Американский банк Сaptial One 19 июля 2019 года обнаружил, что злоумышленник получил доступ к базе данных, содержащей около 106 млн. заявок на открытие кредитных карт. При этом инцидент произошёл 22 и 23 марта 2019 года. 👍

Из примерно 106 млн. пострадавших клиентов, около 100 млн. человек проживает в США и остальные 6 млн. - в Канаде. 🔥🔥🔥

Утекла информация за период между 2005 и началом 2019 года:

✅ полные имена, даты рождения, номера телефонов, адреса электронной почты, почтовые адреса и доход

✅ около 140 тыс. американских номеров социального страхования (SSN), около 1 млн. канадских номеров социального страхования

✅ текущий баланс по счетам, история платежей, кредитный рейтинг, кредитные лимиты

✅ данные о транзакциях за 23 дня, в период между 2016 и 2018 гг.

ФБР уже отчитались об аресте подозреваемого. Злоумышленником оказалась бывшая 33-летняя сотрудница компании Amazon (2015-2016 гг.), инженер подразделения Amazon Web Services (AWS), известная в Твиттере как «ᗴᖇᖇᗩ丅Ꭵᑕ» (https://twitter.com/0xa3a97b6c).

Установлено, что, используя VPN-сервис IPredator и TOR-браузер, Пейдж Томпсон (Paige A. Thompson) получила доступ к облачному хранилищу банка и скачала базу данных.

Интересно, что своему аресту фактически поспособствовала сама Пейдж – она хвасталась своими успехами во взломе банка в чате (в Slack) со своими приятелями и позже даже написала на GitHub публичный пост с неким описанием внутренней системы банка, который и вывел ФБР на нее. 🤦🏻‍♂️🤦‍♂️

Уважаемые читатели, по традиции в конце месяца напоминаем вам про подписку на дайджест наиболее значимых утечек месяца! 🔥

Если нет времени читать все публикации на канале или захотите по итогам месяца освежить память - рекомендуем подписаться. Никакого спама. 😎

Подписаться на дайджест можно по этой ссылке: 👇
https://www.devicelock.com/ru/subscribe.html

УМВД России по Хабаровскому краю направило в суд уголовное дело (по ч. 4 ст. 159 УК РФ «Мошенничество») в отношении менеджера по работе с ключевыми клиентами отдела корпоративных продаж одного из банков Хабаровска. 👍

Сообщается, что 33-летний обвиняемый имел доступ к клиентской базе банка и знал порядок оформления кредитных договоров посредством мобильного приложения. Он вносил изменения в персональные данные клиентов, направлял в банк фиктивные заявления на получение кредитов. 🙈

Злоумышленник указывал номера телефонов, находящихся у него в пользовании. Посредством мобильного приложения, подключенного к указанным им номерам телефонов, злоумышленник оформлял кредитные договоры на клиентов банка без согласия и фактического присутствия заемщиков.

Обвиняемый воспользовался персональными данными семи клиентов банка для получения потребительских кредитов по 17-ти кредитным договорам на общую сумму около 6,7 млн. рублей.

Департамент полиции Лос Анджелеса (LAPD) допустил утечку персональных данных полицейских и подававших заявки на службу в департаменте кандидатов.

Всего пострадали данные 2,5 тыс. офицеров департамента и 17,5 тыс. кандидатов:

🌵 имена
🌵 даты рождения
🌵 адреса электронной почты
🌵 адреса
🌵 пароли

Известно, что данные похитил внешний злоумышленник 20 июля 2019 года. Больше никаких подробностей инцидента не сообщается.

Не так давно хакеры из PokémonGo Team похитили данные ассоциации выпускников программы повышения квалификации академии ФБР США (мы делали анализ этих данных тут: https://news.1rj.ru/str/dataleak/952). Известно, что через подобные уязвимости была украдена информация и из многих других государственных и «окологосударственных» вебсайтов США.

Компания Honda Motor оставила в свободном доступе сервер Elasticsearch, содержащий 134 млн. записей о сотрудниках, включая их персональные данные, информацию об их рабочих компьютерах, принтерах и даже логи от средства защиты рабочих станций CrowdStrike Falcon. 🔥🔥🔥

Общий размер данных около 41 Гб.

