍♂️

В Кургане на улицу выбросили документы c данными пациентов и сотрудников Курганской больницы скорой медицинской помощи.

Среди бумаг были справки для правоохранительных органов о получении травм криминального характера. Помимо ФИО, в некоторых документах указаны адреса проживания пациентов.

В Чебоксарах вынесен приговор сотруднику офиса оператора мобильной связи, который за вознаграждение передавал другим лицам сведения о телефонных соединениях абонентов.

Судом установлено, что подсудимый будучи специалистом офиса обслуживания и продаж мобильного оператора связи, в период с сентября по октябрь 2020 г. получал сведения о телефонных соединениях абонентов сотовой связи, копировал их на свое мобильное устройство, а затем за вознаграждение передавал полученную информацию неизвестному лицу (т.н. “мобильный пробив”)..

31-летний подсудимый признан виновным в совершении двух преступлений, предусмотренных ч. 2 ст. 138 УК РФ (нарушение тайны телефонных переговоров, совершенное лицом с использованием своего служебного положения) и 4 преступлений, предусмотренных ч. 3 ст. 272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации, повлекший копирование компьютерной информации, лицом с использованием своего служебного положения), ему назначено наказание в виде 1 года ограничения свободы.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут.

16.04.2021 Бабушкинский районный суд г. Москвы признал виновными в злоупотреблениях должностными полномочиями двух полицейских, которые воспользовались правом доступа к подсистеме автоматической регистрации сценариев индексирования видеоинформации (ПАРСИВ) Единого центра хранения данных (ЕЦХД) ГУ МВД по Москве и получили информацию о перемещениях потерпевших.

Про это дело мы писали тут.

Подсудимым назначены штрафы: Шершневу в размере 20 тыс. руб., Иванову - 10 тыс. руб.

Проанализировали пароли из утечки 2019 г. игровых форумов forums.gamesprite.meforums.gamesprite.me.

Из около 730 тыс. пар логин/пароль почти 35% являются уникальными (т.е. ранее не встречались в анализируемых нами утечках).