Про это мы писали в пятницу (https://news.1rj.ru/str/dataleak/1092). 😎

Данные клиентов ОТП-банка, Альфа-банка и ХКФ-банка оказались в открытом доступе. Утечка суммарно затрагивает интересы примерно 900 тыс. россиян, чьи имена, телефоны, паспорта и место работы теперь при желании может узнать каждый. Базы были выложены в конце мая, данные в них собирались несколько лет назад, но существенная часть информации сохраняет актуальность.

Две утечки данных о клиентах Альфа-банка обнаружила в пятницу DeviceLock. В одной из баз содержатся данные о более чем 55 тыс. клиентов, включая их ФИО, телефоны (мобильный, домашний и рабочий), адрес проживания и место работы. В DeviceLock осторожно датируют ее 2014–2015 годами. Вторая база содержит всего 504 записи, но она интересна тем, что датируется 2018–2019 годами, а помимо ФИО и телефонов содержит такие данные, как год рождения, паспортные данные, обслуживающее отделение Альфа-банка, а также остаток на счете, ограниченный диапазоном 130–160 тыс. руб.

https://www.kommersant.ru/doc/3997757

Ситуация с банковскими базами, про которые мы написали в пятницу (https://news.1rj.ru/str/dataleak/1092) приобретает отчетливые формы истерики. Вот, например, Роскомнадзор:

Роскомнадзор анализирует ситуацию с утечкой данных 900 тысяч клиентов "Альфа Банка", "ХКФ Банка" и "ОТП Банка", если будут основания, то обратится в Генпрокуратуру, говорится в сообщении пресс-службы ведомства, поступившем в "Интерфакс".

"Мы взяли у издания "Коммерсантъ" ссылки на эти базы и всю необходимую фактуру, в данный момент анализируем ситуацию. На первый взгляд, она выглядит вопиющей - конечно, нахождение такого количества личных данных, в таком объеме, создает большие риски нарушения прав граждан", - отмечается в сообщении.

По нашему мнению, бороться надо не со следствием (размещением «сливов» на форумах), а с причиной (воровством данных из компаний и банков). Но до тех пор, пока в службах безопасности правят «вахтеры», предпочитающие наблюдать за утечками и расследовать уже случившиеся инциденты, а не предотвращать их с помощью превентивных блокировок, мы все будем наблюдать «сливы» наших данных. Кого в наше время останавливал РКН своими блокировками? 😂

В конце апреля наша автоматизированная система DeviceLock Data Breach Intelligence обнаружила в открытом доступе базу данных MongoDB, принадлежащую Белгородскому государственному аграрному университету имени В.Я. Горина (bsaa.edu.ru).

В тот же день, 26-го апреля, в 13:05 (МСК) мы оповестили владельца сервера о проблеме, но из свободного доступа базу убрали только 11-го мая. По данным Shodan, эта база, не требующая аутентификации для подключения, впервые «засветилась» 31.10.2018. 🤦🏻‍♂️🤦‍♂️🙈

В базе содержалось 1.2 млн. записей общим размером более 470 Мб.

В числе свободно доступных записей были:

🌵 12346 пользователей (фамилия/имя, иностранный язык, признак студент или преподаватель, научная степень, должность, кафедра и т.п.)

🌵 6663 платежных документа (номер договора, ФИО, дата оплаты, сумма, адрес студента)

🌵 тысячи записей с расписанием занятий, отметками успеваемости студентов и многое другое.

{
"_id" : "7bb72a93-fb52-4bcb-9813-e9035470bc21",
"principalId" : "b267dcaa-3002-11e7-b073-000c29774d01",
"subject" : "Договор на оказание образовательных услуг",
"text" : "ST00012|Name=л/с 20266X43750 ФГБОУ ВО \"Белгородский ГАУ\"|PersonalAcc=40501810014032000002|BankName=Отделение Белгород г. Белгород|BIC=Отделение Белгород г. Белгород|CorrespAcc=|PayeeINN=31020054 |KPP=31020054 |OKTMO=|CBC=00000000000000000130|TechCode=001|Sum=2700000|Purpose=За обучение|Contract=1379|DocDate= 22-08-2017|ChildFio=ХХХ Артур ХХХ|LastName=ХХХ|FirstName=Артур|MiddleName=ХХХ|payerAddress=ХХХ",
"qrCodeFileName" : "e4986b6c-7686-4df6-bab8-399a63431fc1.png",
"isPaid" : false,
"planDate" : ISODate("2017-08-19T21:00:00.000+0000"),
"_class" : "org.university.domain.entities.Payment"
}

