24-го апреля обнаружили очередной сервер Elasticsearch, который «валялся» в свободном доступе аж с 08.09.2018! 🙈🤦🏻♂️
Выяснили, что этот сервер принадлежит облачному сервису LOGINET (loginet.ru), предназначенному для автоматизации процессов транспортной логистики.
На сервере хранились логи сервиса начиная с апреля 2017 и по апрель 2019.
Из логов можно было получить заявки пользователей сервиса на перевозки (содержащие описание, статус, адрес электронной почты и т.п.) :
"subject": "Начало исполнения заявки",
"@timestamp": "2019-04-18T21:04:22.022Z",
"body": "По заявке №\"авто Карнеты Финспонг - Светогорск\" не начато исполнение. Просьба указать информацию по водителю, транспортному средству и приступить к исполнению заявки",
"recipients": "ХХХ@mum-net.ru",
"@timestamp": "2019-04-19T03:33:52.363Z",
"body": "<h2>Уважаемые господа,</h2>\r\n<p>Компанией ООО \"МГЛ\" объявлен новый тендер в системе Loginet, и Вы приглашены к участию.</p>\r\n<p>Тендер: <b>Тендер № 438 10т возврат из регионов 23.04</b>.</p>\r\n<p>Тип проведения: Закрытый запрос цен.</p>\r\n<p>Закупаемые услуги: Междугородняя перевозка.</p>\r\n<p>Период размещения предложений: с 19.04.2019 09:29 по 21.04.2019 15:00 (UTC+03:00) Москва, Санкт-Петербург, Волгоград.</p>\r\n<p>С более подробной информацией о проводимом тендере вы сможете ознакомиться в системе Loginet в разделе Приглашения модуля Тендерный брокер.</p>\r\n<p>Пожалуйста, не отвечайте на данное сообщение, т.к. оно создано автоматически.</p>\r\n<p>С уважением, команда Loginet</p>\r\n<p>http://www.loginet.ru</p>",
"recipients": "ХХХ@fmlogistic.com",
24.04.2019 оповестили LOGINET о проблеме и 29.04.2019 они наконец убрали этот сервер из открытого доступа. 😂
Выяснили, что этот сервер принадлежит облачному сервису LOGINET (loginet.ru), предназначенному для автоматизации процессов транспортной логистики.
На сервере хранились логи сервиса начиная с апреля 2017 и по апрель 2019.
Из логов можно было получить заявки пользователей сервиса на перевозки (содержащие описание, статус, адрес электронной почты и т.п.) :
"subject": "Начало исполнения заявки",
"@timestamp": "2019-04-18T21:04:22.022Z",
"body": "По заявке №\"авто Карнеты Финспонг - Светогорск\" не начато исполнение. Просьба указать информацию по водителю, транспортному средству и приступить к исполнению заявки",
"recipients": "ХХХ@mum-net.ru",
"@timestamp": "2019-04-19T03:33:52.363Z",
"body": "<h2>Уважаемые господа,</h2>\r\n<p>Компанией ООО \"МГЛ\" объявлен новый тендер в системе Loginet, и Вы приглашены к участию.</p>\r\n<p>Тендер: <b>Тендер № 438 10т возврат из регионов 23.04</b>.</p>\r\n<p>Тип проведения: Закрытый запрос цен.</p>\r\n<p>Закупаемые услуги: Междугородняя перевозка.</p>\r\n<p>Период размещения предложений: с 19.04.2019 09:29 по 21.04.2019 15:00 (UTC+03:00) Москва, Санкт-Петербург, Волгоград.</p>\r\n<p>С более подробной информацией о проводимом тендере вы сможете ознакомиться в системе Loginet в разделе Приглашения модуля Тендерный брокер.</p>\r\n<p>Пожалуйста, не отвечайте на данное сообщение, т.к. оно создано автоматически.</p>\r\n<p>С уважением, команда Loginet</p>\r\n<p>http://www.loginet.ru</p>",
"recipients": "ХХХ@fmlogistic.com",
24.04.2019 оповестили LOGINET о проблеме и 29.04.2019 они наконец убрали этот сервер из открытого доступа. 😂
12.06 обнаружили тестовый сервер (с именем riams-test11.rkomi.ru) со свободно доступным Elasticsearch, принадлежащий Государственному автономному учреждению Республики Коми «Центр информационных технологий» (adm.rkomi.ru/page/16189/).