По каждому сотруднику компании в базе находилось:

🌵 имя сотрудника
🌵 адрес электронной почты
🌵 название департамента
🌵 индивидуальный номер
🌵 имя компьютера
🌵 тип и версия ОС
🌵 логин
🌵 время последнего входа в систему
🌵 IP и MAC-адрес
🌵 список установленных обновлений Windows
🌵 состояние средства защиты компьютера (агента CrowdStrike Falcon Sensor)
🌵 название принтера и его IP-адрес

Вчера по СМИ прошла очередная «пиар-утечка» - сообщили о том, что на форумах обнаружили дампы логинов и хешей паролей пользователей индонезийского и тайского сайтов парфюмерно-косметического бренда Sephora - Sephora.co.id и Sephora.co.th. 😎

Дамп логинов/хешей содержит 541,188 строк вида:

XXX@gmail.com:$2a$10$2P2F72rStiyx8TiHMsrh1Op72a0Lm6XGeiBKxZskwNQiEAPg.LO5e

Данный хеш представляет собой результат работы алгоритма Bcrypt (cost factor - 10).

Плюс к этому вспомнили про давно (с марта 2019 г.) продающийся в даркнете полный дамп базы клиентов Sephora, размером около 3.2 млн. строк, содержащих столбцы:

✅ createdAt
✅ account
✅ userId
✅ firstName
✅ lastName
✅ country
✅ gender
✅ ethnicity
✅ skinTone
✅ skinType
✅ hairConcerns
✅ skincareConcerns
✅ dateOfBirth
✅ cardNumber
✅ crmId
✅ email
✅ emailHash

Эту базу продают за $1900. 👍

А помните мы писали (тут https://news.1rj.ru/str/dataleak/957 и тут https://news.1rj.ru/str/dataleak/958) про то, как «умельцы» нашли способ собирать данные желающих открыть карту «Эlixir» Бинбанка? 👇

Напомним, что заполненные формы с персональными данными (ФИО, серия, номер паспорта, кем и когда выдан, телефон, адрес проживания и т.п.) были доступны прямо на сайте банка по URL вида:

http://app.binbank.ru/g/Nxxxxxxx

После нашего поста банк прикрыл это безобразие, однако данные уже утекли и был только вопрос времени, когда собранная база всплывет на черном рынке. 🙈

И вот не так давно в продаже появилась база данных Бинбанка, размером около 70 тыс. строк, стоимостью примерно 5 рублей за одну строку. 👍

На то, что эта база собрана с тех самых «забытых» банком форм указывает тот факт, что среди прочих данных, там в колонке «Ссылка» находятся те самые URL (уже не работающие), про которые мы и писали изначально:

http://app.binbank.ru/g/9EHTtaHH
http://app.binbank.ru/g/8nrNnzHu
http://app.binbank.ru/g/1bKKbKOb

Единственное в чем мы тогда ошиблись, это в том, что ошибочно думали «первый символ всегда цифра 2 или 7», оказалось там могла находится любая цифра от 1 до 9. 😎

Скоро выпустим очередное исследование черного рынка банковских баз данных. 🔥🔥

База данных Бинбанка размером около 70 тыс. строк, полученная из форм «забытых» банком на своем сайте. 🤦‍♂️

DeviceLock 4 августа сообщила “Ъ” о продаваемой в сети базе данных клиентов Бинбанка в количестве 70 тыс. строк стоимостью примерно 5 руб. за строку.

Весной в компании уже рассказывали об утечке данных граждан—клиентов Бинбанка, подававших в свое время заявки на получение кредитной карты Эlixir: методом подбора можно было получить доступ к ФИО, паспортным данным, телефону и адресу проживания (см. “Ъ” от 16 апреля).

«После нашего сообщения в апреле банк закрыл уязвимость,— пояснил “Ъ” основатель DeviceLock Ашот Оганесян.— Однако данные уже утекли. Появившаяся сейчас на черном рынке база как раз собрана благодаря той уязвимости». По его словам, база «на днях была уже продана эксклюзивно в одни руки», сейчас ее предлагают еще несколько продавцов данных.

https://www.kommersant.ru/doc/4052451

Сайт крупнейшей игровой выставки Electronic Entertainment Expo (Е3) допустил утечку персональных данных журналистов.

