Произошла непонятная история с постом про утечку персональных данных через чат "Московская команда Навального". Пост просто исчез из канала!

Более того, XLSX-файл с персональными данными исчез из канала "Товарищ майор", где он был продублирован.

Как-то это все не очень хорошо выглядит и попахивает цензурой, которой как бы в Telegram нет. Будем считать, что это был сбой в работе мессенджера.🤣


Вынуждены повторить пост. 👇👇👇


В Telegram-чат сторонников А. Навального выложили Excel-файл с персональными данными этих самых сторонников (как они называют - "актив"). 🤦‍♂️🤦🏻‍♂️

Файл База.xlsx размером 242 Кб содержит 3198 записей:

🌵 ФИО
🌵 адрес
🌵 номер паспорта (не для всех записей)
🌵 телефон (не для всех записей)
🌵 дата рождения

Вот эта картинка была приложена к посту в этом канале, который удалили сотрудники Telegram, видимо по политическим мотивам.

В данном канале освещаются случаи утечек информации вне зависимости от политических предпочтений его владельцев. Это чисто техническая информация, не имеющая политической окраски.

К сожалению, сотрудники Telegram этого не понимают, раз занимаются подобными отвратительными делами.

Хакерская группировка KelvinSecTeam обнаружила и выложила в открытый доступ IP-адрес сервера с записями звонков в компанию «Реклама59», занимающуюся размещением рекламы на общественном транспорте в г. Пермь. 😂

Записи в формате MP3 находятся в подкаталоге /amo/, что явно указывает на используемую в компании «amoCRM». Все файлы датированы 2019 годом (с марта по август).

В поддиректории /cdr/ находится также свободно доступный «Asterisk CDR Viewer».


Кстати, эти же хакеры не так давно обнаружили ту же самую проблему (она остается до сих пор 🤦🏻‍♂️) с сервером службы «Али такси» (https://news.1rj.ru/str/dataleak/1049).

В начале июля система DeviceLock Data Breach Intelligence обнаружила сервер с открытым Elasticsearch, принадлежащий сервису бронирования российских курортов «Кузук» (kuzuk.ru).

Ранее мы уже неоднократно находили базы с данными туристических компаний: https://news.1rj.ru/str/dataleak/1134 («Алем-Тур») и https://news.1rj.ru/str/dataleak/1029 («Слетать.ру»). 👍

Отличительной чертой данного случая является то, что персональные данные туристов хранятся на сервере в Германии (площадка «Hetzner») и находятся в открытом доступе до сих пор. 🤣

Оповещение было выслано 02.07.2019, но никакой реакции не последовало. Этот сервер впервые появился в открытом доступе 30.09.2017, но потом исчез и «вернулся» уже 23.06.2019. 🤦🏻‍♂️

Свободно доступно более 61 тыс. записей, содержащих:

🌵 ФИО
🌵 телефон
🌵 адрес электронной почты
🌵 описания объекта бронирования
🌵 содержимое автоматических СМС сервиса (включает ФИО, номер телефона, номер заказа и т.п.)

"phone": 7983***,
"denoscription": "<img src=\"/images/callButtons/tourist.png\" alt=\"\" noscript=\"Турист\" data-toggle=\"tooltip\">Ог*** Ю*** Андреевна (последний заказ - <a target=\"_blank\" href=\"/userorder/39022\">39022</a>, Гостевой дом 4 Сезона, Байкал). 7983***",
"search_field": "Ог*** Ю*** Андреевна (последний заказ - 39022, Гостевой дом 4 Сезона, Байкал). 7983***",
"last_message_date": "2016-06-15 12:19:55",
"messages": [
{
"type": "in",
"time": "2016-06-15 12:19:55",
"msg": "Этот абонент доступен для звонка."
},

(реальные данные заменены на *)

Судя по всему, сервер заброшен (данные не изменяются). Все записи относятся к промежутку между 2015 годом и началом (апрель) 2018 года.

Очередной «зомби» - умер, но продолжает сливать персональные данные пользователей. 😂 Про такие проекты мы писали тут: https://news.1rj.ru/str/dataleak/984

Вчера хакеры из THack3forU (про них тут https://news.1rj.ru/str/dataleak/926) взломали интернет-магазин сети аптек «НЕОФАРМ» (neopharm.ru).

