Немного о потребителях услуг «пробива». 😎

В Тюмени направлено в Центральный районный суд дело частного детектива, который незаконно собирал данные о частной жизни граждан.

В ноябре 2018 года владелец одного из салонов красоты обратился к частному детективу с заказом расследовать кражу сотрудниками салона базы данных клиентов.

Частный детектив незаконным способом получил информацию о личной жизни одной из бывших сотрудниц салона, а также членов ее семьи. Детектив передал заказчику сведения о месте регистрации, номерах мобильных телефонов, о действующих и ранее выданных паспортах (тут явно идет речь о пробиве по АС «Роспаспорт»), о движении денежных средств по банковским счетам. За свою работу он получил более 120 тысяч рублей.

42-летнего частного детектива обвиняют по статьям «Нарушение неприкосновенности частной жизни» и «Превышение полномочий частным детективом».


Недавно мы публиковали обзор цен российского черного рынка на пробив персональных данных.

А также обзор случаев задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными в России.

В открытый доступ попали списки пассажиров двух авиакомпаний: малазийской Malindo Air и тайской Thai Lion Air. Обе авиакомпании связаны с индонезийской компанией Indonesian Lion Air Group и судя по формату данных используют одну и ту же ИТ-систему. 🔥🔥🔥

По пассажирам каждой авиакомпании доступно:

🌵 номер бронирования
🌵 имя/фамилия
🌵 дата рождения
🌵 полный почтовый адрес
🌵 данные по паспорту (номер, кем и когда выдан и т.п.)
🌵 адрес электронной почты
🌵 номер телефона

Для Malindo Air доступно 13,8 млн строк (из них 25,078 относятся к России).

Для Thai Lion Air доступно 32,18 млн строк (из них 66,429 относятся к России).

Мы провели проверку достоверности данных и можем подтвердить, что в открытом доступе находятся персональные данные реальных пассажиров, летавших этими авиакомпаниями. 👍

Точную актуальность обнаруженных данных мы пока определить не можем, но предположительно это 2017-2018 г. 😎

База пассажиров авиакомпании Thai Lion Air - 32,18 млн строк (66,429 из России).

База пассажиров авиакомпании Malindo Air - 13,8 млн строк (25,078 из России).

Очередной открытый Elasticsearch-сервер был обнаружен нами в начале августа. На сервере находились индексы системы «graylog» - высокопроизводительной платформы с открытым исходным кодом, предназначенной для управления логами.

Напомним, что именно через эту систему в свое время утекли персональные данные и пароли клиентов «Inventive Retail Group» (управляет сетями re:Store, Samsung, Sony Centre, Nike, Street Beat и др.): https://news.1rj.ru/str/dataleak/1089 🤣😂

На этот раз сервер с логами принадлежал системе «POSIFLORA» (posiflora.com) - приложению для автоматизации точек продаж цветочного бизнеса.


В логах находилась информация пользователей этой системы – розничных бизнесов по продажам цветов, в том числе:

🌵 данные по сотрудникам: ФИО, телефон, адрес электронной почты, зарплата, логин и числовой ПИН-код (видимо для доступа в систему через мобильное приложение), права доступа (роли) пользователя.

{\"type\":\"workers\",\"id\":\"946a0b5f-dc1c-42ad-879d-94e6591b3f9c\",\"attributes\":{\"firstName\":\"XXX",\"lastName\":\"XXX",\"middleName\":XXX,\"countryCode\":\"7\",\"phone\":\"XXX\",\"email\":XXX,\"salary\":XXX,\"salaryPeriod\":\"month\"}

\"status\":\"on\",\"login\":\"admins\",\"pin\":\"09XX\"

(реальные данные скрыты нами)

🌵 данные по заказам покупателей: дата, сумма, ФИО, адрес доставки, телефон.


Для оценки размера утекших данных мы сделали поиск по номерам телефонов только в одном (не самом крупном) индексе с 229,338 строками – в результате было найдено чуть менее 10 тыс. строк (разумеется тут большой процент повторов, которые мы не отсекали).