Однако, спустя несколько часов сервер исчез из открытого доступа.
В индексе patients содержались тестовые записи с явно вымышленными ФИО владельцев полисов обязательного медицинского страхования (ОМС):
"name": "ИЛОЛЯ",
"surname": "ЖЮЖЭЖУЕВА",
"patronymic": "ИНЭДИВНА",
А также номера документов (паспорта, СНИЛС, удостоверения МВД, номера полисов ОМС старого и нового образцов) и даты рождения/смерти.
{
"series": "ХХХ",
"number": "ХХХХХХ",
"type": "IDENTY_BENEFIT",
"issueDate": "03.11.2015",
"expireDate": "02.11.2019",
"is_identity": false,
"is_insurance": false,
"issuer": "МВД по РК (УСП и ИЦГБ)",
"typeName": "Удостоверение"
},
Ничего не можем сказать про подлинность номеров остальных документов, но номера полисов ОМС проходили проверку на сайте Территориального фонда обязательного медицинского страхования Республики Коми (komifoms.ru/polzovatelskie-servisy/proverka-polisa-obyazatelnogo-meditsinskogo-strakhovaniya). 😎
{
"number": "161ХХХХХХ",
"type": "MHI_TEMP",
"priority": 2,
"code": null,
"issueDate": "28.12.2018",
"expireDate": "02.11.2019",
"is_identity": false,
"is_insurance": true,
"issuer": "ФИЛИАЛ ООО \"КАПИТАЛ МС\" В РЕСПУБЛИКЕ КОМИ",
"typeName": "Временное свидетельство, подтверждающее оформление полиса обязательного медицинского страхования"
}
Судя по данным Shodan, данный сервер Elasticsearch постоянно, то попадает в открытый доступ, то исчезает из него. В этот раз он «попался» 21.05.2019, а до этого 20.11.2018. 🙈
Однако, спустя несколько часов сервер исчез из открытого доступа.
В индексе patients содержались тестовые записи с явно вымышленными ФИО владельцев полисов обязательного медицинского страхования (ОМС):
"name": "ИЛОЛЯ",
"surname": "ЖЮЖЭЖУЕВА",
"patronymic": "ИНЭДИВНА",
А также номера документов (паспорта, СНИЛС, удостоверения МВД, номера полисов ОМС старого и нового образцов) и даты рождения/смерти.
{
"series": "ХХХ",
"number": "ХХХХХХ",
"type": "IDENTY_BENEFIT",
"issueDate": "03.11.2015",
"expireDate": "02.11.2019",
"is_identity": false,
"is_insurance": false,
"issuer": "МВД по РК (УСП и ИЦГБ)",
"typeName": "Удостоверение"
},
Ничего не можем сказать про подлинность номеров остальных документов, но номера полисов ОМС проходили проверку на сайте Территориального фонда обязательного медицинского страхования Республики Коми (komifoms.ru/polzovatelskie-servisy/proverka-polisa-obyazatelnogo-meditsinskogo-strakhovaniya). 😎
{
"number": "161ХХХХХХ",
"type": "MHI_TEMP",
"priority": 2,
"code": null,
"issueDate": "28.12.2018",
"expireDate": "02.11.2019",
"is_identity": false,
"is_insurance": true,
"issuer": "ФИЛИАЛ ООО \"КАПИТАЛ МС\" В РЕСПУБЛИКЕ КОМИ",
"typeName": "Временное свидетельство, подтверждающее оформление полиса обязательного медицинского страхования"
}
Судя по данным Shodan, данный сервер Elasticsearch постоянно, то попадает в открытый доступ, то исчезает из него. В этот раз он «попался» 21.05.2019, а до этого 20.11.2018. 🙈
Forwarded from SecurityLab.ru
Всех участников конкурса ждут ценные призы и подарки от компаний Лаборатория Касперского, Учебный центр «Информзащита», Keenetic, Positive Technologies, Инфосистемы Джет, HideMy.name , а победителю конкурса будет вручен главный приз от компании Palo Alto Networks.
https://www.securitylab.ru/contest/499473.php
https://www.securitylab.ru/contest/499473.php
SecurityLab.ru
Заканчивается конкурс статей на SecurityLab.ru
Всех участников конкурса ждут ценные призы и подарки и победителю конкурса будет вручен главный приз от компании Palo Alto Networks.
