Операторы вируса-вымогателя «LockBit» выложили в открытый доступ часть данных, похищенных из американской компании «Skyline», оказывающей услуги по организации выставок и аренде выставочного оборудования.

Всего выложено 182,719 файлов, общим размером 42,9 Гб. В том числе сканы документов и форм, содержащих полные данные банковских карт. 😱

Ранее операторы «LockBit» выложили данные IT-дистрибьютора «Intcomex».

В Омске утверждено и передано в суд обвинительное заключение по уголовному делу в отношении 31-летней сотрудницы отдела продаж одного из мобильных операторов.

Женщина обвиняется в совершении преступления по ч. 3 ст. 272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло копирование компьютерной информации, совершенное лицом с использованием своего служебного положения).

По данным следствия, сотрудница сотовой компании по просьбе своего знакомого передавала фотографии и текстовые сообщения с персональными данными абонентов (ФИО, номера паспортов и т.п.). Всего были переданы данные 10 абонентов оператора связи. Лицо, получавшее от неё информацию, как обычно, следствием не установлено. 🤷‍♂️


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: 👇

https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html

07.09.2020 в открытом доступе появился Elasticsearch-сервер, в индексах которого содержатся логи сервиса проверки автомобилей по VIN и госномеру «Авторапорт» (avtoraport.ruavtoraport.ru).

Среди прочего в логах содержатся запросы к единой автоматизированной информационной системе технического осмотра (ЕАИСТО), пароли доступа, VIN-коды и т.п.

Помимо нашей системы, этот сервер также обнаружил исследователь Bob Diachenko и 21-го сентября он оповестил сервис «Авторапорт» о проблеме. Однако, никакой реакции не последовало и индексы Elasticsearch до сих пор свободно доступны. 🤦‍♂️

В сеть утекли исходные коды Microsoft Windows XP. На форум «4chan» был выложен Torrent-файл с раздачей почти 43 Гб архива.

Чуть позже проанализируем содержимое и напишем про это отдельно.

Как написали утром – в открытом доступе оказались исходные коды операционных систем Windows XP SP1 и Windows Server 2003. 🔥🔥🔥

Файлы в архиве nt5src.7z датируются сентябрем 2002 года (для Windows XP) и февралем 2003 года (для Windows Server 2003).

Для Windows XP всего 277,863 файлов, общим размером 6,4 Гб. Для Windows Server 2003 – 248,740 файлов, общим размером 5,58 Гб

В остальных архивах, доступных в этой Torrent-раздаче содержатся исходные коды других продуктов Microsoft – Windows NT 3.51, Windows NT 4.0, Windows 2000, Windows CE 4/5, MS DOS 3.30/6 и др.

В Удмуртии завершено расследование уголовного дела 23-летнего мужчины, работника сотового оператора, которого обвиняют в незаконном сборе и распространении сведений о частной жизни.

Уголовное дело было возбуждено по ч.2 ст. 137 УК РФ (незаконное собирание и распространение сведений о частной жизни лица, составляющих его личную тайну, без его согласия, с использованием своего служебного положения) и ч. 2 ст.272 УК РФ (неправомерный доступ к компьютерной информации, совершенный из корыстной заинтересованности).

Следствием установило, что сотрудник оператора в Ижевске незаконно собирал и распространял сведения о частной жизни абонентов, в том числе их анкетные и паспортные данные. Эту информацию мужчина передавал третьим лицам без согласия абонентов, чем нарушал их право на неприкосновенность частной жизни.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: 👇

https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html

В Москве возбуждено уголовное дело в отношении оперативника УВД Северо-Восточного округа Москвы Дмитрия Шершнева и сотрудника патрульно-постовой службы Бутырского района Константина Иванова.

По просьбе своего знакомого патрульного, оперативник воспользовался правом доступа к подсистеме автоматической регистрации сценариев индексирования видеоинформации (ПАРСИВ) Единого центра хранения данных (ЕЦХД) ГУ МВД по Москве и получил информацию о перемещениях Анны Кузнецовой и Надежды Соболь с июля по сентябрь этого года. Затем патрульный передал полученную информацию третьему лицу (посреднику). Про этот случай мы писали тут.