После нашего оповещения в течении 2-х дней доступ к серверу был закрыт, и мы даже получили ответ, что бывает крайне редко. 👍

Цитата ТАСС: "Роскомнадзор отреагировал на жалобы на мессенджер Telegram, где якобы были распространены персональные данные россиян, заявив, что установить факт неправомерного использования персональных данных не представляется возможным, так как файл с ними был удален." 🤦‍♂️🤦🏻‍♂️

Речь идет о том самом файле с персональными данными граждан, который «всплыл» в чате сторонников Навального и из-за информации о котором цензоры-модераторы Telegram удалили пост в нашем канале: https://news.1rj.ru/str/dataleak/1206 🤷‍♂️

Но самое смешное тут не поведение Telegram’а удаляющего неугодные посты, не содержащие никаких персональных данных и даже ссылок на них, а очередное проявление «профессионализма» Роскомнадзора. 🤣

Данный файл (3198 строк с персональными данными) не просто свободно доступен на множестве специализированных форумах, но и выложен в формате Cronos, будучи предварительно очищен от мусора и нормализован. 😱

Обугленные анкеты на выпуск и получение платежных карт с персональными данными клиентов банка «ВТБ» обнаружили местные жители под эстакадой в районе Мосфильмовской улицы в Москве. 🙈

В открытый доступ выложили данные по ипотечным кредитам американской American Nationwide Mortgage Company (americannationwide.com).

Доступна информация по 1 млн кредитов (из 37 млн всего утекших записей) по ноябрь 2018 года:

🌵 имя/фамилия
🌵 адрес
🌵 телефон
🌵 адрес электронной почты (не для всех записей)
🌵 пол
🌵 возраст
🌵 год приобретения недвижимости
🌵 год постройки недвижимости
🌵 ориентировочная стоимость недвижимости
🌵 размер кредита
🌵 банк, выдавший кредит
🌵 тип кредита

🔥 Подборка самых интересных каналов про IT, хакинг и безопасность.

CyberYozh - бесплатный курс по анонимности и безопасности в сети. Истории ошибок и арестов известных киберпреступников, тайные технологии защиты информации, ловушки для хакеров и многое другое.

@webware - хакинг от новичка до профи. Только свежая и эксклюзивная информация. Offensive, Defensive, Penetration test, CTF…

@vschannel - канал Дмитрия Момота, известного в сети под псевдонимом VektorT13. Он пишет про уникализацию, антидетекты, методики отслеживания, анти-фрод системы, отпечатки браузера, железа и операционной системы.

@SecLabNews - канал русскоязычного новостного портала SecurityLab.ru, оперативно публикующего информацию о последних новостях IT-безопасности в России и мире.

@exploitex - DDoS атаки и вирусы, обзоры хакерских девайсов и жучков, гайды по взлому и секреты анонимности в интернете.

Как обычно, технические детали мы напишем чуть позже. Поверьте, там интересно (спойлер: когда обнаруженный нами сервер был закрыт и журналистом была написана эта статья, мы обнаружили второй свободно доступный сервер). 🔥🔥🔥

Сервер ОФД «Дримкас» стал общедоступным 9 сентября и пробыл в таком состоянии три дня. На нем хранятся журналы с более 14 млн записей. Об уязвимости сообщили «Известиям» в компании по кибербезопасности DeviceLock.

Утекли строки с информацией — начиная от безобидных ИНН, адреса, названия компании и заканчивая информацией об электронных адресах и телефонах представителей, а также заключенных сделках, ассортименте и ценах товара.

Также в Сеть попали телефоны и e-mail 3 тыс. физических лиц — пользователей скидочной программы «Покупай-ка».

https://iz.ru/921673/vadim-arapov/ushli-iz-bazy-v-set-utekli-14-mln-zapisei-kompanii-i-pokupatelei

На специализированном форуме появился CSV-файл с данными 24 млн. пользователей облачного сервиса Lumin PDF (luminpdf.com), предназначенного для работы с PDF-документами. 🔥

В файле users.csv размером 4,06 Гб содержатся данные всех пользователей (24,386,039 строк) сервиса, с момента основания в 2014 г. и по апрель 2019 г.

🌵 имя/фамилия
🌵 пол
🌵 адрес электронной почты
🌵 язык интерфейса
🌵 хэшированный (bcrypt) пароль и/или Google-токен

Большинство записей содержат Google-токены, т.к. пользователи сервиса используют его в основном из Google Drive. Лишь 118,746 пользователей регистрировались через вебсайт и имеют свои собственные пароли.

