В открытом доступе продолжают всплывать персональные данные покупателей розничных сетей re:Store, SONY, Samsung, LEGO, Nike, Street Beat, находящихся в управлении компании Inventive Retail Group (IRG). 🔥

Мы подробно писали про техническую сторону этой утечки тут: https://news.1rj.ru/str/dataleak/1089

На этот раз в свободном доступе появился файл с 1354 записями, содержащими:

🌵 digital_id
🌵 phone
🌵 email
🌵 brand
🌵 card_number
🌵 first_name
🌵 last_name
🌵 middle_name
🌵 gender
🌵 birthday

Вот прямая цитата из официального заявления IRG (доступно тут inventive.ru/about/releases/1255/): “Утечки персональных данных клиентов street-beat.ru компания не подтверждает. Оперативно были проверены дополнительно все проекты Inventive Retail Group. Угрозы для персональных данных клиентов не обнаружены.” 🤦🏻‍♂️🤦‍♂️🙈

Разумеется, в данном файле находятся персональные данные в том числе и клиентов street-beat.ru. 🤣😂

В мае DeviceLock Data Breach Intelligence обнаружила открытый Elasticsearch с индексом pntcrm, в котором находилось 11560 записей, содержащих:

🌵 имена
🌵 номера телефонов
🌵 адреса электронной почты
🌵 почтовые адреса
🌵 описания заказов

"phone": "+7977*******",
"denoscription": "Футболки черные 530 р/шт белые 400 р\r\n3 черные 1 белая",
"app_noscript": null,
"client_name": "Марина ****нова",
"email": "***@mail.ru",
"id": 39372,
"@timestamp": "2019-03-19T06:52:03.276Z",
"@version": "1",
"noscript": "2-0913-1",
"address": "город Москва, метро Новые Черёмушки, улица ***, дом ***, Квартира 1! Домофон: 1*0985 с 11 до 13-00"

(реальные данные скрыты нами)

Выяснили, что это CRM-система (pntcrm.ru), принадлежащая текстильной типографии «Принт на ткани» (printnatkani.ru). После оповещения сервер «тихо» исчез из свободного доступа. 😎

В августе 2018 крупный американский онлайн магазин одежды Shein.com сообщил о том, что в июне внешние атакующие завладели клиентской базой из 6.42 млн. записей.

И вот недавно в открытом доступе появилось 286,249 пар логин (эл. почта)/пароль из этой утечки. Пароли - восстановленные из хешей.

Проанализировав данный дамп мы установили, что 252,463 пары логин/пароль уникальные и ранее нигде не встречались. 👍

Хакеры из DigitalRevolution (твиттер: @D1G1R3V) взломали сервер ИТ-компании "Сайтэк" (sytech.ru – в данный момент не работает) и утверждают, что (кроме «дефейса») получили доступ к документации некоторых проектов (деанонимизация Tor и др.), создаваемых якобы по заказу ФСБ.

В качестве «пруфов» на файлобменник выложены PDF-файлы (куски презентаций, документации и т.п.) и скриншоты (в т.ч. список пользователей из домена компании и адреса электронной почты), ничего ровным счетом не доказывающие (кроме того, что "Сайтэк" имел отношение к этим проектам): https://mega.nz/#F!qItHGQAT!i57Q2YKUraP1KCNoed3vfA

Скорее всего ничего, кроме кусков маркетинговых материалов не пострадало иначе оно уже было бы в сети.

Запись совместного вебинара DeviceLock и Ассоциации российских банков (АРБ) от 18 июля 2019 г.: 👇

https://www.youtube.com/embed/_xAnft90xfo

✅ Главный принцип полноценной DLP-защиты – предотвращать утечки данных и связанные с ними вероятные потери, не ограничиваясь регистрацией инцидентов с утечками.

✅ Все ли DLP-системы защищают от утечки конфиденциальных данных?

✅ Какой подход к защите от утечек данных применяется за рубежом и в чем его отличие от «нашего российского»?

