FormGet (formget.com) - очередной индийский проект хранит данные пользователей в открытом облаке Amazon S3 (AWS). FormGet это сервис для создания форм, обработки полученных через формы лидов и даже приема платежей. 😂🙈

Более 110 тыс. файлов, которые пользователи загружали через этот сервис, среди которых сканы паспортов различных стран и многое другое свободно доступно с серверов amazonaws.com по прямым ссылкам. 🤦🏻‍♂️🤦‍♂️

Среди сканов паспортов попадаются даже российские загранпаспорта. 😱


Про то, как обнаруживают открытые облачные хранилища Amazon S3 можно почитать тут:👇
https://www.devicelock.com/ru/blog/kak-obnaruzhivayut-otkrytye-oblachnye-hranilischa-amazon.html

Компания Mcafee в понедельник подала в суд штата Техас на троих бывших сотрудников, обвиняя их в передаче коммерческой тайны компании Tanium, в которую те устроились на работу. 👍

Один из троих бывших сотрудников McAfee занимал там ранее должность финансового директора и первым (из троих ушедших из McAfee) устроился на новую работу в Tanium.

McAfee обвиняет бывшего финансового директора в том, что он скопировал файл электронной таблицы с именем “Deal Tracker”, в котором содержалась детальная информация о сотнях уже совершенных и готовящихся сделках, включая такие данные, как: названия клиентов, тип сделок, прогнозы продаж, цены и многое другое.

В последнюю рабочую неделю в McAfee, данные были сначала отправлены с рабочего ящика на личный адрес электронной почты, а затем скопированы в облачное хранилище Google Drive. 🤦🏻‍♂️🤦‍♂️

Один из бывших сотрудников также использовал личные (неавторизованные) USB-устройства для копирования на них файлов своего работодателя. 🙈

Удивительно, что в McAfee не используются решения по блокированию неавторизованных USB-устройств. Могли бы обратиться в DeviceLock, мы с момента появления первых USB-устройств на рынке умеем отлично их контролировать (и если надо блокировать). 😎

Хакеры из KelvinSecTeam выложили в открытый доступ JSON-файл с корпоративными адресами электронной почты сотрудников Microsoft.

В файле более 1000 адресов, но после дедупликации остается всего 122 адреса.

"[{\"DiagnosticTypes\":[\"Data\"],\"PackageId\":\"cd349327-91cc-4d94-acbd-a088700923c1\",\"PackageSubmitTime\":\"2019-06-14T00:55:35.5659043Z\",\"PackageSubmittedBy\":\"nichi@corp.microsoft.com\",\"PackageBuildNumber\":\"1.0.8.445\",\"PackageFriendlyName\":\"microsoft.azure.diagnostics.diagnostics.anp\",\"PackageApplyTime\":\"2019-06-22T21:48:44.643876Z\",\"PackageOwnerGroups\":{\"6e7d718c-6b20-461e-b01f-3647232f270d\":\"RCG-ADTCG-24299\"},\"AnalyticsData\":{\"RunTimes\":{\"Percentile95InSeconds\":\"38.856\"}},\"SymptomId\":\"AnpTestTraffic\",\"Denoscription\":\"Used to test the inbound/outbound connectivity to/from a VM deployment\",\"ParamValidationRequired\":true,\"RequiredParameterSets\":[[\"ClusterName\",\"NodeId\",\"MacAddress\",\"ContainerId\",\"SourceIp\",\"DestinationIp\",\"SourcePort\",\"DestinationPort\",\"TransportProtocol\",\"TrafficDirection\"]],\"Owner\":\"domir@microsoft.com\",\"OwnershipId\":\"CloudNet_VirtualNetwork\",\"TargetSupportTopicRegex\":[\"\"

Обнаружили свободно доступный Elasticsearch сервер с данными латвийского сервиса каршеринга CARGURU (carguru.lv/ru).

В индексе с не хитрым названием carsharing содержится различная телеметрия (более 68 млн. записей) автомобилей сервиса, включая GPS-координаты, скорость, показания одометра и многое другое.