Данные были получены в апреле 2019 г. из MongoDB, которую разработчики оставили в свободном доступе. 🤦‍♂️

Интересный факт – обнаруживший данную базу человек пытался связаться с разработчиками сервиса и предупредить их о проблеме, однако на его оповещения никто не реагировал. Тогда он и выложил данные всех пользователей на форум. 🤣

Неизвестные запустили вебсайт, содержащий данные (фотографии, имена, даты рождения, телефоны, ссылки на соц. сети) людей, участвующих в уличных протестах в Гонконге: hkleaks.ru. 😂

Интересно, что информация там представлена на китайском языке, а сам сайт находится в доменной зоне RU. 😎

В свободный доступ была выложена довольно старая база пользователей (1,476,783 аккаунтов) портала KM.RU. 😴

Сама утечка произошла в феврале 2016 года в результате хакерской атаки (известной под именем «Operation Wrath of Anakin») на портал.

До этого эта база уже периодически «всплывала» на различных форумах.

Данные распространяются в формате JSON-файла (размером 518 Мб), в котором содержатся:

🌵 имена/фамилии
🌵 адреса электронной почты
🌵 даты рождения
🌵 пол
🌵 номера телефонов
🌵 секретный вопросы для восстановления доступа и ответы на них
🌵 IP-адреса

Снова утечка из-за неправильно настроенной утилиты резервного копирования rsync. На этот раз утекли файлы, в которых содержалась информация о работе СОРМ в сети российского сотового оператора МТС, с диска сотрудника Nokia Networks. 🔥

Всего в открытый доступ (rsync-сервер был проиндексирован поисковиками Shodan и BinaryEdge) попало 1.7 Тб из которых:

🌵 700 Гб это фотографии в формате JPG
🌵 245 Гб это PST-файлы MS Outlook (календари, заметки, электронная почта)
🌵 197,343 PDF-файлов (в основном договора на установку и обслуживание оборудования)
🌵 множество архивов (ZIP, CAB и RAR), DWG-файлов (AutoCAD), документов Excel и MS Word и т.п.

Ранее «по вине» rsync в открытом доступе оказались материалы расследования ФБР: https://news.1rj.ru/str/dataleak/696

В Подмосковье местные жители обнаружили очередную свалку с копиями паспортов и другими документами (копии трудовых книжек, дипломов, доверенности), содержащими персональные данные (ФИО, адреса, телефоны, СНИЛС и т.д.) граждан.

Во многих документах фигурирует «Всероссийский учебно-научный методический центр при Минздраве России».

Недавно писали (https://news.1rj.ru/str/dataleak/1214), что 1,3 млн. паролей из базы пользователей биржи кроссовок и одежды StockX продаются за $300 и вот в свободном доступе появилось 2,7 млн. расшифрованных паролей. 👍

Из 2,749,951 пар логин/пароль почти 70% оказались уникальными и ранее никогда не встречались в паблике.

Напомним, что этим летом из StockX утекло 6,847,162 записей с персональными данными покупателей: https://news.1rj.ru/str/dataleak/1204

28.08.2019 DeviceLock Data Breach Intelligence выявила свободно доступный Elasticsearch-сервер с индексами, в которых находились данные покупателей ювелирного интернет-магазина AltynGroup.Ru.

В одном из индексов, среди прочей информации (логов магазина), находились:

🌵 фамилия/имя
🌵 дата рождения
🌵 адрес электронной почты
🌵 телефон
🌵 пол (не для всех записей)
🌵 состоит в браке или нет (не для всех записей)
🌵 дата свадьбы (не для всех записей)
🌵 данные бонусной карты (не для всех записей)

"DATA": "{\"userId\":\"834\",\"avatar\":null,\"firstName\":\" XXX\",\"lastName\":\"XXX\",\"birthDate\":\"30.03.1986\",\"email\":\"XXX@inbox.ru\",\"phone\":\"8 (968) XXX\",\"sex\":\"\",\"maritalStatus\":null,\"weddingDate\":\"\",\"bonusCardInfo\":{\"number\":null,\"name\":null,\"nextName\":null,\"needPaymentsToNextCard\":null,\"ballsCount\":null,\"ballsExpire\":null,\"ballsExpireAt\":null,\"loyaltyProgramInfo\":\"<div class=\\\"collapse-items\\\">\\r\\n\\t<div>\\r\\n <img alt=\\\"bonus-program-3.jpg\\\" src=\\\"https:\\/\\/altyngroup.ru\\/upload\\/medialibrary

(реальные данные скрыты нами)

Помимо этих данных, в логах также содержались токены доступа, данные корзин покупателей и прочая служебная информация интернет-магазина.