✅ Разведка уязвимостей хранимых данных как инструмент защиты от утечки конфиденциальной информации с незащищенных серверов.

17-го мая DeviceLock Data Breach Intelligence обнаружила открытую базу данных MongoDB с именем «billing» не требующую аутентификации для подключения, в которой находилось более 34 тыс. записей, принадлежащих тверскому интернет-провайдеру «Sky@Net» (tvhost.ru).

В течении нескольких часов после нашего оповещения база была «тихо» закрыта.

Помимо информации о тарифах, в базе данных находились логины и хеши паролей (плюс соль отдельно) администраторов портала. 👍

А помните в начале месяца мы писали (https://news.1rj.ru/str/dataleak/1141) про открытую базу данных CRM-системы установщиков пластиковых окон ОКНО.ру? 👇

Мы тогда обещали продолжение истории. Выполняем обещание. 😎

23.06.2019 случилось возвращение свободно доступного сервера Elasticsearch на том же самом IP-адресе, но уже с другими индексами:

deal
contact
lead

Суммарно во всех трех индексах на момент обнаружения находилось 194,549 записей. Спустя неделю количество записей выросло до 198,561. А на сегодняшний день там 198,564 записи. Т.е. база практически не растет с начала июля.

"name": "*** Ольга Анатольевна",
"email": "",
"old_address": "г. Москва, ул. Молодогвардейская д**кв**под**эт**",
"comment": "Имя: *** Ольга Анатольевна7965******* | | г. Москва, ул. Молодогвардейская д ** кв ** под**, эт**,
"main_phone_number": "7965*******",
"address": "г. Москва, ул. Молодогвардейская д**кв**под**эт**",
"noscript": "*** Ольга Анатольевна",
"name": "Договор",

(реальные данные скрыты нами)

Надо ли говорить, что на наши оповещения никакой реакции нет до сих пор? Мы связались с хостером fornex.com, на чьей площадке находится данный сервер и даже получили от них ответ «Спасибо. Передали клиенту.», но сервер с Elasticsearch по-прежнему общедоступен. 🤦🏻‍♂️🤦‍♂️

В базе находятся персональные данные физических лиц, видимо оставивших свои заявки на строительные/ремонтные работы на одном из сайтов описанных в предыдущей нашей статье. Судя по всему, есть пересечения по контактам (телефонам) с найденной нами ранее на том же самом IP-адресе базой CRM-системы ОКНО.ру. Однако, в данном случае размер базы больше в несколько раз. 🔥🔥

Удалось выяснить, что данная CRM-система, допустившая утечку десятков тысяч персональных данных клиентов, скорее всего является проектом под названием stroybooking.ru. Подробнее про него можно прочитать тут: https://andagar.ru/projects/stroybooking-ru/. 😂

В проект вероятно проинвестировал кипрский инвестиционный фонд OMEGA Funds Investment (omegainvest.com.cу) и он судя по всему не выстрелил. 😭 Инвесторы тоже не соблаговолили ответить или даже отреагировать на наше оповещение, хотя их логотип красуется (собственно, это единственное что там есть) на сайте stroybooking.ru.

Прокуратура Набережных Челнов возбудила административное дело на бывшего работника Комсомольского ТИКа (территориальная избирательная комиссия), скопировавшего персональные данные избирателей.

37-летний специалист 1 разряда по информационному обеспечению ГАС РФ «Выборы», перед своим увольнением в 2017 году, скопировал на USB-флешку базу данных 56 тысяч избирателей (паспортные данные, адреса, телефоны, имена и прочие персональные данные), после чего вынес ее за пределы служебного помещения. 🤦🏻‍♂️

Бывшему сотруднику ТИКа инкриминируют нарушение ч. 1. ст. 13.1 КоАП РФ «Нарушение законодательства в области персональных данных», которая влечет за собой предупреждение или административный штраф гражданину от 1 тыс. до 3 тыс. рублей. 🤣


