Пример СМС от имени «Rinsurance» для проверки работоспособности ключа SMS.ru.
Завтра (21-го мая) в рамках международного форума по практической безопасности «Positive Hack Days 9» состоится доклад Ашота Оганесяна, основателя и технического директора DeviceLock, на тему «Как обнаруживают открытые базы данных MongoDB и Elasticsearch с персональными данными»: 👇
https://www.phdays.com/ru/program/reports/compromising-publicly-available-databases/
Начало доклада запланировано на 12:30. 👍
https://www.phdays.com/ru/program/reports/compromising-publicly-available-databases/
Начало доклада запланировано на 12:30. 👍
phdays.com
Positive Hack Days
Международный фестиваль по кибербезопасности для всех, кто хочет погрузиться в мир кибербеза и круто провести время
🔥 https://habr.com/ru/post/452698/
Обещанные ранее (https://news.1rj.ru/str/dataleak/1028) технические подробности утечки данных из сервиса «Слетать.ру», читайте в новой статье на Хабре. 👆
Вкратце:
✅ из свободно доступных индексов можно было получить тысячи (11,7 тыс. включая дубли) адресов электронной почты, некоторую платежную информацию (стоимость туров) и данные тур поездок (когда, куда, данные авиабилетов всех вписанных в тур путешественников и т.п.) в количестве около 1,8 тыс. записей, а также сотни логинов и паролей турагентств в текстовом виде.
✅ из личных кабинетов турагентств можно было получить данные их клиентов, включая номера паспортов, загранпаспортов, даты рождения, ФИО, телефоны и адреса электронной почты.
Про кейс с «Радарио» мы уже писали тут, но не лишним будет повторить. 😎
Обещанные ранее (https://news.1rj.ru/str/dataleak/1028) технические подробности утечки данных из сервиса «Слетать.ру», читайте в новой статье на Хабре. 👆
Вкратце:
✅ из свободно доступных индексов можно было получить тысячи (11,7 тыс. включая дубли) адресов электронной почты, некоторую платежную информацию (стоимость туров) и данные тур поездок (когда, куда, данные авиабилетов всех вписанных в тур путешественников и т.п.) в количестве около 1,8 тыс. записей, а также сотни логинов и паролей турагентств в текстовом виде.
✅ из личных кабинетов турагентств можно было получить данные их клиентов, включая номера паспортов, загранпаспортов, даты рождения, ФИО, телефоны и адреса электронной почты.
Про кейс с «Радарио» мы уже писали тут, но не лишним будет повторить. 😎
Хабр
Два в одном: данные туристов и билеты на культурные мероприятия находились в открытом доступе
Сегодня рассмотрим сразу два кейса – данные клиентов и партнеров двух совершенно разных компаний оказались в свободном доступе «благодаря» открытым серверам Elas...
Вчера по СМИ прошла «новость» о том, что в открытый доступ попали данные почти 50 млн. пользователей Instagram, в основном известных людей, и блогеров, а также брендов. База данных с номерами телефонов и адресами электронной почты оказалась в свободном доступе на сервисе Amazon.
Наш любимый Роскомнадзор немедленно заявил, что направит в Instagram запрос по этой «утечке» данных. Ну конечно, других утечек (без кавычек) у нас тут нет! Надо заниматься псевдо-утечками публичных данных из профилей социальной сети. 🤦♂️🤦🏻♂️
Ну раз нашим СМИ и Роскомнадзору так нравятся «утечки», а заниматься реальными утечками им не интересно, то можем подкинуть им открытую базу с данными русскоязычных блогеров все того же Instagram. 😎
Свободно доступный сервер Elasticsearch с двумя индексами influencers_staging и influencers находится в открытом доступе минимум с 22.06.2018.
В каждом из индексов более 200 тыс. записей с информацией по Instagram-блогерам:
✅ ник
✅ имя профиля
✅ ссылка на картинку
✅ количество подписчиков
✅ статистика по аудитории (пол, возраст, география и т.п.)
