Компания DeviceLock – российский производитель систем борьбы с утечками данных, анонсировала новый сервис - «разведку уязвимостей хранения данных», а также мониторинг мошеннических ресурсов и активностей в DarkNet. 🔥🔥🔥

Сервис работает на основе технологий искусственного интеллекта и осуществляет проверку внешней серверной инфраструктуры, а также выявление недостатков в реализации систем хранения информации. В рамках регулярных обследований проводится поиск серверов с текущими или архивными данными, журналами информационных систем, а также анализ обнаруженных данных с помощью механизмов машинного обучения на наличие в них чувствительной информации, включая персональные данные, информацию с признаками коммерческой тайны и другие. Кроме того, ИИ осуществляет постоянный мониторинг предложений о продаже данных в группах Telegram, на различных закрытых площадках и форумах, а также ресурсах в DarkNet. 👍

https://www.devicelock.com/ru/press/devicelock-sozdal-ii-dlya-razvedki-uyazvimostej-hraneniya-dannyh.html

Иван Бегтин, председатель Ассоциации участников рынков данных, и Ашот Оганесян, технический директор DeviceLock DLP, показали массовую информационную дырявость, как сайтов государственных структур, так и частного бизнеса.

Самым существенным недостатком выявленных уязвимостей является то, что никто не реагирует на выявляемые проблемы до тех пор, пока они не становятся публичными. Более того, Роскомнадзор, как регулятор, в ряде случаев (см. ниже) просто констатирует, что формального нарушения закона нет и то или иное раскрытие ПД правомерно.

https://roem.ru/15-05-2019/277716/techyot-reka-dolgo/

Технические подробности этой утечки опубликуем позже, а пока заметка из Коммерсанта: 👇

Компания DeviceLock сообщила об обнаружении в открытом доступе базы данных сервиса по подбору туров «Слетать.ру».

Сейчас база закрыта, но ранее в ней были логины и пароли нескольких сотен подключенных к системе туристических агентств, паспортные данные клиентов и информация о билетах, а также не менее 11,7 тыс. клиентских e-mail.

По словам основателя и технического директора DeviceLock Ашота Оганесяна, 15 мая компания проинформировала об этом сервис, доступ к базе был закрыт в тот же день в промежутке между 11:00 и 15:00.

По словам господина Оганесяна, в базе были логины и пароли нескольких сотен подключенных к системе агентств, с которыми можно войти в личный кабинет агентства и получить доступ ко всем данным поездок, включая паспортные данные клиентов и данные билетов.

Кроме того, в ней содержатся данные транзакций по покупке туров, где также есть данные клиентов, информация о самих турах и их оплате, а также присутствуют минимум 11,7 тыс. адресов клиентских e-mail. Вся информация датируется мартом 2018-го — маем 2019 года.

https://www.kommersant.ru/doc/3968736

Поскольку представители сервиса «Слетать.ру» начали выдавать в СМИ неадекватные комментарии, вынуждены привести первые пруфы в ввиде скриншотов аккаунта (видно, что и паспорт и загранпаспорт там есть) турагенства и куска лога из индекса graylog_56 (видно откуда логины и пароли взялись).

Комментарий «Слетать.ру»:

Руководитель компании Андрей Вершинин пояснил, что «Слетать.ру» предоставляет ряду крупнейших туроператоров-партнеров доступ к истории запросов в поисковой системе. И предположил, что DeviceLock получила его: «Однако в указанной базе нет паспортных данных туристов, логинов и паролей турагентств, платежных данных и т. д.». Андрей Вершинин отметил, что никаких доказательств столь серьезных обвинений «Слетать.ру» до сих пор не получила. «Сейчас пытаемся связаться с компанией DeviceLock. Полагаем, что это заказуха. Кому-то не нравится наш стремительный рост», – добавил он. "

Аккаунт турагенства - видно, что и паспорта и загранпаспорта клиентов там есть.

А вот так выглядят оплаченные туры из открытой базы «Слетать.ру».