Обзор случаев задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными в России: 👇

https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html

Сразу на нескольких форумах в свободном доступе появился файл с названием «komus.txt», содержащий 58868 строк с адресами электронной почты и датами:

E-MAIL DATE/TIME

Судя по всему, это слив данных с открытого сервера Elasticsearch про который мы писали ранее (https://news.1rj.ru/str/dataleak/1150). 🤦‍♂️

Напомним, что сервер с данным покупателей магазина «Комус» находился в свободном доступе с 6-го по 13-е июля, общий объем данных утекший за этот период мы оцениваем примерно в 110 тыс. строк. Т.е. можно говорить, что в паблик сейчас выложили только половину утекших данных. 😱

Обидно, ведь мы обнаружили этот сервер практически сразу, как он появился в открытом доступе и сразу оповестили компанию «Комус», однако первую реакцию от них получили только вечером 12-го июля. 😞

Суд в Тбилисском районе Краснодарского края вынес приговор в отношении 34-летнего старшего оперуполномоченного отдела уголовного розыска районного ОМВД, признав его виновным в злоупотреблении полномочиями и приговорил к 2,5 годам заключения, а также лишил его права занимать должности в правоохранительных органах.

С февраля по ноябрь 2018-го года бывший оперуполномоченный предоставил паспортные данные как минимум 15-ти граждан неустановленному лицу, выгружая текстовую информацию и сканы паспортов со сведениями о серии, номере, месте регистрации и дате выдачи.

Скорее всего речь идет о данных из автоматизированной системы «Российский паспорт» (АС «Роспаспорт»). Розничные цены на пробив по Роспаспорту сейчас начинаются от 1000 рублей. Скоро мы выпустим очередное исследование цен черного рынка на российские персональные данные. 🔥🔥🔥


Обзор случаев задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными в России: 👇

https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html

Исследователь из vpnMentor обнаружил открытый сервер Elasticsearch принадлежащий платформе выдачи займов в криптовалюте – YouHodler.com.

В этой новости не было бы ничего особенно интересного, если бы в индексах этого Elasticsearch не находились в открытом виде данные платежных карт (включая CVV-коды!). 🤦🏻‍♂️🤦‍♂️

Всего в свободном доступе находилось более 86 млн. записей, содержащих: 🔥🔥🔥

🌵 полные имена пользователей
🌵 даты рождения
🌵 адреса электронной почты
🌵 почтовые адреса
🌵 номера телефонов
🌵 номера паспортов и других документов
🌵 номера банковских карт и даты их истечения
🌵 CVV-коды карт
🌵 номера счетов и другие полные банковские реквизиты
🌵 адреса криптовалютных кошельков
🌵 хеши пароли (SHA-256)

В числе пользователей YouHodler, чьи данные оказались в открытом доступе, были обнаружены и жители России. 🙈

CVV-коды от платежных карт клиентов «грамотные» разработчики платформы YouHodler запрятали в поле «identity». 🔥🤦🏻‍♂️

Рады сообщить вам о том, что мы выпустили обновление DeviceLock DLP версии 8.3! 🔥

Что нового в DeviceLock 8.3.77473 по сравнению с версией 8.3.76699:

✅ NetworkLock: Улучшен контроль почтового веб-сервиса NAVER.
✅ NetworkLock: Улучшен контроль сервиса файлового обмена и синхронизации Google Drive.
✅ NetworkLock: Улучшен контроль протокола FTP.
✅ NetworkLock: Улучшен контроль мессенджера Telegram (web-приложения).
✅ NetworkLock: Значительно улучшен контроль мессенджера WhatsApp. Подключения к мессенджеру WhatsApp через приложение WhatsApp Desktop теперь контролируются отдельно от подключений через браузеры и WhatsApp-совместимые приложения. В дополнение к ранее реализованным возможностям контекстного контроля на уровне разрешения/блокировки подключений к сервису, контроль приложения WhatsApp Desktop в отношении входящих и исходящих сообщений и файлов теперь позволяет применять избирательное протоколирование и теневое копирование с поддержкой контентной фильтрации теневого копирования. Также в рамках контроля приложения WhatsApp Desktop реализована поддержка правил обнаружения содержимого (контентного анализа) входящих и исходящих сообщений и файлов. В рамках контроля веб-доступа к WhatsApp реализованы функции контекстного блокирования/разрешения доступа, событийного протоколирования и тревожных оповещений для подключений к WhatsApp через браузеры и WhatsApp-совместимые приложения.
✅ ContentLock / Search Server / Discovery: Оптимизировано извлечение текстовых данных из файлов в формате PDF.
✅ Search Server: Значительно расширены возможности полнотекстового поиска данных благодаря реализации поддержки Контентно-зависимых групп поиска. Теперь стало возможно выполнять поиск по различным признакам данных, таким как типы файлов, ключевые слова и выражения, расширенные свойства документов, и любым их сочетаниям вплоть до использования сложносоставных поисковых запросов.
✅ Search Server: Оптимизирована индексация бинарных данных при выключенной опции "Извлекать текст из бинарных файлов". Теперь информация о записи журнала теневого копирования, ассоциированная с бинарными данными, включается в индекс.
✅ DeviceLock: Реализована поддержка ОС Windows 10 версии 1903.
✅ DeviceLock: Улучшено детектирование реального типа файлов при заполнении соответствующего поля в журнале теневого копирования.
✅ DeviceLock: В функции детектирования реального типа файлов добавлен новый шаблон "Oracle Database file" (.dbf), а также улучшено детектирование файлов по шаблону "Android Package" (.apk).
✅ DeviceLock: Во всех диалоговых окнах фильтрации журналов добавлена кнопка "Очистить" для сброса всех введенных значений в полях фильтров.
✅ DeviceLock: Устранены редко воспроизводимые проблемы при контроле буфера обмена данными в терминальных сессиях Citrix в высоконагруженных средах.
✅ DeviceLock: Устранена ошибка "Windows was unable to parse the requested XML data", отображавшаяся при попытке просмотра Графа связей и отчетов в некоторых средах.
✅ DeviceLock: Устранены проблемы совместимости с программным обеспечением третьих сторон: Kaspersky Endpoint Security 11.1, Trend Micro VirusBuster Cloud 15.0.

DeviceLock DLP свободно доступен для бесплатного ознакомительного использования без каких-либо функциональных ограничений: https://www.devicelock.com/ru/download/

Скоро мы опубликуем полное подробное исследование, со всеми цифрами и названиями банков, а пока вышла небольшая статья в "Коммерсантъ": https://www.kommersant.ru/doc/4041428

Увы, акцент в статье смещен с "пробива", который собственно и исследовался нами в очередной раз, на какие-то атаки с целью хищения средств клиентов, а некоторые СМИ и вообще начали писать про хакеров. 🤦🏻‍♂️ Ни слова не написано про рынок пробива по сотовым операторам, хотя ему в исследовании уделено не меньше места, чем рынку "банковского пробива". 😞


В первой половине 2019 года резко выросли цены на черном рынке на данные банковских клиентов. Так, стоимость получения данных по картам или выписки по операциям выросла в 3–7 раз.

По оценкам DeviceLock (с ними ознакомился “Ъ”), стоимость получения данных выросла в 3–7 раз. В частности, в начале года выписку по счету клиента за месяц можно было бы купить за 2 тыс. руб., сейчас стоимость доходит до 15 тыс. руб. Кроме того, в компании отмечают и появление новых «услуг», в частности предложения по продаже адресов банкоматов, которыми пользовался клиент банка в течение месяца.

Жители Санкт-Петербурга обнаружили множество выброшенных документов с персональными данными: копии паспортов, медицинских книжек, номера телефонов и бухгалтерская отчетность.

Хакеры - самые опасные преступники современности

Хакерам со всего мира ежедневно удается взламывать непреступные сервера и сливать в сеть тонны безценной информации, разоблачающей правительства стран и наносящей вред крупным корпорациям – и при этом, что самое интересное, оставаться незамеченными.

