Представляем @SecLabNews - канал русскоязычного новостного портала SecurityLab.ru, оперативно публикующего информацию о последних новостях IT-безопасности в России и мире.
1-го апреля мы обнаружили в свободном доступе сервер Elasticsearch с логами медицинской IT-системы сети лабораторий «Центр молекулярной диагностики» (CMD).
Из логов можно было получить весьма чувствительную информацию, включая ФИО, пол, даты рождения пациентов, ФИО врачей, стоимость исследований, данные исследований, файлы с результатами скрининга и многое другое.
Читайте детальное описание "находки" на Хабре: 👇
https://habr.com/ru/post/451678/
Из логов можно было получить весьма чувствительную информацию, включая ФИО, пол, даты рождения пациентов, ФИО врачей, стоимость исследований, данные исследований, файлы с результатами скрининга и многое другое.
Читайте детальное описание "находки" на Хабре: 👇
https://habr.com/ru/post/451678/
Хабр
Все ваши анализы в открытом доступе
И снова здравствуйте! У меня опять нашлась для вас открытая база с медицинскими данными. Напомню, что совсем недавно тут было три моих статьи на эту тему: утечка...
20-го апреля наша автоматизированная система DeviceLock Data Breach Intelligence выявила сервер с базой данных MongoDB не требующей пароля для подключения.
В базе данных содержался журнал доступа пользователей к информационной системе (ИС) редакции информационного агентства REGNUM (regnum.ru). Из логов можно было понять кто и когда создавал новостные записи и редактировал их.
Помимо логов, в базе содержалось 138 контактов сотрудников редакции в мессенджере Telergram.
Спустя почти 2 дня после нашего оповещения базу данных «тихо» прикрыли. 😎
В базе данных содержался журнал доступа пользователей к информационной системе (ИС) редакции информационного агентства REGNUM (regnum.ru). Из логов можно было понять кто и когда создавал новостные записи и редактировал их.
Помимо логов, в базе содержалось 138 контактов сотрудников редакции в мессенджере Telergram.
Спустя почти 2 дня после нашего оповещения базу данных «тихо» прикрыли. 😎
Forwarded from DeviceLock RU
Компания DeviceLock – российский производитель систем борьбы с утечками данных, анонсировала новый сервис - «разведку уязвимостей хранения данных», а также мониторинг мошеннических ресурсов и активностей в DarkNet. 🔥🔥🔥
Сервис работает на основе технологий искусственного интеллекта и осуществляет проверку внешней серверной инфраструктуры, а также выявление недостатков в реализации систем хранения информации. В рамках регулярных обследований проводится поиск серверов с текущими или архивными данными, журналами информационных систем, а также анализ обнаруженных данных с помощью механизмов машинного обучения на наличие в них чувствительной информации, включая персональные данные, информацию с признаками коммерческой тайны и другие. Кроме того, ИИ осуществляет постоянный мониторинг предложений о продаже данных в группах Telegram, на различных закрытых площадках и форумах, а также ресурсах в DarkNet. 👍
https://www.devicelock.com/ru/press/devicelock-sozdal-ii-dlya-razvedki-uyazvimostej-hraneniya-dannyh.html
Сервис работает на основе технологий искусственного интеллекта и осуществляет проверку внешней серверной инфраструктуры, а также выявление недостатков в реализации систем хранения информации. В рамках регулярных обследований проводится поиск серверов с текущими или архивными данными, журналами информационных систем, а также анализ обнаруженных данных с помощью механизмов машинного обучения на наличие в них чувствительной информации, включая персональные данные, информацию с признаками коммерческой тайны и другие. Кроме того, ИИ осуществляет постоянный мониторинг предложений о продаже данных в группах Telegram, на различных закрытых площадках и форумах, а также ресурсах в DarkNet. 👍
https://www.devicelock.com/ru/press/devicelock-sozdal-ii-dlya-razvedki-uyazvimostej-hraneniya-dannyh.html
Иван Бегтин, председатель Ассоциации участников рынков данных, и Ашот Оганесян, технический директор DeviceLock DLP, показали массовую информационную дырявость, как сайтов государственных структур, так и частного бизнеса.