К сожалению, на наше оповещение (от 28.08) никто не отреагировал и сервер с данным покупателей до сих пор находится в свободном доступе. За это время размер индекса с логами интернет-магазина вырос на 91,343 строк. 😱

Более того, кто-то выложил на специализированном форуме кусок этой базы, в виде CSV-файла с 542 строками (имена, телефоны, адреса эл. почты и даты рождения). 🤦‍♂️🤦🏻‍♂️

Данные 542 покупателей ювелирного интернет-магазина AltynGroup.Ru были выложены на специализированном форуме. А сама база магазина находится в открытом доступе (не смотря на наше оповещение) уже почти месяц. 🤦🏻‍♂️

Вторая серия утечки с серверов ОФД «Дримкас» (первая статья: https://news.1rj.ru/str/dataleak/1263).

Скоро сделаем разбор того, что и как мы обнаружили на двух серверах, а пока статья Известий:

С серверов оператора фискальных данных «Дримкас» в общей сложности утекло более 90 млн записей с различными данными о юридических и физических лицах. Ресурс ОФД с 76 млн строчек информации с 8 августа семь дней находился в открытом доступе, сообщили «Известиям» в DeviceLock. 9 сентября на три дня стали доступны журналы с более 14 млн записей, писали «Известия» ранее.

Среди попавших в Сеть сведений — полные реквизиты фискальных чеков (есть в распоряжении «Известий»), включая порядковый номер, дату и время, ФИО продавца, количество товара, его название и цену. Например, 1 августа 2019-го покупатель с квитанцией номер 44793 купил три упаковки чипсов со вкусом зеленого лука за 31 рубль за штуку и пачку сигарет за 102 рубля. Оператор работал в смену с номером 360. Общая сумма —195 рублей, включая 6% НДС по упрощенному налогообложению. В другом чеке от 30 июля 2019-го видно, что сигареты куплены за 107 рублей в «Магазине у клена», расположенном в городе Новоалтайске.

В пресс-службе ФНС «Известиям» сообщили, что попавшая в открытый доступ информация с серверов передавалась в рамках отдельной коммерческой услуги «Дримкас кабинет», которая не подлежит регулированию и защите в рамках законодательства о контрольно-кассовой технике.

Опрошенные «Известиями» юристы подтвердили, что утекшая информация — фискальная. Фамилия, имя и отчество кассира — персональные данные, поскольку они прямо относятся к физическому лицу и позволяют его определить, пояснила партнер коллегии адвокатов Pen&Paper Екатерина Тягай.

https://iz.ru/923418/vadim-arapov/techet-i-vmeniaetsia-v-set-popali-eshche-76-mln-zapisei-o-klientakh

Помните совсем недавно мы первыми обнаружили и написали про крупнейший слив персональных данных практических всех сотрудников ОАО «РЖД» (https://news.1rj.ru/str/dataleak/1231)? 🔥🔥🔥

Тогда неизвестные опубликовали в свободном доступе, на уже закрытом ресурсе infach.me, информацию (ФИО, СНИЛС, даты рождения, фотографии и т.п.) о 703,000 человек. 👇

Точная причина утечки до сих пор неизвестна, никаких официальных версий не публиковалось. Однако, по нашей информации данные утекли с одного из «забытых» компьютеров разработчиков внутреннего портала «Мой РЖД» (my.rzd.ru), который в данный момент украшает надпись: ”Извините, Сервисный портал недоступен. Ведутся профилактические работы”. 🤣

Есть версия, что на оставленный в открытом доступе компьютер разработчика был осуществлен удаленный доступ по RDP-протоколу и более того – злоумышленники перед тем, как выложить базу, связывались с представителями РЖД и пытались им ее продать. Это разумеется документально неподтвержденные слухи. 🙈

Зато нам совершенно точно известно, что эти данные (не все, а около полумиллиона записей) были скачены с ресурса infach.me еще до его закрытия и в данный момент база (архив размером около 20 Гб) распространяется среди очень ограниченного круга лиц. 🔥🔥🔥

Мы видели эту базу (CSV-файл с данными и отдельный набор JPG-файлов с фотографиями) и можем подтвердить ее абсолютное сходство с тем, что было изначально выложено на infach.me.

Уверены, скоро данная база или ее куски появятся и в свободном доступе на всем известных ресурсах, где распространяют базы. Следите за нашими новостями, мы про это обязательно напишем. 😎

P.S.
Кстати, посмотреть то, как данные выглядели на ресурсе infach.me до его закрытия, можно на сайте archive.org: https://web.archive.org/web/20190826210045/https://infach.me/group/rabi_rzd 😱

В данный момент база сотрудников РЖД, полученная путем парсинга ресурса infach.me (до его закрытия), распространяется среди ограниченного круга лиц. 😎