База данных «Utair», которую выставили на продажу, находилась в свободном доступе с 21.01.19 по 20.03.19

Интересная статья на Хабре про то, как узнать паспортные данные физического лица по ФИО (если есть залоговое имущество) и ФИО с паспортными данными по VIN-номеру автомобиля (если он взят в кредит).

И все это можно сделать на официальном сайте Федеральной нотариальной палаты! 🤦‍♂️

https://habr.com/ru/post/465209/

В процессе аудита систем хранения данных наших немецких клиентов DeviceLock Data Breach Intelligence «случайно» обнаружила сразу три открытых сервера с Elasticsearch, в которых находились персональные данные клиентов трех немецких интернет-магазинов: gusti-leder.de, henri.degusti-leder.de, henri.de и trader-online.detrader-online.de.

Эти три магазина объединяет то, что все они работают на платформе Shopware (shopware.com/en/shopware.com/en/). 😂

У магазина gusti-leder.degusti-leder.de в открытом доступе находилось более 160 тыс. записей, содержащих:

🌵 имя/фамилию
🌵 дату рождения (не у всех)
🌵 адрес электронной почты
🌵 адрес доставки (вся Европа, не только Германия)
🌵 телефон (не у всех)
🌵 состав и стоимость заказа
🌵 дата первого и последнего входа в аккаунт

У двух остальных магазинов все примерно точно также, только количество записей чуть меньше. 👍

На наше оповещение достаточно быстро отреагировал магазин gusti-leder.degusti-leder.de - устранил утечку и поблагодарил нас за информацию. Два других магазина никак себя не проявили, более того – один из них не устранил проблему до сих пор. 🤦🏻‍♂️

21-го июля система DeviceLock Data Breach Intelligence обнаружила свободно доступную базу данных MongoDB, принадлежащую сервису для продвижения в Instagram – «Instasoft» (instasoft.ruinstasoft.ru).

В небольшой базе размером около 5 Мб находилось чуть более 7 тыс. записей, содержащих:

🌵 логины аккаунтов Instagram - 237 записей
🌵 текстовые пароли к аккаунтам Instagram - 237 записей 🤦‍♂️🤦🏻‍♂️
🌵 IP-адреса и логины/пароли для прокси-серверов (видимо через них идет подключение к аккаунтам Instagram) -  237 записей
🌵 разнообразную статистику по аккаунтам Instagram
🌵 информацию по устройствам с которых выполнялись подключения к Instagram - всего 409 сессий подключения

Долгое время после оповещения данная база оставалась открытой. Впервые в свободный доступ она попала - 15.06.2019. 😎

Ребята из @hidemyname_ru создают полезнейший контент для своих подписчиков: пишут инструкции по безопасности в интернете, предупреждают об угрозах приватности и освещают события цензуры в рунете.

Уважаемые читатели, по традиции в конце месяца напоминаем вам про подписку на дайджест наиболее значимых утечек месяца! 🔥

Если нет времени читать все публикации на канале или захотите по итогам месяца освежить память - рекомендуем подписаться. Никакого спама. 😎

Подписаться на дайджест можно по этой ссылке: 👇
https://www.devicelock.com/ru/subscribe.html

Не хотели писать про эту утечку до тех пор, пока сами не посмотрим на утекшие данные, но видимо придется. 😎

Компания Imperva допустила утечку данных пользователей своего CDN-сервиса «Imperva Cloud Web Application Firewall» («Incapsula») для защиты от DDoS-атак.

Среди утекших данных: адреса электронной почты, хэшированные (с солью) пароли, API-токены и SSL-сертификаты.

Пострадали только пользователи, зарегистрировавшиеся до 15 сентября 2017 года. Такая точность в определении группы пострадавших пользователей может говорить о том, что злоумышленники заполучили какой-то старый бэкап или взломали старую базу данных.

Компания оповестила пользователей об инциденте и заставила их принудительно сменить пароли.