✅ адрес электронной почты
✅ цены на рекламу
✅ статистика по просмотрам и лайкам
✅ и многое другое.
Сервер предположительно принадлежит маркетинговому агентству Zorka.Mobi.
Наш любимый Роскомнадзор немедленно заявил, что направит в Instagram запрос по этой «утечке» данных. Ну конечно, других утечек (без кавычек) у нас тут нет! Надо заниматься псевдо-утечками публичных данных из профилей социальной сети. 🤦♂️🤦🏻♂️
Ну раз нашим СМИ и Роскомнадзору так нравятся «утечки», а заниматься реальными утечками им не интересно, то можем подкинуть им открытую базу с данными русскоязычных блогеров все того же Instagram. 😎
Свободно доступный сервер Elasticsearch с двумя индексами influencers_staging и influencers находится в открытом доступе минимум с 22.06.2018.
В каждом из индексов более 200 тыс. записей с информацией по Instagram-блогерам:
✅ ник
✅ имя профиля
✅ ссылка на картинку
✅ количество подписчиков
✅ статистика по аудитории (пол, возраст, география и т.п.)
✅ адрес электронной почты
✅ цены на рекламу
✅ статистика по просмотрам и лайкам
✅ и многое другое.
Сервер предположительно принадлежит маркетинговому агентству Zorka.Mobi.
Уже больше месяца наблюдаем в свободном доступе сервер Elasticsearch с данными портала поиска и подключения к интернет-провайдерам - «InetMe» (www.inetme.ru). 😎
Shodan впервые зафиксировал этот Elasticsearch аж 01.01.2018! 🤦🏻♂️
На сервере находятся два значимых индекса: coverage (745643 документов) и logs (612123 документов сейчас, 541449 – больше месяца назад).
В coverage содержится информация о том, какой провайдер доступен по какому адресу в каком городе (список городов есть у них на сайте):
"_index": "coverage",
"_type": "addrs",
"_source": {
"providerId": "420",
"addr": "г. КАЗАНЬ,ул. ГУДОВАНЦЕВА,1"
}
А индекс logs (как обычно это бывает с логами 😂) представляет куда больший интерес – тут собраны все заявки на подключение к интернету, которые посетители портала оставляли через форму на сайте:
{
"_index": "logs",
"_type": "data",
"created": "2019-04-16T07:28:27",
"denoscription": "Saving an email\nORDER_ID: 325388\nSUBJECT: \nBODY: ДИЛЕР *ИП Старковски*\r\nАдрес: Бурятия Респ г. Улан-Удэ ул. Ермаковская дом XXX кв XXX\r\nФИО: XXX XXX Эрдыниевна\r\nКонтактный телефон: +7-964-XXX-XX-XX \nДополн. телефон: \r\nУслуги: Для впечатлений\r\nКомментарий: \nFROM: null\nTO: XXX@gmail.com",
}
Всего около 3 тыс. таких заявок, начиная с 21.07.2018 и по сегодняшний день. 🙈
Shodan впервые зафиксировал этот Elasticsearch аж 01.01.2018! 🤦🏻♂️
На сервере находятся два значимых индекса: coverage (745643 документов) и logs (612123 документов сейчас, 541449 – больше месяца назад).