(мы заменили чувствительные данные на символы «Х»)

И еще про утечки из ВУЗов…

В Мурманской области обнаружили свалку дипломов и личных дел «Международного института бизнес-образования» (ранее «Мурманский Гуманитарный Институт»), который был лишен аккредитации в 2016 году.

Центральный аппарат прокуратуры Мурманской области дал поручение прокурору Кольского района провести проверку по факту обнаружения документов.

На прошлой неделе издание Коммерсантъ сообщило, что «базы клиентов Street Beat и Sony Centre оказались в открытом доступе», но на самом деле все гораздо хуже, чем написано в статье.

https://habr.com/ru/post/455792/

В свободном доступе появились данные по транзакциям пользователей приложения Venmo. Venmo (принадлежит PayPal) это сервис социальных платежей, который используют миллионы людей для совершения платежей и перечисления средств друзьям и родственникам.

Данные были скачены из базы MongoDB, явно оставленной Venmo без аутентификации. 🙈

Доступно 7,076,585 записей в файле формата BSON, общим размером 10,3 Гб. Все платежи относятся к периоду с июля 2018 по февраль 2019.

По каждой транзакции доступна следующая информация:

🌵 логин пользователя, его имя и фамилия
🌵 размер платежа
🌵 адрес электронной почты
🌵 номер телефона
🌵 ссылка на фотографию из профиля
🌵 дата

Следует отметить, что данная база — это не компиляция из публичных транзакций, доступных каждому по ссылке https://venmo.com/api/v5/public, в ней содержатся не публичные транзакции пользователей Venmo.

Обнаружили открытое AWS-хранилище, принадлежащее крупном индийскому интернет магазину детских товаров www.firstcry.com. 🤦🏻‍♂️

Хранилище содержит более 300 тыс. файлов, большинство в формате PDF. В файлах находятся инвойсы (иногда в отсканированном виде), банковские выписки по счетам физлиц и другие документы.

Про то, как обнаруживают открытые облачные хранилища Amazon S3 можно почитать тут:👇
https://www.devicelock.com/ru/blog/kak-obnaruzhivayut-otkrytye-oblachnye-hranilischa-amazon.html

Вот такие "красивые" документы валяются в открытом доступе у www.firstcry.com 😂

Поправка к новости про Venmo (https://news.1rj.ru/str/dataleak/1099)! 👇

Все-таки это оказалась не утечка из открытой MongoDB, а собранные записи через публичный API.

Скачать можно по этой ссылке:
https://github.com/sa7mon/venmo-data

24-го апреля обнаружили очередной сервер Elasticsearch, который «валялся» в свободном доступе аж с 08.09.2018! 🙈🤦🏻‍♂️

Выяснили, что этот сервер принадлежит облачному сервису LOGINET (loginet.ru), предназначенному для автоматизации процессов транспортной логистики.

На сервере хранились логи сервиса начиная с апреля 2017 и по апрель 2019.

Из логов можно было получить заявки пользователей сервиса на перевозки (содержащие описание, статус, адрес электронной почты и т.п.) :

"subject": "Начало исполнения заявки",
"@timestamp": "2019-04-18T21:04:22.022Z",
"body": "По заявке №\"авто Карнеты Финспонг - Светогорск\" не начато исполнение. Просьба указать информацию по водителю, транспортному средству и приступить к исполнению заявки",
"recipients": "ХХХ@mum-net.ru",