Файл электронной таблицы, содержащий имена, адреса электронной почты, почтовые адреса, номера телефонов, названия организаций 2025 человек, зарегистрировавшихся как представители СМИ на E3 2019, был свободно доступен для скачивания. 🤦🏻‍♂️

Пострадавшие готовят коллективный иск. 👍

Сегодня пресс-служба банка «Открытие» сделала заявление по поводу появившейся в продаже базы «Бинбанка»: (https://news.1rj.ru/str/dataleak/1189) "Нет никаких подтверждений того, что база, о которой пишет газета "Коммерсантъ", имеет какое-то отношение к клиентам Бинбанка".

Не будем это никак комментировать, приведем только два скриншота:

🌵 сверху - формы на сайте «Бинбанка», которые были доступны 15 апреля 2019 г. по линкам: app.binbank.ru/g/2EmEqkcz и app.binbank.ru/g/7EAEaAEu

🌵 снизу – кусок из базы, которая сейчас доступна на черном рынке банковских баз данных

🤦‍♂️🤦🏻‍♂️🙈

Скоро выйдет очередное исследование DeviceLock «цены черного рынка банковских баз данных». 🔥🔥

А пока по материалам это исследования «Известия» опубликовали статью:

Клиентские базы данных половины банков из топ-20 можно купить на черном рынке. За год они подорожали втрое — с 20 до 70 рублей за одну запись, следует из отчета компании по борьбе с инсайдерскими утечками DeviceLock («Известия» ознакомились с исследованием). Компания проверила 10 баз данных, датированных июнем или июлем, которые продаются в DarkNet и telegram-каналах, — все принадлежат банкам из первой двадцатки.

Стоимость данных зависит от их «свежести»: цена за сведения о клиенте, датируемые прошлым месяцем, доходит до 100 рублей, рассказал автор исследования — технический директор компании DeviceLock Ашот Оганесян. Именно эти данные могут использоваться для телефонных атак на клиентов банков, когда мошенники пытаются получить у жертв SMS-код подтверждения перевода средств или смены пароля в интернет-банке с помощью социальной инженерии, пояснил он. Чем больше мошенник знает о клиенте, тем ему проще вызвать доверие и вынудить жертву раскрыть недостающие данные.

https://iz.ru/906688/natalia-ilina-anna-urmantceva/iz-bazy-von-dannye-o-klientakh-bankov-iz-top-20-prodaiut-v-telegram

Буквально вчера писали, что крупнейшая игровая выставка Electronic Entertainment Expo (Е3) допустила утечку персональных данных журналистов и блогеров (https://news.1rj.ru/str/dataleak/1192), а уже сегодня этот файл с данными можно найти на специализированных форумах. 😎

В файле E3-2019-Approved-Media-List-1-1.xlsx размером 851 Кб, находится 2025 записей, содержащих:

🌵 название СМИ/блога
🌵 имя/фамилию
🌵 должность
🌵 адрес электронной почты
🌵 полный почтовый адрес
🌵 телефон
🌵 флаги «одобрен» и «включен в список медиа», говорящие нам о том, что данные в этом файле получены выборкой из большой базы данных всех участников выставки (что логично).

Из России в данном файле находятся 17 записей, в том числе принадлежащие представителям довольно известных изданий. 👍

Директора детского лагеря при «Доме детского творчества» в Ярославской области оштрафовали на 4 тыс. рублей за то, что она предоставила для рисования одному из детей лист бумаги (договор), на обороте которого находилась информация с персональными данными родителей.


Женщину привлекли к административной ответственности за нарушение законодательства Российской Федерации в области персональных данных.


Странно, но не слышно, чтобы рядовых сотрудников и руководство банков штрафовали за торговлю персональными и банковскими данными клиентов. 🤣😂

В начале лета DeviceLock Data Breach Intelligence (https://www.devicelock.com/ru/data-breach-intelligence/) обнаружила сервер с открытым Elasticsearch, принадлежащий сочинскому агентству недвижимости «Городской Риэлторский Центр» (grc-sochi.ru).

На сервере в свободном доступе, в индексе «employee» находилась информация о 49-ти сотрудниках компании, в том числе:

🌵 ФИО
🌵 дата рождения
🌵 названия отдела
🌵 внутренний идентификатор
🌵 номер телефона

После нашего оповещения сервер, находившийся в свободном доступе с 30.10.2018, был «тихо» закрыт. 🙈

Недавно мы публиковали обзор цен российского черного рынка на пробив персональных данных, а теперь посмотрим как выглядит рабочий экран банковского «пробивщика» в одном из банков. 🤦‍♂️🤦🏻‍♂️👍🔥🔥

Районный суд г. Улан-Удэ признал виновной по двум статьям (неправомерный доступ к компьютерной информации и незаконное разглашение сведений, составляющих коммерческую тайну) бывшего специалиста офиса продаж оператора сотовой связи.