Дело возбуждено по ст. 285 УК РФ (злоупотребление должностными полномочиями) и ст. 137 УК РФ и (нарушение неприкосновенности частной жизни).

В конце августа написали, что в Омске закончилось расследование уголовного дела в отношении сотрудницы банка, торговавшей данными клиентов. Сейчас стало известно, что дело 29-летней менеджера по работе с VIP-клиентами передано в суд.

11.06.2019 работнице АО «Альфа-Банк» Кузькаловой Ю.С. поступило предложение предоставлять сведения о счетах и картах клиентов (т.е. заняться т.н. “банковским пробивом”). С помощью своего логина и пароля она зашла во внутреннюю систему банка («Equation») и оформила выписку по счету одного из клиентов, в которой были все персональные данные (ФИО, информация о номерах счетов, виде и валюте счетов, доступных остатков). Выписка была сфотографирована и передана неустановленному лицу (заказчику).

Интересно в этом деле то, что судя по всему, тут идет речь о “контрольной закупке”. По информации из материалов дела видно, что сотрудники Бюро специальных технических мероприятий (БСТМ) МВД России получили фотографии этой выписки через Telegram от не указанного пользователя, через 1 минуту после отправки их заказчику. 👍


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут.

В открытый доступ выложены два SQL-дампа с персональными данными клиентов туристического агентства «Туркомпот» (turkompot.ruturkompot.ru) и с детальной информацией по проданным турам этого агентства.

В первом дампе 5,652 строк, содержащих:

🌵 ФИО (включая имя/фамилия латиницей)
🌵 паспортные данные (включая загранпаспорт)
🌵 пол
🌵 телефоны (мобильный и домашний)
🌵 адрес эл. почты

Во втором дампе 5,526 строк:

🌵 дата (самая “свежая” 30.11.2019), номер, сумма договора
🌵 фамилия и инициалы плательщика
🌵 фамилия и инициалы менеджера агенства
🌵 даты начала и окончания тура
🌵 страна тура
🌵 подробные маршрут (включая проживания, трансферы, перелеты и т.п.)
🌵 данные (ФИО, паспорта и т.п.) туристов

Дампы датируются 05.08.2020.

В начале мая система DLBI обнаружила свободно доступный сервер Elasticsearch, в индексах которого содержались данные заявок на пропуска для передвижения по городу Алматы в период карантина, которые оформляли компании Казахстана через сайт infoalmaty.kzinfoalmaty.kz.

В середине мая мы написали про это без подробностей, т.к. никакой реакции на наше оповещение не последовало и доступ к серверу никто не закрывал. После публичного анонса доступ был закрыт.

Поисковик BinaryEdge впервые зафиксировал этот сервер 01.05.2020.

В открытых индексах находились логи сервиса, в которых, в свою очередь, содержались данные заявок:

🌵 дата заявки (c 22.04.2020)
🌵 название, ИНН, адрес компании
🌵 имя/фамилия сотрудника
🌵 мобильный телефон
🌵 адрес эл. почты (корпоративный и личный)
🌵 номер автомобиля

Трудно сказать точное количество данных, т.к. одна и та же информация встречается в логах много раз. Оценочно можно говорить о более чем 10 тыс. записях. 😎

Вчера в открытом доступе появился список более 50 тыс. логинов (эл. почта) и текстовых паролей пользователей площадки для поиска предложений по аренде и продаже недвижимости от собственников «АнтиАгент.ру» (antiagent.ruantiagent.ru).

Мы проанализировали пароли из этого списка и выяснили, что из 53,6 тыс. пар логин/пароль 73% являются уникальными (т.е. не встречаются в ранее проанализированных нами утечках). 👍

Несколько дней назад в сеть утекли исходные коды Windows XP SP1 и Windows Server 2003. Мы проверили несколько файлов (определенные драйвера, устройство которых нам хорошо известно) из этой утечки, чтобы подтвердить подлинность исходников. 👍

Однако, Твиттер-пользователь @NTDEV_@NTDEV_ пошел дальше и скомпилировал эти ОС из исходников. Видео-инструкции по компиляции были удалены с YouTube-канала «NTDEV» по требованию Microsoft. 🤦‍♂️

Скачать видео-инструкцию по компиляции Windows Server 2003 можно через Torrent:
magnet:?xt=urn:btih:7c370b5e00b91b12fc02e97bacdca24306dc12b5

В открытый доступ выложены документы (PDF, Excel, эл. письма и т.п.) «Airlink International UAE» - компании из ОАЭ, занимающейся организацией деловых поездок и проведением корпоративных мероприятий.