"@timestamp": "2019-04-19T03:33:52.363Z",
"body": "<h2>Уважаемые господа,</h2>\r\n<p>Компанией ООО \"МГЛ\" объявлен новый тендер в системе Loginet, и Вы приглашены к участию.</p>\r\n<p>Тендер: <b>Тендер № 438 10т возврат из регионов 23.04</b>.</p>\r\n<p>Тип проведения: Закрытый запрос цен.</p>\r\n<p>Закупаемые услуги: Междугородняя перевозка.</p>\r\n<p>Период размещения предложений: с 19.04.2019 09:29 по 21.04.2019 15:00 (UTC+03:00) Москва, Санкт-Петербург, Волгоград.</p>\r\n<p>С более подробной информацией о проводимом тендере вы сможете ознакомиться в системе Loginet в разделе Приглашения модуля Тендерный брокер.</p>\r\n<p>Пожалуйста, не отвечайте на данное сообщение, т.к. оно создано автоматически.</p>\r\n<p>С уважением, команда Loginet</p>\r\n<p>http://www.loginet.ru</p>",
"recipients": "ХХХ@fmlogistic.com",

24.04.2019 оповестили LOGINET о проблеме и 29.04.2019 они наконец убрали этот сервер из открытого доступа. 😂

12.06 обнаружили тестовый сервер (с именем riams-test11.rkomi.ru) со свободно доступным Elasticsearch, принадлежащий Государственному автономному учреждению Республики Коми «Центр информационных технологий» (adm.rkomi.ru/page/16189/).

Однако, спустя несколько часов сервер исчез из открытого доступа.

В индексе patients содержались тестовые записи с явно вымышленными ФИО владельцев полисов обязательного медицинского страхования (ОМС):

"name": "ИЛОЛЯ",
"surname": "ЖЮЖЭЖУЕВА",
"patronymic": "ИНЭДИВНА",

А также номера документов (паспорта, СНИЛС, удостоверения МВД, номера полисов ОМС старого и нового образцов) и даты рождения/смерти.

{
"series": "ХХХ",
"number": "ХХХХХХ",
"type": "IDENTY_BENEFIT",
"issueDate": "03.11.2015",
"expireDate": "02.11.2019",
"is_identity": false,
"is_insurance": false,
"issuer": "МВД по РК (УСП и ИЦГБ)",
"typeName": "Удостоверение"
},

Ничего не можем сказать про подлинность номеров остальных документов, но номера полисов ОМС проходили проверку на сайте Территориального фонда обязательного медицинского страхования Республики Коми (komifoms.ru/polzovatelskie-servisy/proverka-polisa-obyazatelnogo-meditsinskogo-strakhovaniya). 😎

{
"number": "161ХХХХХХ",
"type": "MHI_TEMP",
"priority": 2,
"code": null,
"issueDate": "28.12.2018",
"expireDate": "02.11.2019",
"is_identity": false,
"is_insurance": true,
"issuer": "ФИЛИАЛ ООО \"КАПИТАЛ МС\" В РЕСПУБЛИКЕ КОМИ",
"typeName": "Временное свидетельство, подтверждающее оформление полиса обязательного медицинского страхования"
}

Судя по данным Shodan, данный сервер Elasticsearch постоянно, то попадает в открытый доступ, то исчезает из него. В этот раз он «попался» 21.05.2019, а до этого 20.11.2018. 🙈

Проверка номера полиса ОМС на сайте Территориального фонда обязательного медицинского страхования Республики Коми. 😎

Бот, который по адресу эл. почты ищет утекшие пароли: @mailsearchbot. Выдает только первые 40 паролей. 👍

Суть та же, что и у сервиса www.leakcheck.net, про который мы писали в заметке про анализ утекших паролей: https://news.1rj.ru/str/dataleak/983

Размер базы у бота неизвестен. По нашим контрольным тестам видно, что размер базы у www.leakcheck.net явно больше (выдается больше паролей на одни и те же адреса).

В пригородном лесу Бийска была обнаружена свалка документов с персональными данными жителей города - отчетные ведомости и сведения о доходах физических лиц с персональными данными сотрудников ООО «Монолит-1», зарегистрированного в Новосибирской области. Предприятие было ликвидировано в декабре 2016 года.

6-го июня обнаружили открытое облачное хранилище Amazon S3 (AWS), принадлежащее индийскому сервису микрокредитования RupeeRedee (rupeeredee.com).