Самым существенным недостатком выявленных уязвимостей является то, что никто не реагирует на выявляемые проблемы до тех пор, пока они не становятся публичными. Более того, Роскомнадзор, как регулятор, в ряде случаев (см. ниже) просто констатирует, что формального нарушения закона нет и то или иное раскрытие ПД правомерно.
https://roem.ru/15-05-2019/277716/techyot-reka-dolgo/
Самым существенным недостатком выявленных уязвимостей является то, что никто не реагирует на выявляемые проблемы до тех пор, пока они не становятся публичными. Более того, Роскомнадзор, как регулятор, в ряде случаев (см. ниже) просто констатирует, что формального нарушения закона нет и то или иное раскрытие ПД правомерно.
https://roem.ru/15-05-2019/277716/techyot-reka-dolgo/
roem.ru
MongoDB, Elastic, кривые руки программистов госструктур и законы открывают данные россиян злоумышленникам
Сотни тысяч записей с ПД клиентов коммерческих компаний и граждан, общающихся с государством, утекают через информационные системы частников и госорганов. // Роем в вашем Телеграме: https://telegram.me/roemru
Технические подробности этой утечки опубликуем позже, а пока заметка из Коммерсанта: 👇
Компания DeviceLock сообщила об обнаружении в открытом доступе базы данных сервиса по подбору туров «Слетать.ру».
Сейчас база закрыта, но ранее в ней были логины и пароли нескольких сотен подключенных к системе туристических агентств, паспортные данные клиентов и информация о билетах, а также не менее 11,7 тыс. клиентских e-mail.
По словам основателя и технического директора DeviceLock Ашота Оганесяна, 15 мая компания проинформировала об этом сервис, доступ к базе был закрыт в тот же день в промежутке между 11:00 и 15:00.
По словам господина Оганесяна, в базе были логины и пароли нескольких сотен подключенных к системе агентств, с которыми можно войти в личный кабинет агентства и получить доступ ко всем данным поездок, включая паспортные данные клиентов и данные билетов.
Кроме того, в ней содержатся данные транзакций по покупке туров, где также есть данные клиентов, информация о самих турах и их оплате, а также присутствуют минимум 11,7 тыс. адресов клиентских e-mail. Вся информация датируется мартом 2018-го — маем 2019 года.
https://www.kommersant.ru/doc/3968736
Компания DeviceLock сообщила об обнаружении в открытом доступе базы данных сервиса по подбору туров «Слетать.ру».
Сейчас база закрыта, но ранее в ней были логины и пароли нескольких сотен подключенных к системе туристических агентств, паспортные данные клиентов и информация о билетах, а также не менее 11,7 тыс. клиентских e-mail.
По словам основателя и технического директора DeviceLock Ашота Оганесяна, 15 мая компания проинформировала об этом сервис, доступ к базе был закрыт в тот же день в промежутке между 11:00 и 15:00.
По словам господина Оганесяна, в базе были логины и пароли нескольких сотен подключенных к системе агентств, с которыми можно войти в личный кабинет агентства и получить доступ ко всем данным поездок, включая паспортные данные клиентов и данные билетов.
Кроме того, в ней содержатся данные транзакций по покупке туров, где также есть данные клиентов, информация о самих турах и их оплате, а также присутствуют минимум 11,7 тыс. адресов клиентских e-mail. Вся информация датируется мартом 2018-го — маем 2019 года.
https://www.kommersant.ru/doc/3968736
Поскольку представители сервиса «Слетать.ру» начали выдавать в СМИ неадекватные комментарии, вынуждены привести первые пруфы в ввиде скриншотов аккаунта (видно, что и паспорт и загранпаспорт там есть) турагенства и куска лога из индекса graylog_56 (видно откуда логины и пароли взялись).