Хакеры обнаружили свободно доступную базу данных MongoDB, находившуюся на том же самом IP-адресе, что и сайт магазина. 🤦🏻‍♂️ После чего они подменили описания и картинки в карточках товаров. 😂

В данный момент база данных уже закрыта, как и сам магазин (выводится сообщение «Site under construction.»). 😭

Данный сервер с MongoDB появился в открытом доступе 06.08.2019, а до этого периодически «мелькал», начиная с 11.04.2018. 🤦‍♂️

В июне 2017 года две бывшие сотрудницы филиала банка в Сахалинской области, оказывающего услуги по предоставлению потребительских кредитов, оформили на ничего не подозревающих граждан 2 кредитных договора и приобрели по ним три смартфона, которые позже сдали в ломбард. 🙈

Бывшие эксперты прямых продаж банка, в чьи обязанности входила работа с персональными данными клиентов и их фотографирование, сохранили себе копии документов двух граждан, обращавшихся за кредитом, но так его и не взявших, после чего оформили на них займы размером 100 и 47 тысяч рублей.

Санкции статьи (мошенничество, совершенного группой лиц по предварительному сговору), инкриминируемой обвиняемым, предусматривают до пяти лет лишения свободы.


Обзор случаев задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными в России: 👇

https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html

9-го августа мы написали про «дорки» для Google с помощью которых можно найти в открытом доступе персональные данные членов постоянных участковых избирательных комиссий: https://news.1rj.ru/str/dataleak/1202 😎

И вот уже «умельцы» собрали все эти данные в единую таблицу и выложили для свободного скачивания в виде Excel-файла. 👍

Всего получилось 105 записей, содержащих:

🌵 ФИО
🌵 дату и место рождения
🌵 серию и номер паспорт, кем и когда выдан
🌵 адрес
🌵 телефон (мобильный и домашний)

Помните мы писали (https://news.1rj.ru/str/dataleak/1204), что дамп базы пользователей биржи кроссовок и одежды StockX свободно доступен на специализированных форумах? 6,847,162 записей содержат в том числе и хешированный пароль.

Нам стало известно, что 1,3 млн. хешей уже расшифровано и пароли продаются за $300. 😎

Кроме того, в свободном доступе появился дамп MySQL (файл addresses.sql) с адресами доставки заказов StockX. Всего в дампе 5,824,189 строк.

После объединения обоих дампов получается единая база данных пользователей и их заказов, содержащая 9,742,434 записи (один пользователь может иметь более одного заказа, поэтому общий размер базы превышает 6,8 млн. строк). 🔥

Ребята из vpnMentor сообщают об очередном открытом сервере Elasticsearch. На этот раз им попался сервер с данными облачной системы контроля доступа в помещения «BioStar 2» (supremainc.com/en/platform/hybrid-security-platform-biostar-2.asp). Данная система используется во многих банках, полиции и оборонных компаниях по всему миру. 🔥

В индексах свободно доступного Elasticsearch, общим размером 23 Гб находилось 27,8 млн. записией, содержащих:

🌵 имена пользователей

🌵 пароли доступа в открытом/текстовом виде (очень много паролей вида “Password” и “abcd1234”) 🙈

🌵 данные отпечатков пальцев

🌵 логи доступа в помещения

🌵 данные сотрудников клиентов «BioStar 2» (включая уровни доступа)


От себя добавим, что этот сервер «BioStar 2» был доступен сразу по двум IP-адресам (13.114.40.52 и 54.250.184.74) и располагался на площадке Amazon в Японии. 😎

Также отметим, что по адресу 13.114.40.52 сервер Elasticsearch находился в открытом доступе с 21.01.2019. А по адресу 54.250.184.74 впервые «засветился» - 07.09.2017. 🤦‍♂️🤦🏻‍♂️

Пароли в системе контроля доступа в помещения «BioStar 2» хранятся в текстовом виде 🤦🏻‍♂️🤦‍♂️🙈

Банкам не нравится, когда кто-то говорит правду про то, как они допускают постоянные утечки персональных и банковских данных своих клиентов. 😎

Видимо осознав, что бороться с утечками они не могут, а наши отчеты (https://www.devicelock.com/ru/blog/tseny-chernogo-rynka-na-rossijskie-personalnye-dannye.html и https://www.devicelock.com/ru/blog/tseny-chernogo-rynka-na-rossijskie-personalnye-dannye-bazy-dannyh.html) их очень раздражают, обиженные банки решили тоже поиграть в «исследователей утечек».