А вот так выглядит информация о турах из индекса cbto__0. Нам кажется, что пруфов уже достаточно. 🤦‍♂️🤦🏻‍♂️🙈

Обнаружили свободно доступный сервер Elasticsearch с данными саудовского пиратского стримингового сервиса «beoutQ SPORTS». 😂

В индексах Elasticsearch содержатся данные по активациям и подключения, в основном пользователей из Саудовской Аравии. Сам сервер с базой и связанный с ним другой сервер onthemoon.sx находятся в Москве. 😱

{
"_index": "beoutq_watch_list",
"_type": "main",
"_id": "70",
"_score": 1,
"_source": {
"id": 70,
"ip_address": null,
"mac_address": null,
"voucher_code": "efs5mhw6",
"last_request_history": {
"id": 225303,
"ip_address": "94.96.22.241",
"ip_info": {
"ip_from": "281472265098752",
"ip_to": "281472265099007",
"country_code": "SA",
"country_name": "Saudi Arabia",
"region_name": "Ash Sharqiyah",
"city_name": "Dhahran",
"latitude": "26.30324",
"longitude": "50.13528"
},
"request_card_id": 3357401,
"request_voucher_code": "efs5mhw6",
"request_mac_address": "02.A3.B5.11.CC.62",
"request_receiver_id": 1411005,
"response_status": true,
"method": "post",
"response": {
"status": "Successful",
"voucherId": "3357401",
"start": "2019-02-25",
"stop": "2020-02-25",
"message": "Your voucher has been activated"
},
"request": {
"action": "register",
"mac_address": "02.A3.B5.11.CC.62",
"voucher_code": "efs5mhw6"
},
"server": {
"TZ": "Europe/Moscow",
"REDIRECT_UNIQUE_ID": "XHP-Xt9pcWH8Eoed06pimgAAAAM",
"REDIRECT_SCRIPT_URL": "/t/service.php",
"REDIRECT_SCRIPT_URI": "https://onthemoon.sx/t/service.php",
"REDIRECT_HTTPS": "on",
"REDIRECT_HANDLER": "application/x-httpd-ea-php72",
"REDIRECT_STATUS": "200",
"UNIQUE_ID": "XHP-Xt9pcWH8Eoed06pimgAAAAM",
"SCRIPT_URL": "/t/service.php",
"SCRIPT_URI": "https://onthemoon.sx/t/service.php",
"HTTPS": "on",
"HTTP_HOST": "onthemoon.sx",
"HTTP_X_FORWARDED_HOST": "onthemoon.sx",
"HTTP_X_FORWARDED_PORT": "443",
"HTTP_X_FORWARDED_PROTO": "https",
"HTTP_X_FORWARDED_SERVER": "onthemoon.sx",
"HTTP_X_REAL_IP": "94.96.22.241",
"HTTP_WAF_COUNTRY_CODE": "SA",
"CONTENT_LENGTH": "54",
"HTTP_USER_AGENT": "DEVICE_IS_STB/MAC=02-A3-B5-11-CC-62_SERIAL=01011804397102_FINGERPRINT=FED4C6+20181214155240+v7.2.1345_APK=444:2.444_STB=v7.2.1345_IPLOC=192.168.1.108IPPUB=WIFI=[WIFI_#1_SSID:KHALID_BSSID:84:a9:c4:13:ec:58][WIFI_#2_SSID:mobilywifi_BSSID:84:a9:c4:13:ec:59][WIFI_#3_SSID:new_BSSID:e4:6f:13:65:43:82][WIFI_#4_SSID:TOTOLINK N302R Plus_BSSID:78:44:76:9e:bf:90][WIFI_#5_SSID:VIRES 2_BSSID:70:4f:57:8d:f6:5a][WIFI_#6_SSID:HomeBroadband_BSSID:d4:a1:48:0a:8d:f8][WIFI_#7_SSID:skp_BSSID:ec:cb:30:86:36:9d][WIFI_#8_SSID:hassan_BSSID:04:b1:67:05:1b:3b][WIFI_#9_SSID:Sealink Logistics_BSSID:88:bf:e4:04:50:ed][WIFI_#10_SSID:SAUD_BSSID:f8:35:dd:90:b4:0b][WIFI_#11_SSID:Mabrook_BSSID:e0:19:1d:d1:2a:d2][WIFI_#12_SSID:HP-Print-7E-LaserJet 1102_BSSID:9c:2a:70:2b:2b:7e][WIFI_#13_SSID:virus247_BSSID:30:b5:c2:0b:74:74][WIFI_#14_SSID:HP-Print-d9-LaserJet 200_BSSID:9c:d2:1e:05:0b:d9]COUNTER=0",
"CONTENT_TYPE": "application/x-www-form-urlencoded",
"HTTP_X_HTTPS": "1",
"PATH": "/usr/local/jdk/bin:/usr/kerberos/sbin:/usr/kerberos/bin:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/usr/X11R6/bin:/usr/local/bin:/usr/X11R6/bin:/root/bin:/opt/bin",
"SERVER_SIGNATURE": "",
"SERVER_SOFTWARE": "Apache",
"SERVER_NAME": "onthemoon.sx",

Обнаруженные сервера саудовского пиратского стримингового сервиса «beoutQ SPORTS».