В хранилище rupeeredee.s3.amazonaws.com в свободном доступе (по прямым URL) располагались файлы со сканами документов граждан.

После нашего уведомления через Twitter файлы были убраны из открытого доступа. А вот индийскому интернет магазину firstcry.com, похоже нет никакого дела до того, что персональные данные их клиентов находятся в свободном доступе (https://news.1rj.ru/str/dataleak/1100) и на наше оповещение они не реагируют. 🤦🏻‍♂️

Про то, как обнаруживают открытые облачные хранилища Amazon S3 можно почитать тут:👇
https://www.devicelock.com/ru/blog/kak-obnaruzhivayut-otkrytye-oblachnye-hranilischa-amazon.html

Из каждого утюга сегодня полилась «новость» про бота, ищущего пароли (https://news.1rj.ru/str/dataleak/1107) по электронной почте. 😂

На наш взгляд большего внимания заслуживает другой бот - @LeakCheckBot. Он позволяет искать пароли не только по адресам электронной почты, но и по номерам мобильных телефонов, логинам и даже по аккаунтам Minecraft.

Автоматизированная система DeviceLock Data Breach Intelligence обнаружила свободно доступный сервер Elasticsearch с индексом boxberry.

Как понятно из названия индекса, в нем находились данные службы доставки Boxberry (boxberry.ru) – 43,355 записей содержащих:

🌵 город/страну
🌵 название магазина
🌵 номер заказа
🌵 номер для отслеживания заказа («пробивался» на сайте Boxberry)
🌵 цену заказа
🌵 хешированный номер телефона и адрес электронной почты получателя
🌵 в некоторых случаях год рождения и пол получателя
🌵 адрес пункта выдачи заказа
🌵 описание заказа (например, «Серьги из позолоченного серебра с фигурным дизайном ASOS DESIGN»)

На первый взгляд никаких критичных (персональных) данных клиентов в открытый доступ не попало. Однако, нами было обнаружено, что для хеширования номеров телефонов и адресов электронной почты использовался «слабый» алгоритм MD5. Номера телефонов взламывались практически мгновенно (менее секунды) по препросчитанным таблицам, т.к. содержали только цифры в формате 7XXXXXXXXXX. Для взлома хешей электронной почты требовалось чуть больше времени. 🤦🏻‍♂️🤦‍♂️

Сервер находился в свободном доступе с 17.02.2019. Мы оповестили Boxberry о проблеме и через 4 дня данные наконец стали недоступны.

По нашим предположениям данный сервер в открытом доступе оставила маркетинговая компания Aitarget (www.aitarget.com). SSL-сертификат именно этой компании был установлен на открытом сервере. Информация клиентов Boxberry скорее всего использовалась для таргетированной рекламы в соцсетях. 😂

Ленинский районный суд Курска рассматривает уголовное дело, главным фигурантом которого является бывший менеджер по продажам одного из банков, она обвиняется в неправомерном доступе к охраняемой законом компьютерной информации.

По версии следствия, обвиняемая осуществила от имени банка обработку персональных данных трех человек без их ведома и присутствия. Были выпущены карты, с которых потом снимались деньги. Ущерб превысил 1 миллион рублей.

Дебетовые карты российских банков, выпущенные на подставных лиц, являются одним из ходовых товаров на черном рынке. Про это мы писали в статье «Цены черного рынка на российские персональные данные».

67 документов (37 карт амбулаторного больного и 30 карт учета дополнительной диспансеризации работающих граждан) пациентов Центральной районной больницы Альметьевского района (Татарстан) были найдены на свалке.

На свалку документы попали вместе со строительным мусором, который вывозился из больницы вовремя капремонта 2017 года. 🙈

21-летняя бывшая сотрудница компании, оказывающей услуги связи на территории Брянска, имея доступ к базе персональных данных абонентов передала подруге сведения о телефонных соединениях ее жениха. 😂

В отношении бывшей сотрудницы возбудили дело по статье 138 УК РФ (нарушение тайны телефонных переговоров, совершенное с использованием служебного положения).

Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: 👇
https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html