В coverage содержится информация о том, какой провайдер доступен по какому адресу в каком городе (список городов есть у них на сайте):
"_index": "coverage",
"_type": "addrs",
"_source": {
"providerId": "420",
"addr": "г. КАЗАНЬ,ул. ГУДОВАНЦЕВА,1"
}
А индекс logs (как обычно это бывает с логами 😂) представляет куда больший интерес – тут собраны все заявки на подключение к интернету, которые посетители портала оставляли через форму на сайте:
{
"_index": "logs",
"_type": "data",
"created": "2019-04-16T07:28:27",
"denoscription": "Saving an email\nORDER_ID: 325388\nSUBJECT: \nBODY: ДИЛЕР *ИП Старковски*\r\nАдрес: Бурятия Респ г. Улан-Удэ ул. Ермаковская дом XXX кв XXX\r\nФИО: XXX XXX Эрдыниевна\r\nКонтактный телефон: +7-964-XXX-XX-XX \nДополн. телефон: \r\nУслуги: Для впечатлений\r\nКомментарий: \nFROM: null\nTO: XXX@gmail.com",
}
Всего около 3 тыс. таких заявок, начиная с 21.07.2018 и по сегодняшний день. 🙈
Forwarded from DeviceLock RU
Авторская колонка в Форбс основателя и технического директора DeviceLock Ашота Оганесяна: 👇
https://www.forbes.ru/tehnologii/376499-bolezn-cifrovogo-mira-kak-zashchititsya-ot-utechek-personalnyh-dannyh
Каждую неделю появляются новости о том, что злоумышленники получили доступ к данным тысяч, а то и миллионов клиентов очередной компании. Есть ли прививка от этой напасти?
https://www.forbes.ru/tehnologii/376499-bolezn-cifrovogo-mira-kak-zashchititsya-ot-utechek-personalnyh-dannyh
Каждую неделю появляются новости о том, что злоумышленники получили доступ к данным тысяч, а то и миллионов клиентов очередной компании. Есть ли прививка от этой напасти?
Forbes.ru
Болезнь цифрового мира: как защититься от утечек персональных данных
Каждую неделю появляются новости о том, что злоумышленники получили доступ к данным тысяч, а то и миллионов клиентов очередной компании. Есть ли прививка от этой напасти?
Хакеры из KelvinSecTeam заявили, что они обнаружили записи звонков колл-центра оператора Мегафон.
Файлы в wav-формате были свободно доступны через веб-браузер по URL: http://5.59.141.13:8080/rec_incoming_call-center/
По нашему мнению, это никакой не колл-центр Мегафона, а база звонков какой-то службы такси, что косвенно подтверждается не только содержимым звонков, но и набором PHP-страниц, находившихся на этом же сервере. 😎
Сервер 5.59.141.13 с открытым портом 8080 находился в свободном доступе с 24.10.2017. 😂
Файлы в wav-формате были свободно доступны через веб-браузер по URL: http://5.59.141.13:8080/rec_incoming_call-center/
По нашему мнению, это никакой не колл-центр Мегафона, а база звонков какой-то службы такси, что косвенно подтверждается не только содержимым звонков, но и набором PHP-страниц, находившихся на этом же сервере. 😎
Сервер 5.59.141.13 с открытым портом 8080 находился в свободном доступе с 24.10.2017. 😂
Читатель канала прислал дополнительную информацию по «утечке из Мегафона», которая на самом деле утечка из службы такси «Али такси» (https://play.google.com/store/apps/details?id=ru.alitaxi.app&hl=ru).
Сервер таксистов снова заработал и их колл-центр принимает звонки, за которыми можно наблюдать тут: 😂👍
http://5.59.141.13:8080/queue_callcenter.php
Сервер таксистов снова заработал и их колл-центр принимает звонки, за которыми можно наблюдать тут: 😂👍
http://5.59.141.13:8080/queue_callcenter.php
Когда белки-истерички, не сильно разбирающиеся в теме, пытаются писать про утечки, получается не очень. 😂 За утечки принимаются свободно доступные данные, но полученные не через поисковик типа Google, а немного извращенным способом. В данном случае речь идет про пост в Telegram-канале «Сайберсекьюрити и Ко» под названием «ГосУслуги — документы в открытом доступе»: https://telegra.ph/Vnutrennie-dokumenty-portala-GosUslugi-okazalis-v-otkrytom-dostupe-05-23.
Что мы имеем по факту – 13-го мая якобы украинские хакеры (про них писалось тут https://news.1rj.ru/str/dataleak/926) написали про данную «утечку»: https://telegra.ph/Atakovano-sajt-derzhposlug-RF-05-12.