13-го мая наша автоматизированная система DeviceLock Data Breach Intelligence (подробнее тут) обнаружила открытый сервер Elasticsearch с двумя индексами, содержащими логи Filebeat:

1️⃣ filebeat-6.6.2-2019.05.12
2️⃣ filebeat-6.6.2-2019.05.13

В процессе анализа логов выяснилось, что сервер принадлежит сервису promopult.ru (seopult.ru) и в них содержатся адреса электронной почты:

http://127.0.0.1:80/welcome.html?goal=%2Fitem_point_seo.html%3Fitem_id%3D10118645%23mr&email=XXX%40mail.ru&utm_campaign=email-userpoints&utm_term=%C2%AB%D0%9E%D1%82%D1%87%D0%B5%D1%82%D1%8B%C2%BB\", host: \"promopult.ru\"

Помимо адресов электронной почты были также обнаружены пары логин/пароль к сервису GetSale (getsale.io):

https://getsale.io/?email=info%40XXX.ru&password=XXX

А также транзакции платежных систем:

https://secure.tinkoff.ru/acs/auth/finish.do;jsessionid=XXXX52AB787784E85A3EF7C5D9D4813?sendSms=&lang=ru&acctId=XXXXvZ5GEkUxT7cBNhMPDWStpJ0i&password=6661


Всего в открытом доступе оказалось:

✅ 7 пар логин/пароль для GetSale
✅ около 20 тыс. (возможно повторяющихся) адресов электронной почты, включая более 1.5 тыс. адресов, отписавшихся от рассылки (https://promopult.ru/subscribe.html?op=unsubscribe&mail=XXX@mail.ru&key=XXXX4f48b57a395bfe7184f33e4549da).
✅ около 10 платежных транзакций.

13.05.2019 мы оповестили сервис о проблеме, однако сервер был убран из свободного доступа только 15.05.2019 около 16:00 (МСК). 🤦🏻‍♂️ За это время «засветилось» 3 индекса с логами:

1️⃣ filebeat-6.6.2-2019.05.12
2️⃣ filebeat-6.6.2-2019.05.13
3️⃣ filebeat-6.6.2-2019.05.14

Каждый индекс в среднем содержал более 300 тыс. записей.

По данным Shodan данный сервер впервые попал в открытый доступ 23.03.2019. 🤦‍♂️

В последнее время очень много шума в СМИ вокруг утечек персональных данных граждан через государственные информационные системы.

Чтобы далеко не ходить и глубоко не искать, воспользуемся простейшим поисковым запросом в Google:

site:torgi.gov.ru паспорт серия

Для удобства можно кликнуть тут 😄

Enjoy 😎

Роскомнадзор сообщает, что в отношении городской больницы №3 г. Ижевска был составлен протокол об административном правонарушении.

При перевозке медицинских карт на утилизацию несколько из них выпало из автомобиля. 🚑

Это повлекло за собой риск неправомерного или случайного доступа к персональным данным третьими лицами.

На одной из улиц в г. Киров валяются сотни документов с персональными данными (копии паспортов, решения суда и т.п.) граждан.

Как вам хорошо известно из наших постов, часто в открытых базах данных (особенно в индексах Elasticsearch) содержатся не только персональные и иные чувствительные данные, но и токены авторизации, ключи и логины/пароли к различным сервисам. 😎

Мы решили провести ретроспективный анализ всех найденных нами с начала этого года открытых баз, которые в данный момент уже не находятся в свободном доступе и где были обнаружены токены, логины/пароли и ключи.

Наша цель – узнать, а предпринимались ли владельцами этих баз реальные меры по защите данных (чаще всего это данные клиентов сервисов, допустивших утечку) или все дело ограничилось закрытием внешнего доступа к серверам.