Бот, который по адресу эл. почты ищет утекшие пароли: @mailsearchbot. Выдает только первые 40 паролей. 👍
Суть та же, что и у сервиса www.leakcheck.net, про который мы писали в заметке про анализ утекших паролей: https://news.1rj.ru/str/dataleak/983
Размер базы у бота неизвестен. По нашим контрольным тестам видно, что размер базы у www.leakcheck.net явно больше (выдается больше паролей на одни и те же адреса).
Суть та же, что и у сервиса www.leakcheck.net, про который мы писали в заметке про анализ утекших паролей: https://news.1rj.ru/str/dataleak/983
Размер базы у бота неизвестен. По нашим контрольным тестам видно, что размер базы у www.leakcheck.net явно больше (выдается больше паролей на одни и те же адреса).
В пригородном лесу Бийска была обнаружена свалка документов с персональными данными жителей города - отчетные ведомости и сведения о доходах физических лиц с персональными данными сотрудников ООО «Монолит-1», зарегистрированного в Новосибирской области. Предприятие было ликвидировано в декабре 2016 года.
6-го июня обнаружили открытое облачное хранилище Amazon S3 (AWS), принадлежащее индийскому сервису микрокредитования RupeeRedee (rupeeredee.com).
В хранилище rupeeredee.s3.amazonaws.com в свободном доступе (по прямым URL) располагались файлы со сканами документов граждан.
После нашего уведомления через Twitter файлы были убраны из открытого доступа. А вот индийскому интернет магазину firstcry.com, похоже нет никакого дела до того, что персональные данные их клиентов находятся в свободном доступе (https://news.1rj.ru/str/dataleak/1100) и на наше оповещение они не реагируют. 🤦🏻♂️
Про то, как обнаруживают открытые облачные хранилища Amazon S3 можно почитать тут:👇
https://www.devicelock.com/ru/blog/kak-obnaruzhivayut-otkrytye-oblachnye-hranilischa-amazon.html
В хранилище rupeeredee.s3.amazonaws.com в свободном доступе (по прямым URL) располагались файлы со сканами документов граждан.
После нашего уведомления через Twitter файлы были убраны из открытого доступа. А вот индийскому интернет магазину firstcry.com, похоже нет никакого дела до того, что персональные данные их клиентов находятся в свободном доступе (https://news.1rj.ru/str/dataleak/1100) и на наше оповещение они не реагируют. 🤦🏻♂️
Про то, как обнаруживают открытые облачные хранилища Amazon S3 можно почитать тут:👇
https://www.devicelock.com/ru/blog/kak-obnaruzhivayut-otkrytye-oblachnye-hranilischa-amazon.html
Из каждого утюга сегодня полилась «новость» про бота, ищущего пароли (https://news.1rj.ru/str/dataleak/1107) по электронной почте. 😂
На наш взгляд большего внимания заслуживает другой бот - @LeakCheckBot. Он позволяет искать пароли не только по адресам электронной почты, но и по номерам мобильных телефонов, логинам и даже по аккаунтам Minecraft.
На наш взгляд большего внимания заслуживает другой бот - @LeakCheckBot. Он позволяет искать пароли не только по адресам электронной почты, но и по номерам мобильных телефонов, логинам и даже по аккаунтам Minecraft.
Telegram
Утечки информации
Бот, который по адресу эл. почты ищет утекшие пароли: @mailsearchbot. Выдает только первые 40 паролей. 👍
Суть та же, что и у сервиса www.leakcheck.net, про который мы писали в заметке про анализ утекших паролей: https://news.1rj.ru/str/dataleak/983
Размер базы у бота…
Суть та же, что и у сервиса www.leakcheck.net, про который мы писали в заметке про анализ утекших паролей: https://news.1rj.ru/str/dataleak/983
Размер базы у бота…
Автоматизированная система DeviceLock Data Breach Intelligence обнаружила свободно доступный сервер Elasticsearch с индексом boxberry.