В самом начале лета DeviceLock Data Breach Intelligence обнаружил открытый сервер с Elasticsearch, содержащий несколько индексов с персональными данными водителей (около 9 тыс. записей):

🌵 ФИО
🌵 полные паспортные данные (серия, номер, кем и когда выдан)
🌵 номер водительского удостоверения
🌵 телефон

         "lastname": "ХХХ",
         "firstname": "ХХХ",
         "patronymic": "Владимирович",
         "passportNumber": "8708ХХХХХХ",
         "fullinfo": "ХХХХ ХХХ  Владимирович/8708ХХХХХХ/Отделением УФМС России по ХХХ/ХХ.ХХ.2009/1119ХХХХХХ/Тел: +7-(912)-ХХХХХХХ"

(реальные данные скрыты нами)

Кроме того, в индексах находились автомобильные номера, номера договоров на перевозку, названия юридических лиц, города откуда и куда доставляются грузы и т.п.

        "destinationAddress": "Шахты",
         "sourceAddress": "Санкт-Петербург",
         "planData": "2019-07-03T03:00:00",
         "geo": "ЮГ",
         "driver": "ХХХ ХХХ Александрович",
         "driverPhone": "7918ХХХХХХХ",
         "carrier": "ВСК",
         "carrierContact": "8(879-34) ХХХХХ",
         "stateNumber": "ВХХХКАХХ",
         "all": "Шахты Санкт-Петербург ЮГ ХХХ ХХХ Александрович ВСК 7918ХХХХХХХ 8(879-34) ХХХХХ ВХХХКАХХ"

Установить владельца мы тогда не смогли и написали хостеру (Яндекс), на чьей площадке располагался данный сервер. Через день доступ к серверу был закрыт. 👍

Сервер впервые попал в свободный доступ 31.05.2019. Однако история на этом не закончилась. 👇

Позже мы обнаружили другой Elasticsearch-сервер (свободно доступный сразу по двум IP-адресам), содержащий точно такие же индексы с точно такими же данными, чуть большего размера (около 10 тыс. записей с персональными данными водителей). 🙈

На этот раз нам удалось установить предполагаемого владельца сервера - «ЛОРУС Эс Си Эм» (lorus-scm.comlorus-scm.com). На сайте этой компании написано: “один из ведущих 4PL провайдеров логистических услуг для крупных промышленных предприятий и ритейла, эксперт в области производственной логистики.”

К сожалению, на наше оповещение компания никак не отреагировала и сервер с персональными данным до сих пор находится в свободном доступе (с 10.06.2019).  🤦‍♂️🤦🏻‍♂️


В мае мы обнаружили утечку из крупнейшей российской транспортно-логистической компании FESCO: https://t.me/dataleak/1081

В свободном доступе появились персональные данные 46-ти сотрудников ООО «Сёрчинформ» (searchinform.rusearchinform.ru) – производителя средств защиты от утечек информации. 🔥

Среди опубликованных данных:

🌵 ФИО
🌵 дата рождения
🌵 ИНН
🌵 серия и номер паспорта

Данные изначально были выложены в текстовом виде на pastebin.compastebin.com, а сейчас уже появился и распространяется конверт в Cronos.

По нашей информации данные реальные и относятся к 2017-2018 году. Скорее всего это часть бухгалтерской отчетности для ФНС. 🙈


Совсем недавно мы обнаружили персональные данные 703 тыс. сотрудников РЖД: https://t.me/dataleak/1231

22-го июля DeviceLock Data Breach Intelligence обнаружил открытый сервер с Elasticsearch, доступный по  двум IP-адресам, с индексом «crm», в котором содержались персональные данные 458 человек:

🌵 ФИО
🌵 дата рождения
🌵 место рождения
🌵 полные паспортные данные (серия, номер, кем и когда выдан, код подразделения)
🌵 ИНН
🌵 телефон
🌵 адрес электронной почты
🌵 гражданство
🌵 второе гражданство

"displayName": "XXX XXX Михайлович",
"lastName": "XXX",
"firstName": "XXX",
"secondName": "Михайлович",
"birthDate": "1978-XX-XX,
"birthPlace": "москва",
"identityDocuments": [
           {
             "issuedDate": "2003-XX-XX",
             "issuingAuthority": "Калининским РОВД Тверской области",
             "number": "XXX",
             "series": "2804",
             "issuingAuthorityCode": "XXX-XXX"
           }
         ],
         "contacts": [
           {
             "phone": "+7(905)XXX",
             "email": "XXX@voz.ru"
           }
         ],
"citizenship": "rf",
"INN": "78XXX",
"otherCitizenship": null

(реальные данные скрыты нами)

XXX@voz.ru"
           }
         ],
"citizenship": "rf",
"INN": "78XXX",
"otherCitizenship": null

(реальные данные скрыты нами)

Было установлено, что сервер принадлежит сколковскому проекту «Farzoom» (farzoom.comfarzoom.com), занимающемуся автоматизацией банковских бизнес-процессов.