Сначала те, кто предпринял реальные меры и сменил пароли/токены/ключи: 👍

✅ promopult.ru (https://news.1rj.ru/str/dataleak/1037) – сменили пароли от «засвеченных» аккаунтов GetSale.io

✅ zvonok.com (https://news.1rj.ru/str/dataleak/922) – прикрыли доступ к «засвеченным» аккаунтам пользователей и их звонкам

✅ barameo.ru (https://news.1rj.ru/str/dataleak/1006) – прикрыли все «засвеченные» URL с персональными данными

✅ radario.ru (https://news.1rj.ru/str/dataleak/1012) – прикрыли доступ к «засвеченным» билетам


Теперь те, кто просто закрыл доступ к своим серверам извне, оставив «засвеченные» пароли/токены/ключи неизменными: 🤦‍♂️🤦🏻‍♂️🙈

❗️ mann-ivanov-ferber.ru (https://news.1rj.ru/str/dataleak/998) – токены на доступ к книгам работают, как работали.

❗️ isramedportal.ru (https://news.1rj.ru/str/dataleak/1003) – логины/пароли юзеров работают, как работали.

❗️ sletat.ru (https://news.1rj.ru/str/dataleak/1028) – логины/пароли турагентств работают, как работали и это не удивительно – руководство сервиса считает, что ничего в открытый доступ не попадало. 😂

❗️ rinsurance.ru (https://news.1rj.ru/str/dataleak/1042) - ключ для сервиса SMS.RU по-прежнему работает, можно от имени rinsurance.ru рассылать СМС на любые номера телефонов.

Утром 24 апреля система DeviceLock Data Breach Intelligence (подробнее тут) обнаружила базу данных MongoDB не требующую аутентификации для подключения.

В базе, с именем bso (БСО - бланк строгой отчетности), размером 107.2 Мб находилось более 274 тыс. записей, содержащих персональные данные клиентов страхового агентства «Reimers Insurance» (rinsurance.ru).

Основную часть обнаруженных данных составляла информация о владельцах, застрахованных автомобилей (всего 54824 записей, из них 4731 - Москва): 🔥🔥

✅ ФИО страхователя
✅ марка/модель автомобиля (например, «Mercedes-Benz ML350»)
✅ мобильный телефон страхователя
✅ адрес электронной почты страхователя
✅ адрес страхователя

Помимо данных клиентов в базе находилось:

✅ 245 пользователей системы (страховых агентов, продающих страховки): ФИО, дата рождения, департамент, номер договора, логин, хеш пароля и соль

✅ 15056 актов: ФИО страховых агентов, дата, номер договора, список БСО

✅ 89349 номеров страховых полисов (БСО): номер полиса (например, ЕЕЕ №038360XXXX), название страховой компании (например, ОАО "АльфаСтрахование"), имя/фамилия агента, размер страховой премии, ссылка на страхователя (см. выше) 🤦🏻‍♂️🤦‍♂️

✅ Большое количество внутренней информации (платежные ведомости, список сотрудников по департаментам, возвраты полисов, взаиморасчеты со страховыми компаниями и т.п.)


Кроме того, в открытом доступе были обнаружены ключи к amoCRM:

"amoKey" : "XXXXXX575f391597336990b008XXXXXX"

и к сервису SMS.ru:

"smsRUKey" : "XXXXXXA3-1306-B483-B185-D75EAEXXXXXX"

Ключ работающий, можно отправить любое СМС на любой номер телефона от имени абонента «Rinsurance». 👍


Мы оповестили компанию «Reimers Insurance» в 9:05 (МСК) и повторно связались с ними в 16:15 через компанию «amoCRM» (там нам подтвердили подлинность ключа продукта). Только после второго оповещения, примерно в 17:00 база была закрыта, а мы получили вот такое сообщение от страхового агенства: 😂

Это какая-то старая база на личном серваке нашего программиста. Нужно её скрыть конечно. Ещё раз благодарю.

Насчет «старая база» - 34712 полисов датированы 2018 и 2019 годом. 😎

По данным Shodan данный сервер впервые попал в открытый доступ 19.04.2019.

Пример СМС от имени «Rinsurance» для проверки работоспособности ключа SMS.ru.