Комментарий «Слетать.ру»:
Руководитель компании Андрей Вершинин пояснил, что «Слетать.ру» предоставляет ряду крупнейших туроператоров-партнеров доступ к истории запросов в поисковой системе. И предположил, что DeviceLock получила его: «Однако в указанной базе нет паспортных данных туристов, логинов и паролей турагентств, платежных данных и т. д.». Андрей Вершинин отметил, что никаких доказательств столь серьезных обвинений «Слетать.ру» до сих пор не получила. «Сейчас пытаемся связаться с компанией DeviceLock. Полагаем, что это заказуха. Кому-то не нравится наш стремительный рост», – добавил он. "
Комментарий «Слетать.ру»:
Руководитель компании Андрей Вершинин пояснил, что «Слетать.ру» предоставляет ряду крупнейших туроператоров-партнеров доступ к истории запросов в поисковой системе. И предположил, что DeviceLock получила его: «Однако в указанной базе нет паспортных данных туристов, логинов и паролей турагентств, платежных данных и т. д.». Андрей Вершинин отметил, что никаких доказательств столь серьезных обвинений «Слетать.ру» до сих пор не получила. «Сейчас пытаемся связаться с компанией DeviceLock. Полагаем, что это заказуха. Кому-то не нравится наш стремительный рост», – добавил он. "
Обнаружили свободно доступный сервер Elasticsearch с данными саудовского пиратского стримингового сервиса «beoutQ SPORTS». 😂
В индексах Elasticsearch содержатся данные по активациям и подключения, в основном пользователей из Саудовской Аравии. Сам сервер с базой и связанный с ним другой сервер onthemoon.sx находятся в Москве. 😱
{
"_index": "beoutq_watch_list",
"_type": "main",
"_id": "70",
"_score": 1,
"_source": {
"id": 70,
"ip_address": null,
"mac_address": null,
"voucher_code": "efs5mhw6",
"last_request_history": {
"id": 225303,
"ip_address": "94.96.22.241",
"ip_info": {
"ip_from": "281472265098752",
"ip_to": "281472265099007",
"country_code": "SA",
"country_name": "Saudi Arabia",
"region_name": "Ash Sharqiyah",
"city_name": "Dhahran",
"latitude": "26.30324",
"longitude": "50.13528"
},
"request_card_id": 3357401,
"request_voucher_code": "efs5mhw6",
"request_mac_address": "02.A3.B5.11.CC.62",
"request_receiver_id": 1411005,
"response_status": true,
"method": "post",
"response": {
"status": "Successful",
"voucherId": "3357401",
"start": "2019-02-25",
"stop": "2020-02-25",
"message": "Your voucher has been activated"
},
"request": {
"action": "register",
"mac_address": "02.A3.B5.11.CC.62",
"voucher_code": "efs5mhw6"
},
"server": {
"TZ": "Europe/Moscow",
"REDIRECT_UNIQUE_ID": "XHP-Xt9pcWH8Eoed06pimgAAAAM",
"REDIRECT_SCRIPT_URL": "/t/service.php",
"REDIRECT_SCRIPT_URI": "https://onthemoon.sx/t/service.php",
"REDIRECT_HTTPS": "on",
"REDIRECT_HANDLER": "application/x-httpd-ea-php72",
"REDIRECT_STATUS": "200",
"UNIQUE_ID": "XHP-Xt9pcWH8Eoed06pimgAAAAM",
"SCRIPT_URL": "/t/service.php",
"SCRIPT_URI": "https://onthemoon.sx/t/service.php",
"HTTPS": "on",
"HTTP_HOST": "onthemoon.sx",
"HTTP_X_FORWARDED_HOST": "onthemoon.sx",
"HTTP_X_FORWARDED_PORT": "443",
"HTTP_X_FORWARDED_PROTO": "https",