Эти мамкины хакеры неоднократно попадались на том, что принимали за утечки свободно доступные (https://news.1rj.ru/str/dataleak/975) и даже тестовые данные (https://news.1rj.ru/str/dataleak/946). Уже никто из специалистов не «покупается» на их находки. Но в среде истеричных блогеров видимо они еще обладают определенным авторитетом. 🤦♂️
Что мы имеем по факту – 13-го мая якобы украинские хакеры (про них писалось тут https://news.1rj.ru/str/dataleak/926) написали про данную «утечку»: https://telegra.ph/Atakovano-sajt-derzhposlug-RF-05-12.
Эти мамкины хакеры неоднократно попадались на том, что принимали за утечки свободно доступные (https://news.1rj.ru/str/dataleak/975) и даже тестовые данные (https://news.1rj.ru/str/dataleak/946). Уже никто из специалистов не «покупается» на их находки. Но в среде истеричных блогеров видимо они еще обладают определенным авторитетом. 🤦♂️
В Уфе начато расследование уголовного дела в отношении 31-летней сотрудницы банка.
Женщина скопировала данные клиентов и отправила их себе на почту. 🤦♂️🤦🏻♂️ Позже она передала эти данные сотруднику другого банка.
За разглашение сведений, составляющих банковскую тайну, бывшей сотруднице банка грозит наказание либо в виде штрафа, принудительных работ, либо, в самом крайнем случае - лишения свободы.
Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: 👇
https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html
Женщина скопировала данные клиентов и отправила их себе на почту. 🤦♂️🤦🏻♂️ Позже она передала эти данные сотруднику другого банка.
За разглашение сведений, составляющих банковскую тайну, бывшей сотруднице банка грозит наказание либо в виде штрафа, принудительных работ, либо, в самом крайнем случае - лишения свободы.
Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: 👇
https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html
Киберпротект
Защита от утечки конфиденциальных данных - DLP-система Кибер Протего.
DLP-система Кибер Протего предотвращает утечку конфиденциальной информации, контролирует передачу данных и позволяет обнаруживать нарушения политики их хранения.
Суд принял решение отправить под арест начальника отдела по расследованию дорожно-транспортных происшествий СУ УМВД России по г. Омску Алексея Липина.
По данным Следственного комитета, в отношении Алексея Липина заведено уголовное дело по ч.2, ч.3 ст. 290 УК РФ (получение взятки).
Липин передавал своему знакомому адвокату персональные данные омичей, пострадавших в ДТП, а самих потерпевших убеждал обратиться за оказанием юридической помощи именно к этому адвокату.
По данным Следственного комитета, в отношении Алексея Липина заведено уголовное дело по ч.2, ч.3 ст. 290 УК РФ (получение взятки).
Липин передавал своему знакомому адвокату персональные данные омичей, пострадавших в ДТП, а самих потерпевших убеждал обратиться за оказанием юридической помощи именно к этому адвокату.
Мамкины хакеры из THack3forU подбросили список работающих URL с сайта межведомственного электронного взаимодействия (smev.gosuslugi.ru). Ничего интересного по ссылкам найти не удалось – обычные распоряжения правительства, образцы заявок на доступ, руководства пользователей и т.п. документы, не содержащие никакой критичной информации.