25-летняя девушка, в августе-сентябре 2018 года, копировала персональные данные абонентов и отправляла неустановленному лицу через интернет.

За это бывшая сотрудница оператора связи получила вознаграждение в сумме 6 тысяч рублей. 🤦‍♂️

В обзоре цен российского черного рынка на пробив персональных данных мы писали про стоимость «мобильного пробива»: https://www.devicelock.com/ru/blog/tseny-chernogo-rynka-na-rossijskie-personalnye-dannye.html

Девушке назначили наказание в виде трех лет лишения свободы условно с испытательным сроком два года.


Кстати, за все время анализа подобных случаев, нам не удалось обнаружить ни одного судебного процесса или сообщения о заведенном деле на сотрудника банка, пойманного на «пробиве». 🤷‍♂️

Обзор случаев задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными в России: 👇

https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html

Наш новый отчет "Цены черного рынка на базы данных российских банков (лето 2019)": 👇

https://www.devicelock.com/ru/blog/tseny-chernogo-rynka-na-rossijskie-personalnye-dannye-bazy-dannyh.html

🔥🔥🔥

В отчете рассмотрены только базы данных российских банков, которые на август 2019 года доступны для покупки на черном рынке.

Все эти базы вовсю используют мошенники. Получив доступ к информации о наличии денег на счетах и «обогатив» данные по клиенту выпиской по его последним транзакциям (используя «банковский пробив», о котором рассказано тут), злоумышленники могут представляться сотрудниками банков и пытаться тем или иным способом добраться до денег.

13 июня злоумышленник взломал (через уязвимость в движке MyBB) форум SocialEngineered.net, посвященный обсуждению вопросов, связанных с социальной инженерией.

Были украдены данные 55,121 зарегистрированных пользователей форума, включающие в себя: имена пользователей, адреса электронной почты, IP-адреса, хешированные (MD5 с солью) пароли, приватные сообщения и многое другое.

Сегодня в свободном доступе появились расшифрованные пароли 30,458 пользователей из этой утечки – пары «email:пароль».

Почти 60% из этих пар - уникальные и ранее не были «засвечены». См. наш анализ 3,5 миллиарда скомпрометированных пар «логин-пароль»: https://news.1rj.ru/str/dataleak/983

Однако, интересна обратная сторона этой цифры – 40% пар «логин-пароль» из этой не самой крупной утечки уже ранее использовалась в других сервисах. Классическая проблема «password reuse». 🙈

Сегодня немного наших любимых «дорков» для Google.

На этот раз посмотрим, что там у нас с избирательными комиссиями, как они (не) разглашают персональные данные (паспорта, адреса, телефоны) своих членов. 🤦🏻‍♂️

Поищем в Гугле:

🌵 "Паспортные данные" "Сведения о членах постоянных участковых избирательных комиссий" filetype:pdf

🌵 "Паспортные данные" "Сведения о членах постоянных участковых избирательных комиссий" filetype:xls

🌵 "Паспортные данные" "Сведения о членах постоянных участковых избирательных комиссий" filetype:doc

А порывшись в кеше Гугла можно и такое найти:

🌵 "http://webcache.googleusercontent.com/search?q=cache:TyKfOPYqLRQJ:xn----8sbwcfcbb5ccleq3ec1c.xn--p1ai/svedeniya-o-chlenakh-postoyannykh-uchastkovykh-izbiratel-nykh-komissiy-vse-naznachennye-na-dolzhnost-v-uik-yamalo-nenetckiy-avtonomnyy-okrug-territorial-naya-izbiratel-naya-komissiya-shuryshkarskogo-rayona-89t011-po-sostoyaniyu-na-27-05-2019.html+&cd=14&hl=ru&ct=clnk&gl=ru&client=firefox-b-d

Кстати, в Яндексе тоже немножко есть, если поискать:

🌵 "Паспортные данные" "Сведения о членах постоянных участковых избирательных комиссий"

🤣😭

Поиск в Google по «"Паспортные данные" "Сведения о членах постоянных участковых избирательных комиссий"»