"HTTP_X_FORWARDED_SERVER": "onthemoon.sx",
"HTTP_X_REAL_IP": "94.96.22.241",
"HTTP_WAF_COUNTRY_CODE": "SA",
"CONTENT_LENGTH": "54",
"HTTP_USER_AGENT": "DEVICE_IS_STB/MAC=02-A3-B5-11-CC-62_SERIAL=01011804397102_FINGERPRINT=FED4C6+20181214155240+v7.2.1345_APK=444:2.444_STB=v7.2.1345_IPLOC=192.168.1.108IPPUB=WIFI=[WIFI_#1_SSID:KHALID_BSSID:84:a9:c4:13:ec:58][WIFI_#2_SSID:mobilywifi_BSSID:84:a9:c4:13:ec:59][WIFI_#3_SSID:new_BSSID:e4:6f:13:65:43:82][WIFI_#4_SSID:TOTOLINK N302R Plus_BSSID:78:44:76:9e:bf:90][WIFI_#5_SSID:VIRES 2_BSSID:70:4f:57:8d:f6:5a][WIFI_#6_SSID:HomeBroadband_BSSID:d4:a1:48:0a:8d:f8][WIFI_#7_SSID:skp_BSSID:ec:cb:30:86:36:9d][WIFI_#8_SSID:hassan_BSSID:04:b1:67:05:1b:3b][WIFI_#9_SSID:Sealink Logistics_BSSID:88:bf:e4:04:50:ed][WIFI_#10_SSID:SAUD_BSSID:f8:35:dd:90:b4:0b][WIFI_#11_SSID:Mabrook_BSSID:e0:19:1d:d1:2a:d2][WIFI_#12_SSID:HP-Print-7E-LaserJet 1102_BSSID:9c:2a:70:2b:2b:7e][WIFI_#13_SSID:virus247_BSSID:30:b5:c2:0b:74:74][WIFI_#14_SSID:HP-Print-d9-LaserJet 200_BSSID:9c:d2:1e:05:0b:d9]COUNTER=0",
"CONTENT_TYPE": "application/x-www-form-urlencoded",
"HTTP_X_HTTPS": "1",
"PATH": "/usr/local/jdk/bin:/usr/kerberos/sbin:/usr/kerberos/bin:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/usr/X11R6/bin:/usr/local/bin:/usr/X11R6/bin:/root/bin:/opt/bin",
"SERVER_SIGNATURE": "",
"SERVER_SOFTWARE": "Apache",
"SERVER_NAME": "onthemoon.sx",
В индексах Elasticsearch содержатся данные по активациям и подключения, в основном пользователей из Саудовской Аравии. Сам сервер с базой и связанный с ним другой сервер onthemoon.sx находятся в Москве. 😱
{
"_index": "beoutq_watch_list",
"_type": "main",
"_id": "70",
"_score": 1,
"_source": {
"id": 70,
"ip_address": null,
"mac_address": null,
"voucher_code": "efs5mhw6",
"last_request_history": {
"id": 225303,
"ip_address": "94.96.22.241",
"ip_info": {
"ip_from": "281472265098752",
"ip_to": "281472265099007",
"country_code": "SA",
"country_name": "Saudi Arabia",
"region_name": "Ash Sharqiyah",
"city_name": "Dhahran",
"latitude": "26.30324",
"longitude": "50.13528"
},
"request_card_id": 3357401,
"request_voucher_code": "efs5mhw6",
"request_mac_address": "02.A3.B5.11.CC.62",
"request_receiver_id": 1411005,
"response_status": true,
"method": "post",
"response": {
"status": "Successful",
"voucherId": "3357401",
"start": "2019-02-25",
"stop": "2020-02-25",
"message": "Your voucher has been activated"
},
"request": {
"action": "register",
"mac_address": "02.A3.B5.11.CC.62",
"voucher_code": "efs5mhw6"
},
"server": {
"TZ": "Europe/Moscow",
"REDIRECT_UNIQUE_ID": "XHP-Xt9pcWH8Eoed06pimgAAAAM",
"REDIRECT_SCRIPT_URL": "/t/service.php",
"REDIRECT_SCRIPT_URI": "https://onthemoon.sx/t/service.php",
"REDIRECT_HTTPS": "on",
"REDIRECT_HANDLER": "application/x-httpd-ea-php72",
"REDIRECT_STATUS": "200",
"UNIQUE_ID": "XHP-Xt9pcWH8Eoed06pimgAAAAM",
"SCRIPT_URL": "/t/service.php",
"SCRIPT_URI": "https://onthemoon.sx/t/service.php",
"HTTPS": "on",
"HTTP_HOST": "onthemoon.sx",
"HTTP_X_FORWARDED_HOST": "onthemoon.sx",
"HTTP_X_FORWARDED_PORT": "443",