Однако, для истеричных блогеров (https://news.1rj.ru/str/dataleak/1051) это может быть неплохим кормом: 😂
http://smev.gosuslugi.ru/portal/api/files/get/000423
http://smev.gosuslugi.ru/portal/api/files/get/000424
http://smev.gosuslugi.ru/portal/api/files/get/000425
http://smev.gosuslugi.ru/portal/api/files/get/000426
(полный список можно скачать тут: https://news.1rj.ru/str/ukraine_matrix/133)
Однако, для истеричных блогеров (https://news.1rj.ru/str/dataleak/1051) это может быть неплохим кормом: 😂
http://smev.gosuslugi.ru/portal/api/files/get/000423
http://smev.gosuslugi.ru/portal/api/files/get/000424
http://smev.gosuslugi.ru/portal/api/files/get/000425
http://smev.gosuslugi.ru/portal/api/files/get/000426
(полный список можно скачать тут: https://news.1rj.ru/str/ukraine_matrix/133)
Хозяйке на заметку: обновился весьма полезный скрипт на питоне для поиска в Shodan открытых баз – LeakLooker: 👇
https://github.com/woj-ciech/LeakLooker
Во второй версии кроме баз Elasticsearch, CouchDB, MongoDB и Kibana добавлен поиск SMB, Gitlab, Rsync, Jenkins и Sonarqube. 👍
Про то, как исследователи обнаруживают открытые базы данных Elasticsearch и MongoDB читайте тут: 👇
https://www.devicelock.com/ru/blog/obnaruzhenie-otkrytyh-baz-dannyh-mongodb-i-elasticsearch.html
https://github.com/woj-ciech/LeakLooker
Во второй версии кроме баз Elasticsearch, CouchDB, MongoDB и Kibana добавлен поиск SMB, Gitlab, Rsync, Jenkins и Sonarqube. 👍
Про то, как исследователи обнаруживают открытые базы данных Elasticsearch и MongoDB читайте тут: 👇
https://www.devicelock.com/ru/blog/obnaruzhenie-otkrytyh-baz-dannyh-mongodb-i-elasticsearch.html
Вчера вечером система DeviceLock Data Breach Intelligence (подробнее тут: https://www.devicelock.com/ru/press/devicelock-sozdal-ii-dlya-razvedki-uyazvimostej-hraneniya-dannyh.html) обнаружила свободно доступный сервер Elasticsearch с логами поисковой системы Maxwell Expert (www.maxwell.expert), отображающей актуальное состояние цен у поставщиков топлива по всей России.
Сама поисковая система по ценам на нефтепродукты – бесплатная, но регулярная рассылка цен по СМС и в Telegram стоит 990 рублей в месяц.
Именно логины и текстовые пароли от личных кабинетов платных пользователей этой системы и были найдены в логах, хранящихся в многочисленных индексах с именами начинающимися на «registration-» (например, registration-2019.05.25): 🤦♂️👇
message": "Request starting HTTP/1.1 GET http://registration.maxwell.expert/registration/sign-up-confirm?email=XXX%40gmail.com&password=YYY&token=ZZZ
Всего в открытом доступе находилось более 500 пар логин/пароль. 🙈
Сервис был оповещен о проблеме 26.05.2019 в 21:58 (МСК) и сегодня в промежутке 10:30-15:00 исчез из свободного доступа.
Впервые Shodan зафиксировал Elasticseach на этом сервере 27.01.2019.
Сама поисковая система по ценам на нефтепродукты – бесплатная, но регулярная рассылка цен по СМС и в Telegram стоит 990 рублей в месяц.
Именно логины и текстовые пароли от личных кабинетов платных пользователей этой системы и были найдены в логах, хранящихся в многочисленных индексах с именами начинающимися на «registration-» (например, registration-2019.05.25): 🤦♂️👇
message": "Request starting HTTP/1.1 GET http://registration.maxwell.expert/registration/sign-up-confirm?email=XXX%40gmail.com&password=YYY&token=ZZZ
Всего в открытом доступе находилось более 500 пар логин/пароль. 🙈
Сервис был оповещен о проблеме 26.05.2019 в 21:58 (МСК) и сегодня в промежутке 10:30-15:00 исчез из свободного доступа.
Впервые Shodan зафиксировал Elasticseach на этом сервере 27.01.2019.