Индекс постоянно обновляется – за несколько часов добавилось более 200 тыс. записей.

Оповестили CARGURU о проблеме. Сервер находится в свободном доступе с ноября 2018 г. 🤦🏻‍♂️

В свободном доступе появился список клиентов сети магазинов «Красное и Белое» (krasnoeibeloe.ru). 🍷🍸

В распространяемом текстовом файле находятся ровно 100 тыс. записей, содержащих: ФИО (иногда вместе с текстом «Утеряна» и датой), дату рождения (редко) и номер телефона.

После чистки и дедупликации из 100 тыс. остается 33,2 тыс. записей, содержащих телефоны. Самая свежая запись датирована 01.08.2017, а самая старая - 03.01.2007.

Скорее всего это список держателей скидочных карт данной розничной сети.

Еще один большой материал про рынок "пробива" в России.

«Пробьем все перемещения граждан России: самолетом, поездом, автобусом». «Полное досье на человека: паспортные данные, декларация о доходах, судимости». Это реальные предложения с форума, где торгуют персональными данными.

Здесь предлагают купить сканы ваших паспортов, водительских прав, ИНН, уверяют, что могут прочитать ваши СМС и определить местоположение в конкретный день и час. Здесь о наc с вами знают все: в какие магазины мы ходим и сколько откладываем на черный день. Обозреватель РИА Новости выяснила, кто торгует личной информацией, а также попыталась заказать досье на саму себя.

https://ria.ru/20190701/1555979096.html

Латвийский каршеринг CARGURU наконец закрыл («тихо») свободно доступную базу данных с телеметрией своих автомобилей (https://news.1rj.ru/str/dataleak/1130). После нашего оповещения прошло около 3 дней. 🤦🏻‍♂️

А впервые публично про эту проблему в твиттере сообщил исследователь stoXe, еще 2-го марта (https://twitter.com/DevinStokes/status/1101642374931918849). 🙈

В свободном доступе были обнаружены персональные данные клиентов компании Алем-Тур (alem-tour.ru), являющейся туроператором по Карелии.

Не требующий аутентификации сервер Elasticsearch содержал индекс alemtour с 57 тыс. записей. Среди находящихся в свободном доступе данных туристов были:

🌵 адреса электронной почты (более 13,8 тыс. записей)
🌵 мобильные, рабочие, домашние телефоны
🌵 ФИО
🌵 даты рождения
🌵 для некоторых туристов - серия, номер паспорта, кем и когда выдан, адрес регистрации
🌵 стоимость тура
🌵 даты тура
🌵 названия турагентств, продавших туры
🌵 многое другое

Сервер Elasticsearch находился в открытом доступе с 21.11.2018 и был закрыт только после нашего уведомления. 🤦🏻‍♂️

Прошлая новость про выброшенные на свалку документы с персональными данными (https://news.1rj.ru/str/dataleak/1113) неожиданно вызвала нездоровый интерес у отдельных подписчиков с шизотипическим расстройством психики. 😂

Специально для пациента, названивавшего в офис мы подготовили еще одну новость на эту тему. 🚑🏥

На несанкционированной свалке в Курске были обнаружены выброшенные документы с персональными данными жителей города - копии паспортов, оригиналы медицинских полисов страховой компании «Росмедстрах-К». Страховая компания прошла процедуру банкротства осенью прошлого года, ее клиенты были переведены в другие компании.

Иногда они возвращаются снова… 😂

27-го мая написали (https://news.1rj.ru/str/dataleak/1056), что платный поисковый сервис мониторинга цен на топливо Maxwell Expert убрал, после нашего оповещения, из свободного доступа свой Elasticsearch с логинами и паролями пользователей.

Однако хватило их ровно на месяц - 27.06.2019 сервер вновь появился в свободном доступе с уже подросшей базой. 🤦🏻‍♂️

Точно такая же «история возвращения» произошла в свое время и с сервером Elasticsearch сайтов госоплаты (https://news.1rj.ru/str/dataleak/1062). 🤦‍♂️

В Костроме предстанет перед судом 39-летний участковый уполномоченный полиции, который с августа по октябрь 2018 года за деньги передавал персональные данные умерших и информацию о местонахождении тел частному похоронному бюро.