"HTTP_X_FORWARDED_PROTO": "https",
"HTTP_X_FORWARDED_SERVER": "onthemoon.sx",
"HTTP_X_REAL_IP": "94.96.22.241",
"HTTP_WAF_COUNTRY_CODE": "SA",
"CONTENT_LENGTH": "54",
"HTTP_USER_AGENT": "DEVICE_IS_STB/MAC=02-A3-B5-11-CC-62_SERIAL=01011804397102_FINGERPRINT=FED4C6+20181214155240+v7.2.1345_APK=444:2.444_STB=v7.2.1345_IPLOC=192.168.1.108IPPUB=WIFI=[WIFI_#1_SSID:KHALID_BSSID:84:a9:c4:13:ec:58][WIFI_#2_SSID:mobilywifi_BSSID:84:a9:c4:13:ec:59][WIFI_#3_SSID:new_BSSID:e4:6f:13:65:43:82][WIFI_#4_SSID:TOTOLINK N302R Plus_BSSID:78:44:76:9e:bf:90][WIFI_#5_SSID:VIRES 2_BSSID:70:4f:57:8d:f6:5a][WIFI_#6_SSID:HomeBroadband_BSSID:d4:a1:48:0a:8d:f8][WIFI_#7_SSID:skp_BSSID:ec:cb:30:86:36:9d][WIFI_#8_SSID:hassan_BSSID:04:b1:67:05:1b:3b][WIFI_#9_SSID:Sealink Logistics_BSSID:88:bf:e4:04:50:ed][WIFI_#10_SSID:SAUD_BSSID:f8:35:dd:90:b4:0b][WIFI_#11_SSID:Mabrook_BSSID:e0:19:1d:d1:2a:d2][WIFI_#12_SSID:HP-Print-7E-LaserJet 1102_BSSID:9c:2a:70:2b:2b:7e][WIFI_#13_SSID:virus247_BSSID:30:b5:c2:0b:74:74][WIFI_#14_SSID:HP-Print-d9-LaserJet 200_BSSID:9c:d2:1e:05:0b:d9]COUNTER=0",
"CONTENT_TYPE": "application/x-www-form-urlencoded",
"HTTP_X_HTTPS": "1",
"PATH": "/usr/local/jdk/bin:/usr/kerberos/sbin:/usr/kerberos/bin:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/usr/X11R6/bin:/usr/local/bin:/usr/X11R6/bin:/root/bin:/opt/bin",
"SERVER_SIGNATURE": "",
"SERVER_SOFTWARE": "Apache",
"SERVER_NAME": "onthemoon.sx",
13-го мая наша автоматизированная система DeviceLock Data Breach Intelligence (подробнее тут) обнаружила открытый сервер Elasticsearch с двумя индексами, содержащими логи Filebeat:
1️⃣ filebeat-6.6.2-2019.05.12
2️⃣ filebeat-6.6.2-2019.05.13
В процессе анализа логов выяснилось, что сервер принадлежит сервису promopult.ru (seopult.ru) и в них содержатся адреса электронной почты:
http://127.0.0.1:80/welcome.html?goal=%2Fitem_point_seo.html%3Fitem_id%3D10118645%23mr&email=XXX%40mail.ru&utm_campaign=email-userpoints&utm_term=%C2%AB%D0%9E%D1%82%D1%87%D0%B5%D1%82%D1%8B%C2%BB\", host: \"promopult.ru\"
Помимо адресов электронной почты были также обнаружены пары логин/пароль к сервису GetSale (getsale.io):
https://getsale.io/?email=info%40XXX.ru&password=XXX
А также транзакции платежных систем:
https://secure.tinkoff.ru/acs/auth/finish.do;jsessionid=XXXX52AB787784E85A3EF7C5D9D4813?sendSms=&lang=ru&acctId=XXXXvZ5GEkUxT7cBNhMPDWStpJ0i&password=6661
Всего в открытом доступе оказалось:
✅ 7 пар логин/пароль для GetSale
✅ около 20 тыс. (возможно повторяющихся) адресов электронной почты, включая более 1.5 тыс. адресов, отписавшихся от рассылки (https://promopult.ru/subscribe.html?op=unsubscribe&mail=XXX@mail.ru&key=XXXX4f48b57a395bfe7184f33e4549da).
✅ около 10 платежных транзакций.
13.05.2019 мы оповестили сервис о проблеме, однако сервер был убран из свободного доступа только 15.05.2019 около 16:00 (МСК). 🤦🏻♂️ За это время «засветилось» 3 индекса с логами:
1️⃣ filebeat-6.6.2-2019.05.12
2️⃣ filebeat-6.6.2-2019.05.13
3️⃣ filebeat-6.6.2-2019.05.14
Каждый индекс в среднем содержал более 300 тыс. записей.