Как понятно из названия индекса, в нем находились данные службы доставки Boxberry (boxberry.ru) – 43,355 записей содержащих:
🌵 город/страну
🌵 название магазина
🌵 номер заказа
🌵 номер для отслеживания заказа («пробивался» на сайте Boxberry)
🌵 цену заказа
🌵 хешированный номер телефона и адрес электронной почты получателя
🌵 в некоторых случаях год рождения и пол получателя
🌵 адрес пункта выдачи заказа
🌵 описание заказа (например, «Серьги из позолоченного серебра с фигурным дизайном ASOS DESIGN»)
На первый взгляд никаких критичных (персональных) данных клиентов в открытый доступ не попало. Однако, нами было обнаружено, что для хеширования номеров телефонов и адресов электронной почты использовался «слабый» алгоритм MD5. Номера телефонов взламывались практически мгновенно (менее секунды) по препросчитанным таблицам, т.к. содержали только цифры в формате 7XXXXXXXXXX. Для взлома хешей электронной почты требовалось чуть больше времени. 🤦🏻♂️🤦♂️
Сервер находился в свободном доступе с 17.02.2019. Мы оповестили Boxberry о проблеме и через 4 дня данные наконец стали недоступны.
По нашим предположениям данный сервер в открытом доступе оставила маркетинговая компания Aitarget (www.aitarget.com). SSL-сертификат именно этой компании был установлен на открытом сервере. Информация клиентов Boxberry скорее всего использовалась для таргетированной рекламы в соцсетях. 😂
Как понятно из названия индекса, в нем находились данные службы доставки Boxberry (boxberry.ru) – 43,355 записей содержащих:
🌵 город/страну
🌵 название магазина
🌵 номер заказа
🌵 номер для отслеживания заказа («пробивался» на сайте Boxberry)
🌵 цену заказа
🌵 хешированный номер телефона и адрес электронной почты получателя
🌵 в некоторых случаях год рождения и пол получателя
🌵 адрес пункта выдачи заказа
🌵 описание заказа (например, «Серьги из позолоченного серебра с фигурным дизайном ASOS DESIGN»)
На первый взгляд никаких критичных (персональных) данных клиентов в открытый доступ не попало. Однако, нами было обнаружено, что для хеширования номеров телефонов и адресов электронной почты использовался «слабый» алгоритм MD5. Номера телефонов взламывались практически мгновенно (менее секунды) по препросчитанным таблицам, т.к. содержали только цифры в формате 7XXXXXXXXXX. Для взлома хешей электронной почты требовалось чуть больше времени. 🤦🏻♂️🤦♂️
Сервер находился в свободном доступе с 17.02.2019. Мы оповестили Boxberry о проблеме и через 4 дня данные наконец стали недоступны.
По нашим предположениям данный сервер в открытом доступе оставила маркетинговая компания Aitarget (www.aitarget.com). SSL-сертификат именно этой компании был установлен на открытом сервере. Информация клиентов Boxberry скорее всего использовалась для таргетированной рекламы в соцсетях. 😂
Киберпротект
Защита от утечки конфиденциальных данных - DLP-система Кибер Протего.
DLP-система Кибер Протего предотвращает утечку конфиденциальной информации, контролирует передачу данных и позволяет обнаруживать нарушения политики их хранения.
Ленинский районный суд Курска рассматривает уголовное дело, главным фигурантом которого является бывший менеджер по продажам одного из банков, она обвиняется в неправомерном доступе к охраняемой законом компьютерной информации.
По версии следствия, обвиняемая осуществила от имени банка обработку персональных данных трех человек без их ведома и присутствия. Были выпущены карты, с которых потом снимались деньги. Ущерб превысил 1 миллион рублей.
Дебетовые карты российских банков, выпущенные на подставных лиц, являются одним из ходовых товаров на черном рынке. Про это мы писали в статье «Цены черного рынка на российские персональные данные».
