Очередной открытый Elasticsearch-сервер был обнаружен нами в начале августа. На сервере находились индексы системы «graylog» - высокопроизводительной платформы с открытым исходным кодом, предназначенной для управления логами.

Напомним, что именно через эту систему в свое время утекли персональные данные и пароли клиентов «Inventive Retail Group» (управляет сетями re:Store, Samsung, Sony Centre, Nike, Street Beat и др.): https://news.1rj.ru/str/dataleak/1089 🤣😂

На этот раз сервер с логами принадлежал системе «POSIFLORA» (posiflora.com) - приложению для автоматизации точек продаж цветочного бизнеса.


В логах находилась информация пользователей этой системы – розничных бизнесов по продажам цветов, в том числе:

🌵 данные по сотрудникам: ФИО, телефон, адрес электронной почты, зарплата, логин и числовой ПИН-код (видимо для доступа в систему через мобильное приложение), права доступа (роли) пользователя.

{\"type\":\"workers\",\"id\":\"946a0b5f-dc1c-42ad-879d-94e6591b3f9c\",\"attributes\":{\"firstName\":\"XXX",\"lastName\":\"XXX",\"middleName\":XXX,\"countryCode\":\"7\",\"phone\":\"XXX\",\"email\":XXX,\"salary\":XXX,\"salaryPeriod\":\"month\"}

\"status\":\"on\",\"login\":\"admins\",\"pin\":\"09XX\"

(реальные данные скрыты нами)

🌵 данные по заказам покупателей: дата, сумма, ФИО, адрес доставки, телефон.


Для оценки размера утекших данных мы сделали поиск по номерам телефонов только в одном (не самом крупном) индексе с 229,338 строками – в результате было найдено чуть менее 10 тыс. строк (разумеется тут большой процент повторов, которые мы не отсекали).

После нашего оповещения в течении 2-х дней доступ к серверу был закрыт, и мы даже получили ответ, что бывает крайне редко. 👍

Цитата ТАСС: "Роскомнадзор отреагировал на жалобы на мессенджер Telegram, где якобы были распространены персональные данные россиян, заявив, что установить факт неправомерного использования персональных данных не представляется возможным, так как файл с ними был удален." 🤦‍♂️🤦🏻‍♂️

Речь идет о том самом файле с персональными данными граждан, который «всплыл» в чате сторонников Навального и из-за информации о котором цензоры-модераторы Telegram удалили пост в нашем канале: https://news.1rj.ru/str/dataleak/1206 🤷‍♂️

Но самое смешное тут не поведение Telegram’а удаляющего неугодные посты, не содержащие никаких персональных данных и даже ссылок на них, а очередное проявление «профессионализма» Роскомнадзора. 🤣

Данный файл (3198 строк с персональными данными) не просто свободно доступен на множестве специализированных форумах, но и выложен в формате Cronos, будучи предварительно очищен от мусора и нормализован. 😱

Обугленные анкеты на выпуск и получение платежных карт с персональными данными клиентов банка «ВТБ» обнаружили местные жители под эстакадой в районе Мосфильмовской улицы в Москве. 🙈

В открытый доступ выложили данные по ипотечным кредитам американской American Nationwide Mortgage Company (americannationwide.com).

Доступна информация по 1 млн кредитов (из 37 млн всего утекших записей) по ноябрь 2018 года:

🌵 имя/фамилия
🌵 адрес
🌵 телефон
🌵 адрес электронной почты (не для всех записей)
🌵 пол
🌵 возраст
🌵 год приобретения недвижимости
🌵 год постройки недвижимости
🌵 ориентировочная стоимость недвижимости
🌵 размер кредита
🌵 банк, выдавший кредит
🌵 тип кредита

🔥 Подборка самых интересных каналов про IT, хакинг и безопасность.

CyberYozh - бесплатный курс по анонимности и безопасности в сети. Истории ошибок и арестов известных киберпреступников, тайные технологии защиты информации, ловушки для хакеров и многое другое.

@webware - хакинг от новичка до профи. Только свежая и эксклюзивная информация. Offensive, Defensive, Penetration test, CTF…

@vschannel - канал Дмитрия Момота, известного в сети под псевдонимом VektorT13. Он пишет про уникализацию, антидетекты, методики отслеживания, анти-фрод системы, отпечатки браузера, железа и операционной системы.