По данным Shodan данный сервер впервые попал в открытый доступ 23.03.2019. 🤦♂️
1️⃣ filebeat-6.6.2-2019.05.12
2️⃣ filebeat-6.6.2-2019.05.13
В процессе анализа логов выяснилось, что сервер принадлежит сервису promopult.ru (seopult.ru) и в них содержатся адреса электронной почты:
http://127.0.0.1:80/welcome.html?goal=%2Fitem_point_seo.html%3Fitem_id%3D10118645%23mr&email=XXX%40mail.ru&utm_campaign=email-userpoints&utm_term=%C2%AB%D0%9E%D1%82%D1%87%D0%B5%D1%82%D1%8B%C2%BB\", host: \"promopult.ru\"
Помимо адресов электронной почты были также обнаружены пары логин/пароль к сервису GetSale (getsale.io):
https://getsale.io/?email=info%40XXX.ru&password=XXX
А также транзакции платежных систем:
https://secure.tinkoff.ru/acs/auth/finish.do;jsessionid=XXXX52AB787784E85A3EF7C5D9D4813?sendSms=&lang=ru&acctId=XXXXvZ5GEkUxT7cBNhMPDWStpJ0i&password=6661
Всего в открытом доступе оказалось:
✅ 7 пар логин/пароль для GetSale
✅ около 20 тыс. (возможно повторяющихся) адресов электронной почты, включая более 1.5 тыс. адресов, отписавшихся от рассылки (https://promopult.ru/subscribe.html?op=unsubscribe&mail=XXX@mail.ru&key=XXXX4f48b57a395bfe7184f33e4549da).
✅ около 10 платежных транзакций.
13.05.2019 мы оповестили сервис о проблеме, однако сервер был убран из свободного доступа только 15.05.2019 около 16:00 (МСК). 🤦🏻♂️ За это время «засветилось» 3 индекса с логами:
1️⃣ filebeat-6.6.2-2019.05.12
2️⃣ filebeat-6.6.2-2019.05.13
3️⃣ filebeat-6.6.2-2019.05.14
Каждый индекс в среднем содержал более 300 тыс. записей.
По данным Shodan данный сервер впервые попал в открытый доступ 23.03.2019. 🤦♂️
В последнее время очень много шума в СМИ вокруг утечек персональных данных граждан через государственные информационные системы.
Чтобы далеко не ходить и глубоко не искать, воспользуемся простейшим поисковым запросом в Google:
site:torgi.gov.ru паспорт серия
Для удобства можно кликнуть тут 😄
Enjoy 😎
Чтобы далеко не ходить и глубоко не искать, воспользуемся простейшим поисковым запросом в Google:
site:torgi.gov.ru паспорт серия
Для удобства можно кликнуть тут 😄
Enjoy 😎
Роскомнадзор сообщает, что в отношении городской больницы №3 г. Ижевска был составлен протокол об административном правонарушении.
При перевозке медицинских карт на утилизацию несколько из них выпало из автомобиля. 🚑
Это повлекло за собой риск неправомерного или случайного доступа к персональным данным третьими лицами.
При перевозке медицинских карт на утилизацию несколько из них выпало из автомобиля. 🚑
Это повлекло за собой риск неправомерного или случайного доступа к персональным данным третьими лицами.
Как вам хорошо известно из наших постов, часто в открытых базах данных (особенно в индексах Elasticsearch) содержатся не только персональные и иные чувствительные данные, но и токены авторизации, ключи и логины/пароли к различным сервисам. 😎
Мы решили провести ретроспективный анализ всех найденных нами с начала этого года открытых баз, которые в данный момент уже не находятся в свободном доступе и где были обнаружены токены, логины/пароли и ключи.
Наша цель – узнать, а предпринимались ли владельцами этих баз реальные меры по защите данных (чаще всего это данные клиентов сервисов, допустивших утечку) или все дело ограничилось закрытием внешнего доступа к серверам.