Входящая в Fortune 500 американская страховая компания First American Financial Corp., занимающаяся страхованием сделок с недвижимостью, допустила утечку более чем 885 млн. документов через свой вебсайт. 🔥🔥
Банковские счета, выписки и транзакции, налоговые данные и данные по ипотечным кредитам, номера социального страхования (SSN), сканы водительских удостоверений и многое другое было свободно доступно через обычный браузер любому, кто знал определенный URL с числовым идентификатором. Изменяя этот идентификатор можно было получить другой документ с сайта компании. 🤦♂️🤦🏻♂️
Было установлено, что минимальный идентификатор документа (за 2003 год) это 000000075. На 24-е мая этого года перебором можно было получить более 885 млн. документов.
В данном случае мы видим пример, когда IDOR-уязвимость приводит к утечке действительно чувствительных данных, а не как в случае с «псевдо-утечкой» с сайта межведомственного электронного взаимодействия (подробнее тут https://news.1rj.ru/str/dataleak/1051). 😂
Недавние случаи IDOR-уязвимостей и перебора URL, приведшие к утечкам данных:
✅ Radario (https://news.1rj.ru/str/dataleak/1012) - для учета проданных билетов использовалась сквозная нумерация заказов и простым перебором номера билета (XXXXXXXX) или заказа (YYYYYYY), можно было получить все билеты из системы.
✅ Бинбанк (https://news.1rj.ru/str/dataleak/957) - нашелся способ как перебором утащить данные желающих открыть карту «Эlixir», прямо из заполненных форм на сайте банка.
✅ Российский университет транспорта (https://news.1rj.ru/str/dataleak/885) - перебором «Табельных номеров» можно получить до полумиллиона записей.
✅ Доктор рядом (https://news.1rj.ru/str/dataleak/855) - сервис использовал сквозную нумерацию отчетов и из этих номеров уже формировал URL. После того как пользователь заходил в систему он мог сразу, меняя URL в адресной строке своего браузера, просматривать отчеты, содержащие персональные данные пациентов и в некоторых случаях даже диагнозы.
Банковские счета, выписки и транзакции, налоговые данные и данные по ипотечным кредитам, номера социального страхования (SSN), сканы водительских удостоверений и многое другое было свободно доступно через обычный браузер любому, кто знал определенный URL с числовым идентификатором. Изменяя этот идентификатор можно было получить другой документ с сайта компании. 🤦♂️🤦🏻♂️
Было установлено, что минимальный идентификатор документа (за 2003 год) это 000000075. На 24-е мая этого года перебором можно было получить более 885 млн. документов.
В данном случае мы видим пример, когда IDOR-уязвимость приводит к утечке действительно чувствительных данных, а не как в случае с «псевдо-утечкой» с сайта межведомственного электронного взаимодействия (подробнее тут https://news.1rj.ru/str/dataleak/1051). 😂
Недавние случаи IDOR-уязвимостей и перебора URL, приведшие к утечкам данных:
✅ Radario (https://news.1rj.ru/str/dataleak/1012) - для учета проданных билетов использовалась сквозная нумерация заказов и простым перебором номера билета (XXXXXXXX) или заказа (YYYYYYY), можно было получить все билеты из системы.
✅ Бинбанк (https://news.1rj.ru/str/dataleak/957) - нашелся способ как перебором утащить данные желающих открыть карту «Эlixir», прямо из заполненных форм на сайте банка.
✅ Российский университет транспорта (https://news.1rj.ru/str/dataleak/885) - перебором «Табельных номеров» можно получить до полумиллиона записей.
✅ Доктор рядом (https://news.1rj.ru/str/dataleak/855) - сервис использовал сквозную нумерацию отчетов и из этих номеров уже формировал URL. После того как пользователь заходил в систему он мог сразу, меняя URL в адресной строке своего браузера, просматривать отчеты, содержащие персональные данные пациентов и в некоторых случаях даже диагнозы.
В феврале 2019 года администрация Засечного сельсовета (Пензенская область) опубликовала на своем сайте постановление о признании молодой семьи нуждающейся в жилом помещении.
Постановление содержало персональные данные членов семьи - ФИО, даты рождения, места жительства и регистрации. При этом члены этой семьи согласия на публикацию своих персональных данных не давали.