@SecLabNews - канал русскоязычного новостного портала SecurityLab.ru, оперативно публикующего информацию о последних новостях IT-безопасности в России и мире.

@exploitex - DDoS атаки и вирусы, обзоры хакерских девайсов и жучков, гайды по взлому и секреты анонимности в интернете.

Как обычно, технические детали мы напишем чуть позже. Поверьте, там интересно (спойлер: когда обнаруженный нами сервер был закрыт и журналистом была написана эта статья, мы обнаружили второй свободно доступный сервер). 🔥🔥🔥

Сервер ОФД «Дримкас» стал общедоступным 9 сентября и пробыл в таком состоянии три дня. На нем хранятся журналы с более 14 млн записей. Об уязвимости сообщили «Известиям» в компании по кибербезопасности DeviceLock.

Утекли строки с информацией — начиная от безобидных ИНН, адреса, названия компании и заканчивая информацией об электронных адресах и телефонах представителей, а также заключенных сделках, ассортименте и ценах товара.

Также в Сеть попали телефоны и e-mail 3 тыс. физических лиц — пользователей скидочной программы «Покупай-ка».

https://iz.ru/921673/vadim-arapov/ushli-iz-bazy-v-set-utekli-14-mln-zapisei-kompanii-i-pokupatelei

На специализированном форуме появился CSV-файл с данными 24 млн. пользователей облачного сервиса Lumin PDF (luminpdf.com), предназначенного для работы с PDF-документами. 🔥

В файле users.csv размером 4,06 Гб содержатся данные всех пользователей (24,386,039 строк) сервиса, с момента основания в 2014 г. и по апрель 2019 г.

🌵 имя/фамилия
🌵 пол
🌵 адрес электронной почты
🌵 язык интерфейса
🌵 хэшированный (bcrypt) пароль и/или Google-токен

Большинство записей содержат Google-токены, т.к. пользователи сервиса используют его в основном из Google Drive. Лишь 118,746 пользователей регистрировались через вебсайт и имеют свои собственные пароли.

Данные были получены в апреле 2019 г. из MongoDB, которую разработчики оставили в свободном доступе. 🤦‍♂️

Интересный факт – обнаруживший данную базу человек пытался связаться с разработчиками сервиса и предупредить их о проблеме, однако на его оповещения никто не реагировал. Тогда он и выложил данные всех пользователей на форум. 🤣

Неизвестные запустили вебсайт, содержащий данные (фотографии, имена, даты рождения, телефоны, ссылки на соц. сети) людей, участвующих в уличных протестах в Гонконге: hkleaks.ru. 😂

Интересно, что информация там представлена на китайском языке, а сам сайт находится в доменной зоне RU. 😎

В свободный доступ была выложена довольно старая база пользователей (1,476,783 аккаунтов) портала KM.RU. 😴

Сама утечка произошла в феврале 2016 года в результате хакерской атаки (известной под именем «Operation Wrath of Anakin») на портал.

До этого эта база уже периодически «всплывала» на различных форумах.

Данные распространяются в формате JSON-файла (размером 518 Мб), в котором содержатся:

🌵 имена/фамилии
🌵 адреса электронной почты
🌵 даты рождения
🌵 пол
🌵 номера телефонов
🌵 секретный вопросы для восстановления доступа и ответы на них
🌵 IP-адреса

Снова утечка из-за неправильно настроенной утилиты резервного копирования rsync. На этот раз утекли файлы, в которых содержалась информация о работе СОРМ в сети российского сотового оператора МТС, с диска сотрудника Nokia Networks. 🔥

Всего в открытый доступ (rsync-сервер был проиндексирован поисковиками Shodan и BinaryEdge) попало 1.7 Тб из которых:

🌵 700 Гб это фотографии в формате JPG
🌵 245 Гб это PST-файлы MS Outlook (календари, заметки, электронная почта)
🌵 197,343 PDF-файлов (в основном договора на установку и обслуживание оборудования)
🌵 множество архивов (ZIP, CAB и RAR), DWG-файлов (AutoCAD), документов Excel и MS Word и т.п.

Ранее «по вине» rsync в открытом доступе оказались материалы расследования ФБР: https://news.1rj.ru/str/dataleak/696

В Подмосковье местные жители обнаружили очередную свалку с копиями паспортов и другими документами (копии трудовых книжек, дипломов, доверенности), содержащими персональные данные (ФИО, адреса, телефоны, СНИЛС и т.д.) граждан.