По версии следствия, обвиняемая осуществила от имени банка обработку персональных данных трех человек без их ведома и присутствия. Были выпущены карты, с которых потом снимались деньги. Ущерб превысил 1 миллион рублей.
Дебетовые карты российских банков, выпущенные на подставных лиц, являются одним из ходовых товаров на черном рынке. Про это мы писали в статье «Цены черного рынка на российские персональные данные».
Киберпротект
Защита от утечки конфиденциальных данных - DLP-система Кибер Протего.
DLP-система Кибер Протего предотвращает утечку конфиденциальной информации, контролирует передачу данных и позволяет обнаруживать нарушения политики их хранения.
67 документов (37 карт амбулаторного больного и 30 карт учета дополнительной диспансеризации работающих граждан) пациентов Центральной районной больницы Альметьевского района (Татарстан) были найдены на свалке.
На свалку документы попали вместе со строительным мусором, который вывозился из больницы вовремя капремонта 2017 года. 🙈
На свалку документы попали вместе со строительным мусором, который вывозился из больницы вовремя капремонта 2017 года. 🙈
21-летняя бывшая сотрудница компании, оказывающей услуги связи на территории Брянска, имея доступ к базе персональных данных абонентов передала подруге сведения о телефонных соединениях ее жениха. 😂
В отношении бывшей сотрудницы возбудили дело по статье 138 УК РФ (нарушение тайны телефонных переговоров, совершенное с использованием служебного положения).
Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: 👇
https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html
В отношении бывшей сотрудницы возбудили дело по статье 138 УК РФ (нарушение тайны телефонных переговоров, совершенное с использованием служебного положения).
Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: 👇
https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html
Киберпротект
Защита от утечки конфиденциальных данных - DLP-система Кибер Протего.
DLP-система Кибер Протего предотвращает утечку конфиденциальной информации, контролирует передачу данных и позволяет обнаруживать нарушения политики их хранения.
Forwarded from DeviceLock RU
Появился еще один канал утечки пользовательских данных — злоумышленники фотографируют информацию с экрана компьютера на телефон, а затем размещают ее в DarkNet.
Об этом говорится в исследовании каналов инсайдерских сливов, которое провела компания по защите данных DeviceLock.
По ее сведениям, одни из главных источников утечки информации о клиентах — банки, МФО и сотовые операторы. Столь простой способ вывода данных объясняется тем, что защитные DLP-системы чаще всего фиксируют скачивание баз на флешку или в облако, но не фотографирование экрана.
Около 10% слитых в DarkNet данных о частных лицах опубликованы в виде фотографий экрана компьютера с персональной информацией, сделанных на мобильный телефон.
Абсолютным лидером (80%) среди каналов утечек в этом году, как и в прошлом, остались выгрузки из корпоративных информационных систем на внешние носители. Еще 10% приходятся на другие способы.
https://iz.ru/890593/natalia-ilina/utechka-iz-ekrana-v-bankakh-osvoili-prosteishii-sposob-sliva-dannykh
Об этом говорится в исследовании каналов инсайдерских сливов, которое провела компания по защите данных DeviceLock.
По ее сведениям, одни из главных источников утечки информации о клиентах — банки, МФО и сотовые операторы. Столь простой способ вывода данных объясняется тем, что защитные DLP-системы чаще всего фиксируют скачивание баз на флешку или в облако, но не фотографирование экрана.
Около 10% слитых в DarkNet данных о частных лицах опубликованы в виде фотографий экрана компьютера с персональной информацией, сделанных на мобильный телефон.
Абсолютным лидером (80%) среди каналов утечек в этом году, как и в прошлом, остались выгрузки из корпоративных информационных систем на внешние носители. Еще 10% приходятся на другие способы.
https://iz.ru/890593/natalia-ilina/utechka-iz-ekrana-v-bankakh-osvoili-prosteishii-sposob-sliva-dannykh
Известия
Утечка из экрана: в банках освоили простейший способ слива данных
Злоумышленники делают фотографии мониторов компьютеров с персональной информацией
Прокуратура Забайкальского края установила, что администрация Забайкальского района опубликовала в социальных сетях и мессенджерах списки с персональными данными более 200 детей, подлежащих зачислению в 2019 году в дошкольные образовательные учреждения районного центра и посёлка Даурия.