Сначала те, кто предпринял реальные меры и сменил пароли/токены/ключи: 👍
✅ promopult.ru (https://news.1rj.ru/str/dataleak/1037) – сменили пароли от «засвеченных» аккаунтов GetSale.io
✅ zvonok.com (https://news.1rj.ru/str/dataleak/922) – прикрыли доступ к «засвеченным» аккаунтам пользователей и их звонкам
✅ barameo.ru (https://news.1rj.ru/str/dataleak/1006) – прикрыли все «засвеченные» URL с персональными данными
✅ radario.ru (https://news.1rj.ru/str/dataleak/1012) – прикрыли доступ к «засвеченным» билетам
Теперь те, кто просто закрыл доступ к своим серверам извне, оставив «засвеченные» пароли/токены/ключи неизменными: 🤦♂️🤦🏻♂️🙈
❗️ mann-ivanov-ferber.ru (https://news.1rj.ru/str/dataleak/998) – токены на доступ к книгам работают, как работали.
❗️ isramedportal.ru (https://news.1rj.ru/str/dataleak/1003) – логины/пароли юзеров работают, как работали.
❗️ sletat.ru (https://news.1rj.ru/str/dataleak/1028) – логины/пароли турагентств работают, как работали и это не удивительно – руководство сервиса считает, что ничего в открытый доступ не попадало. 😂
❗️ rinsurance.ru (https://news.1rj.ru/str/dataleak/1042) - ключ для сервиса SMS.RU по-прежнему работает, можно от имени rinsurance.ru рассылать СМС на любые номера телефонов.
Мы решили провести ретроспективный анализ всех найденных нами с начала этого года открытых баз, которые в данный момент уже не находятся в свободном доступе и где были обнаружены токены, логины/пароли и ключи.
Наша цель – узнать, а предпринимались ли владельцами этих баз реальные меры по защите данных (чаще всего это данные клиентов сервисов, допустивших утечку) или все дело ограничилось закрытием внешнего доступа к серверам.
Сначала те, кто предпринял реальные меры и сменил пароли/токены/ключи: 👍
✅ promopult.ru (https://news.1rj.ru/str/dataleak/1037) – сменили пароли от «засвеченных» аккаунтов GetSale.io
✅ zvonok.com (https://news.1rj.ru/str/dataleak/922) – прикрыли доступ к «засвеченным» аккаунтам пользователей и их звонкам
✅ barameo.ru (https://news.1rj.ru/str/dataleak/1006) – прикрыли все «засвеченные» URL с персональными данными
✅ radario.ru (https://news.1rj.ru/str/dataleak/1012) – прикрыли доступ к «засвеченным» билетам
Теперь те, кто просто закрыл доступ к своим серверам извне, оставив «засвеченные» пароли/токены/ключи неизменными: 🤦♂️🤦🏻♂️🙈
❗️ mann-ivanov-ferber.ru (https://news.1rj.ru/str/dataleak/998) – токены на доступ к книгам работают, как работали.
❗️ isramedportal.ru (https://news.1rj.ru/str/dataleak/1003) – логины/пароли юзеров работают, как работали.
❗️ sletat.ru (https://news.1rj.ru/str/dataleak/1028) – логины/пароли турагентств работают, как работали и это не удивительно – руководство сервиса считает, что ничего в открытый доступ не попадало. 😂
❗️ rinsurance.ru (https://news.1rj.ru/str/dataleak/1042) - ключ для сервиса SMS.RU по-прежнему работает, можно от имени rinsurance.ru рассылать СМС на любые номера телефонов.
Утром 24 апреля система DeviceLock Data Breach Intelligence (подробнее тут) обнаружила базу данных MongoDB не требующую аутентификации для подключения.
В базе, с именем bso (БСО - бланк строгой отчетности), размером 107.2 Мб находилось более 274 тыс. записей, содержащих персональные данные клиентов страхового агентства «Reimers Insurance» (rinsurance.ru).