Завтра (21-го мая) в рамках международного форума по практической безопасности «Positive Hack Days 9» состоится доклад Ашота Оганесяна, основателя и технического директора DeviceLock, на тему «Как обнаруживают открытые базы данных MongoDB и Elasticsearch с персональными данными»: 👇
https://www.phdays.com/ru/program/reports/compromising-publicly-available-databases/

Начало доклада запланировано на 12:30. 👍

🔥 https://habr.com/ru/post/452698/

Обещанные ранее (https://news.1rj.ru/str/dataleak/1028) технические подробности утечки данных из сервиса «Слетать.ру», читайте в новой статье на Хабре. 👆

Вкратце:

✅ из свободно доступных индексов можно было получить тысячи (11,7 тыс. включая дубли) адресов электронной почты, некоторую платежную информацию (стоимость туров) и данные тур поездок (когда, куда, данные авиабилетов всех вписанных в тур путешественников и т.п.) в количестве около 1,8 тыс. записей, а также сотни логинов и паролей турагентств в текстовом виде.

✅ из личных кабинетов турагентств можно было получить данные их клиентов, включая номера паспортов, загранпаспортов, даты рождения, ФИО, телефоны и адреса электронной почты.


Про кейс с «Радарио» мы уже писали тут, но не лишним будет повторить. 😎

Вчера по СМИ прошла «новость» о том, что в открытый доступ попали данные почти 50 млн. пользователей Instagram, в основном известных людей, и блогеров, а также брендов. База данных с номерами телефонов и адресами электронной почты оказалась в свободном доступе на сервисе Amazon.

Наш любимый Роскомнадзор немедленно заявил, что направит в Instagram запрос по этой «утечке» данных. Ну конечно, других утечек (без кавычек) у нас тут нет! Надо заниматься псевдо-утечками публичных данных из профилей социальной сети. 🤦‍♂️🤦🏻‍♂️

Ну раз нашим СМИ и Роскомнадзору так нравятся «утечки», а заниматься реальными утечками им не интересно, то можем подкинуть им открытую базу с данными русскоязычных блогеров все того же Instagram. 😎

Свободно доступный сервер Elasticsearch с двумя индексами influencers_staging и influencers находится в открытом доступе минимум с 22.06.2018.


В каждом из индексов более 200 тыс. записей с информацией по Instagram-блогерам:

✅ ник
✅ имя профиля
✅ ссылка на картинку
✅ количество подписчиков
✅ статистика по аудитории (пол, возраст, география и т.п.)
✅ адрес электронной почты
✅ цены на рекламу
✅ статистика по просмотрам и лайкам
✅ и многое другое.


Сервер предположительно принадлежит маркетинговому агентству Zorka.Mobi.

Уже больше месяца наблюдаем в свободном доступе сервер Elasticsearch с данными портала поиска и подключения к интернет-провайдерам - «InetMe» (www.inetme.ru). 😎

Shodan впервые зафиксировал этот Elasticsearch аж 01.01.2018! 🤦🏻‍♂️

На сервере находятся два значимых индекса: coverage (745643 документов) и logs (612123 документов сейчас, 541449 – больше месяца назад).

В coverage содержится информация о том, какой провайдер доступен по какому адресу в каком городе (список городов есть у них на сайте):

"_index": "coverage",
"_type": "addrs",
"_source": {
"providerId": "420",
"addr": "г. КАЗАНЬ,ул. ГУДОВАНЦЕВА,1"
}

А индекс logs (как обычно это бывает с логами 😂) представляет куда больший интерес – тут собраны все заявки на подключение к интернету, которые посетители портала оставляли через форму на сайте:

{
"_index": "logs",
"_type": "data",
"created": "2019-04-16T07:28:27",
"denoscription": "Saving an email\nORDER_ID: 325388\nSUBJECT: \nBODY: ДИЛЕР *ИП Старковски*\r\nАдрес: Бурятия Респ г. Улан-Удэ ул. Ермаковская дом XXX кв XXX\r\nФИО: XXX XXX Эрдыниевна\r\nКонтактный телефон: +7-964-XXX-XX-XX \nДополн. телефон: \r\nУслуги: Для впечатлений\r\nКомментарий: \nFROM: null\nTO: XXX@gmail.com",
}

Всего около 3 тыс. таких заявок, начиная с 21.07.2018 и по сегодняшний день. 🙈

Авторская колонка в Форбс основателя и технического директора DeviceLock Ашота Оганесяна: 👇

https://www.forbes.ru/tehnologii/376499-bolezn-cifrovogo-mira-kak-zashchititsya-ot-utechek-personalnyh-dannyh


Каждую неделю появляются новости о том, что злоумышленники получили доступ к данным тысяч, а то и миллионов клиентов очередной компании. Есть ли прививка от этой напасти?