В тот же день мы оповестили владельца, но сервер был убран из свободного доступа только спустя 6 дней. Стоит отметить, что впервые этот сервер «засветился» 29.12.2018. 🤦‍♂️🤦🏻‍♂️

На специализированных форумах появилась база данных предположительно клиентов банка «Открытие».

В распространяемом файле 1205 записей, содержащих:

🌵 ФИО
🌵 остаток на счете
🌵 дату
🌵 название отделения банка «Открытие» (например, «ДО "Кутузовский проспект" МРД»)
🌵 дату рождения
🌵 контактные данные (телефоны и иногда адрес электронной почты)

Судя по всему, это «тестовый» кусок базы, которая в данный момент активно продается на черном рынке под названием «Вкладчики Открытия» по цене 25 рублей за одну запись.


Недавно мы выпустили новый отчет "Цены черного рынка на базы данных российских банков (лето 2019)": 👇

https://www.devicelock.com/ru/blog/tseny-chernogo-rynka-na-rossijskie-personalnye-dannye-bazy-dannyh.html

1-го сентября обнаружили открытый Elasticsearch-сервер компании «Ростелеком», содержащий данные портала ndd.rostelecom.rundd.rostelecom.ru (документы, заявки на доступ к инфраструктуре и т.п.):

Веб-портал предназначен для публикации в сети Интернет сведений об объектах инфраструктуры ПАО «Ростелеком» и реестра заявлений на предоставление доступа к инфраструктуре, направляемых различными компаниями в ПАО «Ростелеком»


Несмотря на то, что данные портала являются открытыми, в индексе «users» были найдены учетные записи пользователей, в том числе хэшированные пароли (bcrypt с солью): 👇

"firstname": "Наталья",
"lastname": "XXX",
"email": "XXX@kirov.volga.rt.ru",
"password_digest": "$2a$10$XXX",
"role": "operator",
"state": "actual",
"blocked": false,
"region_id": 54,
"fullname": "Наталья XXX",
"region": {
 "id": 54,
 "name": "Кировская область",
 "iso_code": "KIR",
 "code": "43",
 "shortname": "Кировская",
}
(реальные данные скрыты нами)


XXX@kirov.volga.rt.ru",
"password_digest": "$2a$10$XXX",
"role": "operator",
"state": "actual",
"blocked": false,
"region_id": 54,
"fullname": "Наталья XXX",
"region": {
 "id": 54,
 "name": "Кировская область",
 "iso_code": "KIR",
 "code": "43",
 "shortname": "Кировская",
}
(реальные данные скрыты нами)


Этот сервер попал в открытый доступ утром 31.08.2019. Мы оповестили службу безопасности «Ростелеком» и через 2 дня сервер был убран из свободного доступа. 👍

Исследователь Sanyam Jain обнаружил в свободном доступе открытую базу данных MongoDB, в которой находилось 419 млн. записей, содержащих идентификаторы социальной сети Facebook и связанные с ними номера телефонов.

В нескольких коллекциях были данные 133 млн. пользователей из США, более 50 млн. пользователей Фейсбука из Вьетнама и около 18 млн. из Великобритании. 🔥

Эта MongoDB появилась в открытом доступе 25 августа 2019 года.

Новая, полезная настройка приватности в Telegram, которая позволит избежать "пробива" вашего аккаунта методом перебора телефонных номеров. 👍

Исследователи из vpnMentor обнаружили открытый Elasticsearch-сервер с электронной почтой южнокорейской компании DK-Lok (dklok.com)dklok.com), производящей трубы, клапаны, фитинги и т.п.

Общий размер индексов, в которых находится свободно доступная переписка компании, превышает 22 Гб.