Откопали старый случай с нашим публичным FTP и учетной записью на GitHub, про который мы сами и написали (тут: https://news.1rj.ru/str/dataleak/908), разместили это все в Telegram-канале. 🤦🏻‍♂️🤦‍♂️

Получилось очень смешно. 🤣

Читатели канала сообщают об открытом сервере со статистикой использования почты пользователями саратовского интернет провайдера ООО «РЕНЕТ КОМ». 🙈

Данный сервер находится по элементарному поисковому запросу в Google “Отчет по почтовому трафику”. 👍

По каждому пользователю видно детальную статистику использования почтового протокола и списки адресов электронной почты.

Открытость государственных закупок это дело хорошее и полезное, но только не когда это касается персональных данных. 👇

На портале «Единая информационная система в сфере закупок» засветились паспортные данные (ФИО, серия, номер паспорта, кем и когда выдан, место регистрации) 97 человек – сотрудников ФЕДЕРАЛЬНОГО ГОСУДАРСТВЕННОГО БЮДЖЕТНОГО УЧРЕЖДЕНИЯ «ЖУКОВСКИЙ АВИАЦИОННО-СПАСАТЕЛЬНЫЙ ЦЕНТР МЧС РОССИИ»: http://zakupki.gov.ru/epz/order/notice/ep44/view/documents.html?regNumber=0348100081518000193

В разделе "Документы закупки" можно найти линк "Скан Договора" (http://zakupki.gov.ru/44fz/filestore/public/1.0/download/priz/file.html?uid=7D13064C405A0038E0530A86121F284A), где в "Приложении 1" и находятся персональные данные. 🤦🏻‍♂️

IDOR-уязвимость на сайте украинской страховой компании «Оранта» позволяет получить доступ к электронным страховым полисам. 🔥

Полисы компании доступны по ссылкам вида:

https://oranta.ua/policy/XXX/

где XXX это MD5-хеш от 7-значного номера полиса, в диапазоне 1000000 - 4000000.

Таким образом, простым перебором всех чисел из этого диапазона можно получить доступ к туристическим и автогражданским полисам, а также к «зеленым картам», которые в свою очередь содержат ФИО, даты рождения, номера паспортов, ИНН, адреса, номера телефонов, номера водительских удостоверений, данные транспортных средств (госномера, VIN и т.п.). 🤦🏻‍♂️🤦‍♂️

07.06.2019 страховая компания была уведомлена об этой уязвимости, но до сих пор ее не устранила. 🙈

Подробнее про это тут: https://telegra.ph/EHlektronnye-polisy-ukrainskoj-strahovoj-kompanii-v-otkrytom-dostupe-08-07

Читатель канала сообщил, что страховая компания «Оранта» закрыла IDOR-уязвимость.

На устранение уязвимости потребовалось 2.5 месяца. Скорее всего данные клиентов компании из полисов уже утекли.

Среди строительного и бытового мусора жители поселка Восток в Наро-Фоминском районе Московской области нашли документы Минфина - служебные записки с просьбой возместить расходы на организацию приемов иностранных делегаций или выплатить командировочные. 👍

Большинство документов содержали персональные данные сотрудников Минфина, на некоторых из них стояла подпись главы ведомства Антона Силуанова.

Минфин заявил, что за утилизацию документов отвечает подрядная компания и они будут «разбираться» с ней. 😂

Довольно специфическое (приверженцы теории заговора) издание «Project Veritas» опубликовало внутренние документы Google, украденные из компании инженером-разработчиком Zach Vorhies:
https://www.projectveritas.com/google-document-dump/.

Всего было украдено более 1000 внутренних документов и скриншотов.

Сервис подписки на билеты в кино «MoviePass» допустил утечку данных 58 тыс. своих клиентов. 🔥

Исследователи обнаружили открытый сервер с 161 млн. логов и как это часто бывает, в логах содержалась критичная информация:

🌵 номера карт «MoviePass», которые являются обычными дебетовыми картами MasterCard 🤦‍♂️
🌵 номера кредитных карт и даты их истечения 🤦🏻‍♂️
🌵 имена
🌵 адреса
🌵 адреса электронной почты
🌵 текстовые пароли от личных кабинетов пользователей


Мы неоднократно обнаруживали подобные утечки, когда в открытом доступе оказывались логи с чувствительными данными:

✅ утечка данных клиентов «Inventive Retail Group» (IRG управляет сетями re:Store, Samsung, Sony Centre, Nike, Street Beat и др.): https://news.1rj.ru/str/dataleak/1089