Основную часть обнаруженных данных составляла информация о владельцах, застрахованных автомобилей (всего 54824 записей, из них 4731 - Москва): 🔥🔥
✅ ФИО страхователя
✅ марка/модель автомобиля (например, «Mercedes-Benz ML350»)
✅ мобильный телефон страхователя
✅ адрес электронной почты страхователя
✅ адрес страхователя
Помимо данных клиентов в базе находилось:
✅ 245 пользователей системы (страховых агентов, продающих страховки): ФИО, дата рождения, департамент, номер договора, логин, хеш пароля и соль
✅ 15056 актов: ФИО страховых агентов, дата, номер договора, список БСО
✅ 89349 номеров страховых полисов (БСО): номер полиса (например, ЕЕЕ №038360XXXX), название страховой компании (например, ОАО "АльфаСтрахование"), имя/фамилия агента, размер страховой премии, ссылка на страхователя (см. выше) 🤦🏻♂️🤦♂️
✅ Большое количество внутренней информации (платежные ведомости, список сотрудников по департаментам, возвраты полисов, взаиморасчеты со страховыми компаниями и т.п.)
Кроме того, в открытом доступе были обнаружены ключи к amoCRM:
"amoKey" : "XXXXXX575f391597336990b008XXXXXX"
и к сервису SMS.ru:
"smsRUKey" : "XXXXXXA3-1306-B483-B185-D75EAEXXXXXX"
Ключ работающий, можно отправить любое СМС на любой номер телефона от имени абонента «Rinsurance». 👍
Мы оповестили компанию «Reimers Insurance» в 9:05 (МСК) и повторно связались с ними в 16:15 через компанию «amoCRM» (там нам подтвердили подлинность ключа продукта). Только после второго оповещения, примерно в 17:00 база была закрыта, а мы получили вот такое сообщение от страхового агенства: 😂
Это какая-то старая база на личном серваке нашего программиста. Нужно её скрыть конечно. Ещё раз благодарю.
Насчет «старая база» - 34712 полисов датированы 2018 и 2019 годом. 😎
По данным Shodan данный сервер впервые попал в открытый доступ 19.04.2019.
В базе, с именем bso (БСО - бланк строгой отчетности), размером 107.2 Мб находилось более 274 тыс. записей, содержащих персональные данные клиентов страхового агентства «Reimers Insurance» (rinsurance.ru).
Основную часть обнаруженных данных составляла информация о владельцах, застрахованных автомобилей (всего 54824 записей, из них 4731 - Москва): 🔥🔥
✅ ФИО страхователя
✅ марка/модель автомобиля (например, «Mercedes-Benz ML350»)
✅ мобильный телефон страхователя
✅ адрес электронной почты страхователя
✅ адрес страхователя
Помимо данных клиентов в базе находилось:
✅ 245 пользователей системы (страховых агентов, продающих страховки): ФИО, дата рождения, департамент, номер договора, логин, хеш пароля и соль
✅ 15056 актов: ФИО страховых агентов, дата, номер договора, список БСО
✅ 89349 номеров страховых полисов (БСО): номер полиса (например, ЕЕЕ №038360XXXX), название страховой компании (например, ОАО "АльфаСтрахование"), имя/фамилия агента, размер страховой премии, ссылка на страхователя (см. выше) 🤦🏻♂️🤦♂️
✅ Большое количество внутренней информации (платежные ведомости, список сотрудников по департаментам, возвраты полисов, взаиморасчеты со страховыми компаниями и т.п.)
Кроме того, в открытом доступе были обнаружены ключи к amoCRM:
"amoKey" : "XXXXXX575f391597336990b008XXXXXX"
и к сервису SMS.ru:
"smsRUKey" : "XXXXXXA3-1306-B483-B185-D75EAEXXXXXX"
Ключ работающий, можно отправить любое СМС на любой номер телефона от имени абонента «Rinsurance». 👍
Мы оповестили компанию «Reimers Insurance» в 9:05 (МСК) и повторно связались с ними в 16:15 через компанию «amoCRM» (там нам подтвердили подлинность ключа продукта). Только после второго оповещения, примерно в 17:00 база была закрыта, а мы получили вот такое сообщение от страхового агенства: 😂
Это какая-то старая база на личном серваке нашего программиста. Нужно её скрыть конечно. Ещё раз благодарю.
Насчет «старая база» - 34712 полисов датированы 2018 и 2019 годом. 😎
По данным Shodan данный сервер впервые попал в открытый доступ 19.04.2019.
Пример СМС от имени «Rinsurance» для проверки работоспособности ключа SMS.ru.