Бывший полицейский успел получить от взяткодателей наличными как минимум 12 тыс. рублей. Ему предъявили обвинение по части 3 статьи 290 УК РФ "Получение должностным лицом лично взятки в виде иного имущества за совершение действий в пользу взяткодателя, если указанные действия входят в служебные полномочия должностного лица либо если оно в силу должностного положения может способствовать указанным действиям, за незаконные действия".

Обвиняемому грозит до восьми лет заключения и крупный штраф. Дело передано для рассмотрения по существу в Свердловский районный суд Костромы.


Обзор случаев задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными в России: 👇

https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html

Наша система DeviceLock Data Breach Intelligence (подробнее тут: https://www.devicelock.com/ru/data-breach-intelligence/) обнаружила свободно доступный сервер с базой данных CPA-сети REKL.PRO (www.rekl.pro).

В индексах Elasticsearch находилось:

🌵 106 записей внутренних пользователей (сотрудников рекламной сети) системы, содержащих: имя и фамилию пользователя, адрес электронной почты, логин, хешированный пароль, номер мобильного телефона, номер офисного телефона, отдел (например, «Операторы АРМ», «Отдел фрода»), время последнего входа в систему и т.п.

🌵 6053 клиентских заказов, содержащих: ФИО, телефон, цену, страну, описание, дату и т.п.

🌵 1998 рекламных объявлений (проектов), содержащих: название, URL, телефон и т.п.

🌵 и многое другое.

После нашего оповещения через Telegram, сервер исчез из свободного доступа.

Пример данных из свободно доступной базы CPA-сети REKL.PRO

Рубрика «потешные утечки». 😂

Служба безопасности Украины (СБУ) сообщает, что потеряна флешка с секретной информацией по инженерно-техническому обустройству границы с Россией (проект "Стена"). 🤣

Директор компании подрядчика строительных работ потерял вверенные ему материальные носители секретной информации с грифом "секретно". 🐏

Прошлая «потешная утечка», про которую мы писали, разумеется тоже произошла на Украине - СБУ, выявила тогда утечку «военных баз данных» в Россию: https://news.1rj.ru/str/dataleak/669

А в марте в открытый доступ попали документы самой СБУ: https://news.1rj.ru/str/dataleak/875 🙈

19-го мая обнаружили свободно доступный сервер Elasticsearch с индексами: event_deal и deal. По данным Shodan «появился» он 17.05.2019.

В индексах находились данные из CRM-системы, содержащие информацию о заказах на установку пластиковых окон (и т.п. работ) с сайтов rehau-moskva.ru, okno-moskva.ru, rehau-portal.ru, okno.ru, pvh24.ru. 🤦‍♂️

Всего более 46 тыс. записей, содержащих:

🌵 ФИО (часто просто имя или имя/фамилия) заказчика
🌵 телефон (часто не один)
🌵 адрес (включая GPS-координаты, номер подъезда, этаж, код домофона и т.п.)
🌵 адрес электронной почты (не всегда)
🌵 дату заказа и дату выезда замерщика
🌵 стоимость заказа и предоплату
🌵 описание заказа (например, «2ок, б/бл без отк+ ал. лоджия») и объем работ в кв. м.
🌵 зарплату установщиков
🌵 с какого из сайтов пришел заказ
🌵 и многое другое

Самые свежие записи датировались концом апреля 2019 г. 👍

На наше оповещение разумеется никто не ответил. 30.05.2019 данный сервер Elasticsearch пропал из свободного доступа. Однако это не конец истории. 😎

23.06.2019 случилось возвращение, но уже с другими индексами и данными в них. Про это мы напишем отдельно. 🔥

Пример данных заказов пластиковых окон из свободно доступного сервера 😎

На закрытых площадках в Dark Net были обнаружены файлы с данными ОМС и ДМС жителей Вологодской области. 🙈

Файл «омс череповец.xlsx» размером 199 Мб содержит 1,048,576 записей с ФИО, датами рождениями, адресами, номерами полисов ОМС и т.п. 🔥🔥

Второй файл «дмс череповец (БУЗ ВО Медсанчасть Северсталь).xlsx» размером 3.4 Мб содержит 32,095 записей с ФИО, датами рождения, адресами (только 91 запись из всех), полом, сериями и номерами полисов ДМС, датами действия полисов, названиями организаций (только 214 записей из всех).