По постановлению прокурора ведущий специалист администрации Засечного сельсовета был оштрафован мировым судьей на 4 тысячи рублей за разглашение информации, доступ к которой ограничен федеральным законом.
Постановление содержало персональные данные членов семьи - ФИО, даты рождения, места жительства и регистрации. При этом члены этой семьи согласия на публикацию своих персональных данных не давали.
По постановлению прокурора ведущий специалист администрации Засечного сельсовета был оштрафован мировым судьей на 4 тысячи рублей за разглашение информации, доступ к которой ограничен федеральным законом.
24.04.2019 в 19:11 (МСК) наша система DeviceLock Data Breach Intelligence обнаружила открытую базу MongoDB, принадлежащую группе компаний «Центр противопожарной защиты» (cpz-nk.ru) из г. Новокузнецк (Кемеровская область). 🚒
В базе общим размером 863,9 Кб находилось более 1400 записей, содержащих:
🌵 10 внутренних пользователей CRM-системы (фамилия, имя, логин, хеш пароля/соль, адрес электронной почты, должность, фотография)
🌵 175 клиентов компании (ФИО, телефон, адрес электронной почты, название организации, должность, адрес и реквизиты организации)
🌵 193 контактов/лидов в работе (ФИО, статус, приоритет, название организации, ссылки на договора, вид оказываемых услуг и т.п.)
🌵 26 сотрудников компании (ФИО, дата рождения, телефон, образование, должность, фотография, категория водительского удостоверения, аттестации, рабочая смена, числовые показатели интеллекта, силы и духа)
🌵 57 событий/учений (дата, время начала и окончания, название, описание, задействованные сотрудники и транспорт)
🌵 105 объектов (GPS-координаты, адрес, название, ФИО, телефон и должность контактного лица)
🌵 9 транспортных средств (госномер, инвентаризационный номер, фотография, дата выпуска)
🌵 560 оборудования (название, описание, инвентаризационный номер, место нахождение и т.п.)
🌵 и многое другое…
В тот же день в 19:47 мы оповестили компанию, но ответа от них так никогда и не получили. База оставалась свободно доступной (и изменялась) вплоть до 16.05.2019. 🐏
11.05.2019 эту базу обнаружили хакеры из группировки Unistellar (про них тут: https://news.1rj.ru/str/dataleak/1017) и немного ее «подправили». 😂🤦♂️
В Shodan база находилась с 19.03.2019. 👍
В базе общим размером 863,9 Кб находилось более 1400 записей, содержащих:
🌵 10 внутренних пользователей CRM-системы (фамилия, имя, логин, хеш пароля/соль, адрес электронной почты, должность, фотография)
🌵 175 клиентов компании (ФИО, телефон, адрес электронной почты, название организации, должность, адрес и реквизиты организации)
🌵 193 контактов/лидов в работе (ФИО, статус, приоритет, название организации, ссылки на договора, вид оказываемых услуг и т.п.)
🌵 26 сотрудников компании (ФИО, дата рождения, телефон, образование, должность, фотография, категория водительского удостоверения, аттестации, рабочая смена, числовые показатели интеллекта, силы и духа)
🌵 57 событий/учений (дата, время начала и окончания, название, описание, задействованные сотрудники и транспорт)
🌵 105 объектов (GPS-координаты, адрес, название, ФИО, телефон и должность контактного лица)
🌵 9 транспортных средств (госномер, инвентаризационный номер, фотография, дата выпуска)
🌵 560 оборудования (название, описание, инвентаризационный номер, место нахождение и т.п.)