✅ утечка из транспортно-логистической компании «FESCO»: https://news.1rj.ru/str/dataleak/1081

✅ утечка из медицинской IT-системы сети лабораторий «Центр молекулярной диагностики» (CMD): https://news.1rj.ru/str/dataleak/1023

✅ утечка из сервиса по продаже электронных билетов «Радарио»: https://news.1rj.ru/str/dataleak/1012

✅ утечка из сервиса по подбору туров «Слетать.ру»: https://news.1rj.ru/str/dataleak/1028

В свободный доступ выложили дамп базы данных приложения для видео-звонков «Dubsmash», размером 160 млн. записей. Базу впервые выставили на продажу в феврале 2019 года, приблизительная стоимость тогда была $3000. Сама утечка при этом произошла в 2018 году.

В базе доступны следующие поля:

"id", "password", "last_login", "is_superuser", "username", "email", "is_active", "is_staff", "date_joined", "language", "secret_key", "birthday", "signup_source", "country", "updated_at", "accepted_terms_version", "first_name", "last_name", "created_in_house", "last_active_at", "facebook_id", "has_public_profile", "profile_picture"

Значения в поле “password” представляют собой PBKDF2-хеши паролей пользователей приложения.

Несмотря на то, что пароли в базе вроде как хранились безопасно, на сегодняшний день свободно доступно 14 млн. расшифрованных паролей. 👍

Мы проанализировали 14,562,979 расшифрованных паролей «Dubsmash» и соответствующих им логинов (адресов электронной почты) и выяснили, что на 80% эти пары уникальны, т.е. ранее никогда не встречались в открытых утечках. Около 3 млн. пар «логин/пароль» из этой утечки уже ранее использовалось в других сервисах. 🤦🏻‍♂️

Вечером 20-го августа система DeviceLock Data Breach Intelligence обнаружила открытую базу данных MongoDB, принадлежащую IT-компании «Лама» (lama.ru), занимающуюся автоматизацией бухгалтерского и торгового учета на базе ПО «1С».

Забегая вперед скажем, что это уникальный случай в нашей долгой истории обнаружения утечек. Никогда еще мы не находили в свободном доступе работающих ключей доступа к банковским счетам компаний! 🔥🔥🔥

В базе данных находилась информация по платежам, включая частичные номера банковских карт:

"Cards" : [
{
"Pan" : "546938******5392",
"CardId" : "3021480",
"Status" : "Active",
"RebillId" : "327522914"
}

Кроме того, там были данные по пользователям системы, включающие:

🌵 имена
🌵 адреса электронной почты
🌵 телефоны
🌵 хешированные пароли и соль
🌵 даты рождения
🌵 идентификаторы мобильных устройств


Вся эта информация не выглядела критичной и более того, была очень похожа на набор тестовых данных.

Однако, в настройках системы обнаружился токен доступа к счетам компании в «Модуль Банке»: 🤦🏻‍♂️🤦‍♂️🙈

"ModulBankSettings" : {
"BankAccountId" : "a089dab8-f646-XXXXX",
"Url" : "https://api.modulbank.ru/v1",
"Token" : "YzlmOTkXXXXX",
"RsaKey" : "<RSAKeyValue><Modulus>wfGV1+XXXXX</Modulus><Exponent>AQAB</Exponent><P>zuEMmXXXXXX</P><Q>7/5FCUHcXXXXX</Q><DP>jtYhfeKXXXXX</DP><DQ>TknxNWXXXXX</DQ><InverseQ>vKiFub3g2inRQJooXXXXX</InverseQ><D>J1E4lWuyXXXXX</D></RSAKeyValue>"
},

(реальные данные заменены нами на X)

Как выяснилось позже, это был реальный токен, предоставляющий доступ ко всем счетам компании. Любой, обнаруживший эту свободно доступную базу данных, мог сформировать POST-запрос к API банка, например: https://api.modulbank.ru/v1/account-info

В ответ возвращался JSON-файл с данными о балансах, номерах счетов (карточный счет и расчетный счет), ИНН, КПП, ОГРН. 😎

Мы немедленно оповестили компанию «Лама», но разумеется никакого ответа от них так и не получили. 🤣

Зато через службу безопасности «Модуль Банка» удалось очень быстро решить проблему – к 10-ти утра 21-го августа база уже была закрыта, а банковский токен перестал работать. 👍