Такие же списки были вывешены на информационной доске в здании администрации.
Такие же списки были вывешены на информационной доске в здании администрации.
Обнаружили открытое облачное хранилище Amazon S3 (AWS), принадлежащее мексиканскому дистрибутору люксовых спортивных автомобилей DB Imports México (dbimports.mx).
В хранилище находятся более 2 тыс. PDF-файлов, содержащих сканы документов (паспорта, водительские удостоверения и т.п.), банковских счетов, договоров и пр. за период с 2014 по 2019 г. 🔥🔥
Про то, как обнаруживают открытые облачные хранилища Amazon S3 можно почитать тут:👇
https://www.devicelock.com/ru/blog/kak-obnaruzhivayut-otkrytye-oblachnye-hranilischa-amazon.html
В хранилище находятся более 2 тыс. PDF-файлов, содержащих сканы документов (паспорта, водительские удостоверения и т.п.), банковских счетов, договоров и пр. за период с 2014 по 2019 г. 🔥🔥
Про то, как обнаруживают открытые облачные хранилища Amazon S3 можно почитать тут:👇
https://www.devicelock.com/ru/blog/kak-obnaruzhivayut-otkrytye-oblachnye-hranilischa-amazon.html
Продолжаем тему утечки персональных данных клиентов магазинов re:Store, SONY, Samsung, LEGO, Nike, Street Beat, находящихся в управлении компании Inventive Retail Group. Мы подробно писали про техническую сторону утечки в этом канале: https://news.1rj.ru/str/dataleak/1089 и на Хабре: https://habr.com/ru/post/455792/
Тогда же было сделано предположение (на основании имеющейся у нас информации из различных непубличных источников), что база клиентов реально утекла. То, что мы были далеко не первыми, кто обнаружил свободно доступный сервер подтверждалось наличием в Elasticsearch записи, оставленной скриптом-вымогателем. 👍
И вот в публичном доступе, сразу на нескольких форумах по «пробиву», появился маленький кусочек этой базы. Злоумышленники дают свободно скачать только 400 записей, содержащих адреса электронной почты и номера мобильных телефонов покупателей.
Напомним, что всего утекло (данные – оценочные, дубли из подсчетов не удалялись) более 3 млн. адресов электронной почты покупателей магазинов re:Store, Samsung, Street Beat и Lego и более 7 млн. телефонов покупателей магазинов re:Store, Sony, Nike, Street Beat и Lego. 😱
Видимо остальные данные будут продаваться, а не раздаваться бесплатно. 😂
Тогда же было сделано предположение (на основании имеющейся у нас информации из различных непубличных источников), что база клиентов реально утекла. То, что мы были далеко не первыми, кто обнаружил свободно доступный сервер подтверждалось наличием в Elasticsearch записи, оставленной скриптом-вымогателем. 👍
И вот в публичном доступе, сразу на нескольких форумах по «пробиву», появился маленький кусочек этой базы. Злоумышленники дают свободно скачать только 400 записей, содержащих адреса электронной почты и номера мобильных телефонов покупателей.
Напомним, что всего утекло (данные – оценочные, дубли из подсчетов не удалялись) более 3 млн. адресов электронной почты покупателей магазинов re:Store, Samsung, Street Beat и Lego и более 7 млн. телефонов покупателей магазинов re:Store, Sony, Nike, Street Beat и Lego. 😱
Видимо остальные данные будут продаваться, а не раздаваться бесплатно. 😂
Telegram
Утечки информации
Обещанный технический разбор утечки персональных данных клиентов Inventive Retail Group (IRG управляет сетями re:Store, Samsung, Sony Centre, Nike, Street Beat и др.). 🔥🔥🔥
Сразу обозначим, что речь идет именно об утечке данных, чтобы официально не заявляли…
Сразу обозначим, что речь идет именно об утечке данных, чтобы официально не заявляли…