Утечка датируется предположительно июлем 2016 года. 😎

По информации прокуратуры Астраханской области, руководитель «Бюро судебно-медицинской экспертизы», отвечающий, в том числе, за конфиденциальность персональных данных граждан, 27 декабря 2018 года получил от индивидуального предпринимателя, который занимался оказанием ритуальных услуг, 27 тыс. рублей за предоставление ему информации об умерших.

Обзор случаев задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными в России: 👇

https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html

В открытом доступе на файлобменниках обнаружены файлы с дампами предположительно региональных порталов медицинских услуг rb.k-vrachu.ru (Республика Башкортостан), so.k-vrachu.ru (Свердловская область), doctor30.ru (Астраханская область) и reg.zdrav10.ru (Республика Карелия).

Все дампы скорее всего сделаны в конце января 2016 года, кроме Usr_UserReg_rb.k-vrachu.ru.csv – в нем данные с 16.03.2009 по 06.02.2015.

В файлах содержится:

🌵 ФИО

🌵 адрес электронной почты

🌵 день рождения

🌵 логин пользователя (иногда в качестве логинов попадаются номера телефонов и адреса электронной почты)

🌵 пароль пользователя (иногда текстовый, чаще хешированный)

🌵 количество входов пользователя на портал

🌵 дата/время последнего входа пользователя на портал (самая свежая запись – 23.01.2016 03:47)

🌵 и т.п.

Всего 968,068 записей. 👍

«Коммерсантъ» пишет:

Генпрокуратура проводит проверку по факту утечки данных россиян, в том числе банковских клиентов, заявил официальный представитель ведомства Александр Куренной на канале Генпрокуратуры «Эфир». Как сообщал “Ъ”, в открытом доступе оказались сведения 900 тыс. клиентов ОТП-банка, Альфа-банка и ХКФ-банка. Господин Куренной уточнил, что по итогам проверки «будет решен вопрос о принятии мер реагирования».

История началась с этого поста: https://news.1rj.ru/str/dataleak/1092, а журналисты «Коммерсантъ» к этой информации добавили еще старые данные клиентов ОТП-банка и ХКФ-банка, которые они самостоятельно обнаружили на одном из форумов. 😎

Самое «смешное» тут то, что и Роскомнадзор и Генпрокуратура обратили внимание только на старые (но большие) базы, давно (более 3 лет) находящиеся в свободном доступе на различных форумах и за всей этой шумихой не заметили действительно интересную (но маленькую) базу, «депозитчиков» предположительно Альфа-банка, которая содержит данные за 2018 и начало 2019 гг. 😂

Мы провели небольшое расследование и выяснили, что эта «маленькая» база (чуть более 500 записей) «депозитчиков» является частью большой базы, которой (пока) нет в свободном доступе – ее продают по частям. 🔥

Продавцы уверяют, что в большой базе 150 тыс. записей и в качестве подтверждения предоставили небольшой тестовый кусок данных, полностью по формату совпадающий с обнаруженной нами ранее базой «депозитчиков», при этом тестовые данные отсутствуют в этой свободно доступной базе. Также, тестовый кусок данных содержит названия столбцов, отсутствующие в свободно доступной базе «депозитчиков». 🔥🔥🔥

Альфа-банк к данной информации особого интереса не проявил, хотя мы уведомляли их о наличии в продаже большого массива данных предположительно клиентов банка. 🤷‍♂️

Образец данных, которые в данный момент продаются на черном рынке под названием «база депозитчиков Альфа-банка». Достоверность самих данных и их реальную принадлежность к Альфа-банку мы не проверяли. Общий размер базы, по уверениям продавцов – 150 тыс. записей. 🔥