Всего выложено 53,555 файлов, общим размером 14,8 Гб. Среди прочего – заказы и брони отелей, авиаперелётов и т.п.

“История” данной утечки такова: 👇

🌵 Изначально сервер с этими файлами (открытая директория) появился в свободном доступе 14.04.2020 на IP-адресе 213.42.75.13213.42.75.13 (appsrv.airlinkconnect.comappsrv.airlinkconnect.com).

🌵 Затем, 31.05.2020 ссылка на этот сервер появилась на англоязычном форуме.

🌵 До начала июня 2020 г. файлы оставались общедоступными в директориях «cbedocs» и «msgfiles» и вскоре доступ к ним был закрыт.

🌵 Сегодня ссылка на архив с файлами, скачанными с этого сервера, появилась сразу на трех форумах.

Уважаемые читатели, по традиции мы предлагаем вам дайджест наиболее значимых утечек прошедшего месяца! 🔥

Очередной выпуск ежемесячного дайджеста наиболее интересных публикаций в сентябре 2020 г.

Обработали более 1,1 млн. записей из утечки (декабрь 2019 г.) файлообменного сервиса userscloud.comuserscloud.com.

96% пар логин/пароль являются уникальными (т.е. не встречаются в ранее проанализированных нами утечках). 👍

На продажу выставлена база данных (в формате Cronos) 26 млн. (с 4,7 млн. фотографий) украинских водительских удостоверений.

Судя по всему, это та самая база, которая была в Telegram-боте «UA Baza», создателей которого арестовали на Украине в июне.

02.10.2020 около 19:50 (МСК) на одном из форумов появилось предложение о продаже доступа к данным из комплексной системы автоматизации медицинского учреждения (КСАМУ), находящимся на сервере Территориального фонда обязательного медицинского страхования Ставропольского края (ТФОМС СК).

В течении часа объявление было удалено, вероятно из-за нарушения политики форума “не работать по ру”. 👍

Скорее всего речь идет о RDP-доступе к серверу ТФОМС СК.

Ранее тот же самый пользователь выкладывал базу пользователей украинского образовательного ресурса interactive.ranok.com.uainteractive.ranok.com.ua и других.

Операторы вируса-вымогателя «Sodinokibi» (он же «REvil») опубликовали более 600 Гб данных, украденных у американской страховой компании «National Western Life Group Inc».

Для распространения похищенных файлов был даже создан отдельный веб-сайт, посвященный исключительно «National Western Life», отказавшейся платить выкуп.

В Костроме завершено расследование уголовного дела в отношении 27-летнего сотрудника сотовой компании, обвиняемого в совершении преступлений, предусмотренных ч. 2 ст. 138  УК РФ (нарушение тайны телефонных переговоров граждан, совершенное лицом с использованием своего служебного положения), ч. 3 ст. 272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло копирование компьютерной информации, совершенное из корыстной заинтересованности, лицом с использованием своего служебного положения).

По версии следствия, в 2020 году мужчина, имея в силу своего служебного положения доступ к сведениям о телефонных переговорах, неоднократно копировал из базы данных детализацию телефонных соединений и другие персональные данные абонентов.

Затем полученную информацию он пересылал третьим лицам, получая от них за свои услуги денежное вознаграждение от 150 до 500 рублей (т.е. занимался т.н. “мобильным пробивом”).

Уголовное дело с утвержденным обвинительным заключением направлено в суд для рассмотрения по существу.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут.

Продавец, выставивший на продажу базу данных украинских водительских удостоверений, был заблокирован администрацией форума за мошенничество. 🤣

Кроме того, была раскрыта его эл. почта, указанная при регистрации и IP-адреса (по факту - публичные прокси/VPN), с которых он заходил на форум.