В переписке находится в том числе информация о российских клиентах и их заказах. С Россией (в т.ч. с Газпромом) так или иначе связано более 5 тыс. электронных писем, начиная с 2017 года и по сегодняшний день, а всего в базе более 2,2 млн. электронных писем. 🔥

Мы обнаружили в этой переписке 13 писем от команды vpnMentor с оповещениями и предупреждениями об обнаруженной проблеме: 🤣

"mail_body": "Hello,  I'm Lisa, from the vpnMentor Research Team - Nice to e-meet you.  I wanted to let you know about a critical security breach we found at DKLOK.  Would you mind putting me in touch with the CISO or someone on the security team, for a responsible disclosure of the breach? Thanks for your help,  Lisa  ",
"subject": "URGENT: Responsible disclosure of a critical security issue",
"mail_to": "dkmarketing@dklok.com",
"mail_date": "2019-08-21 19:49:58",
"mail_from": "Research vpnMentor <research@vpnmentor.com>",

dkmarketing@dklok.com",
"mail_date": "2019-08-21 19:49:58",
"mail_from": "Research vpnMentor <research@vpnmentor.com>",

Однако, сервер до сих пор находится в свободном доступе. 🤦‍♂️

Впервые этот сервер «засветился» 18.06.2017, но потом пропал из открытого доступа вплоть до 09.04.2019. 🤦🏻‍♂️

В открытой почтовой базе южнокорейской DK-Lok, встречаются заказы для (и от) Газпрома. 🙈

Немного продолжим тему с открытой базой южнокорейской компании «DK-Lok» (https://t.me/dataleak/1249), в которой обнаружились данные по заказам Газпрома.

Мы выяснили, что индексы Elasticsearch, в которых содержатся сообщения электронной почты, принадлежат системе документооборота и коллективной работы «BizBox Alpha» (http://www.douzone.com/product/groupware/gw01_biz_05)http://www.douzone.com/product/groupware/gw01_biz_05), производства южнокорейской компании «Douzone».

В настоящий момент в свободном доступе находится еще как минимум 8 серверов с индексами системы «BizBox Alpha», подобных «DK-Lok» и все они расположены в Южной Корее.

Компанию «Douzone» уведомили о проблемах в дефолтных настройках ее ПО еще в конце декабря 2018 года. 🤦‍♂️🤦🏻‍♂️

31.07 DeviceLock Data Breach Intelligence выявила свободно доступный Elasticsearch-сервер с индексами, в которых находились данные агентства недвижимости «NSK-НЕДВИЖИМОСТЬ» (nsk-agent.runsk-agent.ru).

К сожалению, на наше оповещение никто не отреагировал и сервер до сих пор находится в открытом доступе. 🤦‍♂️

В индексах содержатся данные (ФИО, телефон) владельцев квартир и агентов недвижимости, подробная информация по квартирам и т.п.

Все это очень похоже на выгрузку из какой-то CRM-системы.

Неизвестные взломали сайт отзывов о банках и финансовых учреждениях kreditovik.rukreditovik.ru и выложили в открытый доступ его базу (5011 строк):

🌵 название банка
🌵 тип кредитного продукта
🌵 город
🌵 ФИО
🌵 адрес электронной почты
🌵 срок кредита
🌵 год кредита
🌵 сумма кредита
🌵 условия кредита
🌵 сумма погашения
🌵 отзыв
🌵 IP-адрес
🌵 дата отзыва

В данный момент сайт kreditovik.ru выдает «FUCK 0FF». 🤣

Немного о потребителях услуг «пробива». 😎

В Тюмени направлено в Центральный районный суд дело частного детектива, который незаконно собирал данные о частной жизни граждан.

В ноябре 2018 года владелец одного из салонов красоты обратился к частному детективу с заказом расследовать кражу сотрудниками салона базы данных клиентов.

Частный детектив незаконным способом получил информацию о личной жизни одной из бывших сотрудниц салона, а также членов ее семьи. Детектив передал заказчику сведения о месте регистрации, номерах мобильных телефонов, о действующих и ранее выданных паспортах (тут явно идет речь о пробиве по АС «Роспаспорт»), о движении денежных средств по банковским счетам. За свою работу он получил более 120 тысяч рублей.

42-летнего частного детектива обвиняют по статьям «Нарушение неприкосновенности частной жизни» и «Превышение полномочий частным детективом».


Недавно мы публиковали обзор цен российского черного рынка на пробив персональных данных.

А также обзор случаев задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными в России.