🌵 и многое другое…
В тот же день в 19:47 мы оповестили компанию, но ответа от них так никогда и не получили. База оставалась свободно доступной (и изменялась) вплоть до 16.05.2019. 🐏
11.05.2019 эту базу обнаружили хакеры из группировки Unistellar (про них тут: https://news.1rj.ru/str/dataleak/1017) и немного ее «подправили». 😂🤦♂️
В Shodan база находилась с 19.03.2019. 👍
А помните мы писали (тут: https://news.1rj.ru/str/dataleak/961), как в открытом доступе оказались все подробности платежей в пользу ГИБДД и ФССП пользователей сайтов оплатагибдд.рф, paygibdd.ru, gos-oplata.ru, штрафов.net и oplata-fssp.ru? 😎
На Хабре даже есть более подробная статья про эту утечку: «Сотни тысяч платежей граждан в ГИБДД и ФССП находились в открытом доступе».
Вы не поверите, но это случилось опять! Или снова. Тут с какой стороны посмотреть на эту проблему. 🤦♂️🤦🏻♂️😱
21.05.2019 тот же самый (что и первый раз) сервер Elasticsearch, с теми же самыми (плюс новые) индексами снова появляется в открытом доступе.
В первый раз, после нашего оповещения, сервер «тихо» был убран из свободного доступа 13.04.2019 около 15:20-15:45 (МСК). После этого этот IP-адрес сканировался Shodan'ом 11 раз и Elasticsearch не был доступен вплоть до 21.05.2019 15:59.
22.05.2019 в 1:25 мы оповестили владельцев о проблеме и вплоть до утра 24.05 Elasticsearch оставался открытым. 🙈
За промежуток с 01.05 по 22.05 в индексах было доступно:
✅ 127525 записей в индексе paygibdd
✅ 49627 записей в индексе shtrafov-net
✅ 162282 записей в индексе oplata-fssp
✅ 220201 записей в индексе gosoplata
Напомним, что в индексах содержалось: номер постановления о штрафе, государственный номерной знак автомобиля, номер исполнительного производства при платеже на сайте службы судебных приставов, первые и последние цифры банковских карт, через какой платёжный сервис произведена оплата и пр. 🔥
24.05 мы получили такое сообщение:
Получили Ваше письмо про открытый ElasticSearch - спасибо за информацию, базу данных закрыли. Системный администратор, повторно открывший доступ, уволен. Также юрслужба готовит к направлению в МВД по Республике Татарстан Заявление о признаках наличия в действиях системного администратора состава по 272 и 273 статьям УК РФ.
На Хабре даже есть более подробная статья про эту утечку: «Сотни тысяч платежей граждан в ГИБДД и ФССП находились в открытом доступе».
Вы не поверите, но это случилось опять! Или снова. Тут с какой стороны посмотреть на эту проблему. 🤦♂️🤦🏻♂️😱
21.05.2019 тот же самый (что и первый раз) сервер Elasticsearch, с теми же самыми (плюс новые) индексами снова появляется в открытом доступе.
В первый раз, после нашего оповещения, сервер «тихо» был убран из свободного доступа 13.04.2019 около 15:20-15:45 (МСК). После этого этот IP-адрес сканировался Shodan'ом 11 раз и Elasticsearch не был доступен вплоть до 21.05.2019 15:59.
22.05.2019 в 1:25 мы оповестили владельцев о проблеме и вплоть до утра 24.05 Elasticsearch оставался открытым. 🙈
За промежуток с 01.05 по 22.05 в индексах было доступно:
✅ 127525 записей в индексе paygibdd
✅ 49627 записей в индексе shtrafov-net
✅ 162282 записей в индексе oplata-fssp
✅ 220201 записей в индексе gosoplata
Напомним, что в индексах содержалось: номер постановления о штрафе, государственный номерной знак автомобиля, номер исполнительного производства при платеже на сайте службы судебных приставов, первые и последние цифры банковских карт, через какой платёжный сервис произведена оплата и пр. 🔥
24.05 мы получили такое сообщение:
Получили Ваше письмо про открытый ElasticSearch - спасибо за информацию, базу данных закрыли. Системный администратор, повторно открывший доступ, уволен. Также юрслужба готовит к направлению в МВД по Республике Татарстан Заявление о признаках наличия в действиях системного администратора состава по 272 и 273 статьям УК РФ.