На канале @forsighten вы узнаете как устроен мир хакеров, как взламывают сложные системы, создают утечки информации и о многом другом, о чем другие писать бояться.

Подписывайся 👉 @forsighten

Разработчик компании Comodo, занимающейся выдачей сертификатов SSL, Code Signing и др., допустил утечку учетной записи компании на публичный GitHub-репозиторий. 🤦‍♂️🤦🏻‍♂️

В свободном доступе находился адрес корпоративной электронной почты (логин) Comodo и пароль для доступа к облачным сервисам Microsoft: OneDrive и SharePoint.

Среди обнаруженных документов, принадлежащих Comodo: договора, информация о клиентах (телефоны, адреса эл. почты), корпоративные календари (расписание), фотографии, документы клиентов, резюме сотрудников Comodo. 🔥

В конце прошлого года мы выпустили статью «Как предотвращать утечки конфиденциальных данных на GitHub», в которой рассказали, как предотвращать непреднамеренные утечки посредством контроля загружаемых на GitHub данных. 👍

Корпоративный SharePoint, принадлежащий Comodo, доступ к которому был получен «благодаря» оставленному в публичном репозитории GitHub логину и паролю.

Как и обещали ранее – опубликовали новейший отчет «Цены российского черного рынка на пробив персональных данных (лето 2019)». 👍

Основные выводы:

🔥 стоимость «пробива» растет

🔥 в банковском сегменте цены увеличились в 4–7 раз, а количество банков существенно сократилось

🔥 в сегменте «мобильного пробива» в 1.5-2 раза

🔥 «пробив» по государственным базам не подорожал

Все подробности тут:👇
https://www.devicelock.com/ru/blog/tseny-chernogo-rynka-na-rossijskie-personalnye-dannye.html

Американский банк Сaptial One 19 июля 2019 года обнаружил, что злоумышленник получил доступ к базе данных, содержащей около 106 млн. заявок на открытие кредитных карт. При этом инцидент произошёл 22 и 23 марта 2019 года. 👍

Из примерно 106 млн. пострадавших клиентов, около 100 млн. человек проживает в США и остальные 6 млн. - в Канаде. 🔥🔥🔥

Утекла информация за период между 2005 и началом 2019 года:

✅ полные имена, даты рождения, номера телефонов, адреса электронной почты, почтовые адреса и доход

✅ около 140 тыс. американских номеров социального страхования (SSN), около 1 млн. канадских номеров социального страхования

✅ текущий баланс по счетам, история платежей, кредитный рейтинг, кредитные лимиты

✅ данные о транзакциях за 23 дня, в период между 2016 и 2018 гг.

ФБР уже отчитались об аресте подозреваемого. Злоумышленником оказалась бывшая 33-летняя сотрудница компании Amazon (2015-2016 гг.), инженер подразделения Amazon Web Services (AWS), известная в Твиттере как «ᗴᖇᖇᗩ丅Ꭵᑕ» (https://twitter.com/0xa3a97b6c).

Установлено, что, используя VPN-сервис IPredator и TOR-браузер, Пейдж Томпсон (Paige A. Thompson) получила доступ к облачному хранилищу банка и скачала базу данных.

Интересно, что своему аресту фактически поспособствовала сама Пейдж – она хвасталась своими успехами во взломе банка в чате (в Slack) со своими приятелями и позже даже написала на GitHub публичный пост с неким описанием внутренней системы банка, который и вывел ФБР на нее. 🤦🏻‍♂️🤦‍♂️

Уважаемые читатели, по традиции в конце месяца напоминаем вам про подписку на дайджест наиболее значимых утечек месяца! 🔥

Если нет времени читать все публикации на канале или захотите по итогам месяца освежить память - рекомендуем подписаться. Никакого спама. 😎

Подписаться на дайджест можно по этой ссылке: 👇
https://www.devicelock.com/ru/subscribe.html