Во многих документах фигурирует «Всероссийский учебно-научный методический центр при Минздраве России».

Недавно писали (https://news.1rj.ru/str/dataleak/1214), что 1,3 млн. паролей из базы пользователей биржи кроссовок и одежды StockX продаются за $300 и вот в свободном доступе появилось 2,7 млн. расшифрованных паролей. 👍

Из 2,749,951 пар логин/пароль почти 70% оказались уникальными и ранее никогда не встречались в паблике.

Напомним, что этим летом из StockX утекло 6,847,162 записей с персональными данными покупателей: https://news.1rj.ru/str/dataleak/1204

28.08.2019 DeviceLock Data Breach Intelligence выявила свободно доступный Elasticsearch-сервер с индексами, в которых находились данные покупателей ювелирного интернет-магазина AltynGroup.Ru.

В одном из индексов, среди прочей информации (логов магазина), находились:

🌵 фамилия/имя
🌵 дата рождения
🌵 адрес электронной почты
🌵 телефон
🌵 пол (не для всех записей)
🌵 состоит в браке или нет (не для всех записей)
🌵 дата свадьбы (не для всех записей)
🌵 данные бонусной карты (не для всех записей)

"DATA": "{\"userId\":\"834\",\"avatar\":null,\"firstName\":\" XXX\",\"lastName\":\"XXX\",\"birthDate\":\"30.03.1986\",\"email\":\"XXX@inbox.ru\",\"phone\":\"8 (968) XXX\",\"sex\":\"\",\"maritalStatus\":null,\"weddingDate\":\"\",\"bonusCardInfo\":{\"number\":null,\"name\":null,\"nextName\":null,\"needPaymentsToNextCard\":null,\"ballsCount\":null,\"ballsExpire\":null,\"ballsExpireAt\":null,\"loyaltyProgramInfo\":\"<div class=\\\"collapse-items\\\">\\r\\n\\t<div>\\r\\n <img alt=\\\"bonus-program-3.jpg\\\" src=\\\"https:\\/\\/altyngroup.ru\\/upload\\/medialibrary

(реальные данные скрыты нами)

Помимо этих данных, в логах также содержались токены доступа, данные корзин покупателей и прочая служебная информация интернет-магазина.

К сожалению, на наше оповещение (от 28.08) никто не отреагировал и сервер с данным покупателей до сих пор находится в свободном доступе. За это время размер индекса с логами интернет-магазина вырос на 91,343 строк. 😱

Более того, кто-то выложил на специализированном форуме кусок этой базы, в виде CSV-файла с 542 строками (имена, телефоны, адреса эл. почты и даты рождения). 🤦‍♂️🤦🏻‍♂️

Данные 542 покупателей ювелирного интернет-магазина AltynGroup.Ru были выложены на специализированном форуме. А сама база магазина находится в открытом доступе (не смотря на наше оповещение) уже почти месяц. 🤦🏻‍♂️

Вторая серия утечки с серверов ОФД «Дримкас» (первая статья: https://news.1rj.ru/str/dataleak/1263).

Скоро сделаем разбор того, что и как мы обнаружили на двух серверах, а пока статья Известий:

С серверов оператора фискальных данных «Дримкас» в общей сложности утекло более 90 млн записей с различными данными о юридических и физических лицах. Ресурс ОФД с 76 млн строчек информации с 8 августа семь дней находился в открытом доступе, сообщили «Известиям» в DeviceLock. 9 сентября на три дня стали доступны журналы с более 14 млн записей, писали «Известия» ранее.

Среди попавших в Сеть сведений — полные реквизиты фискальных чеков (есть в распоряжении «Известий»), включая порядковый номер, дату и время, ФИО продавца, количество товара, его название и цену. Например, 1 августа 2019-го покупатель с квитанцией номер 44793 купил три упаковки чипсов со вкусом зеленого лука за 31 рубль за штуку и пачку сигарет за 102 рубля. Оператор работал в смену с номером 360. Общая сумма —195 рублей, включая 6% НДС по упрощенному налогообложению. В другом чеке от 30 июля 2019-го видно, что сигареты куплены за 107 рублей в «Магазине у клена», расположенном в городе Новоалтайске.

В пресс-службе ФНС «Известиям» сообщили, что попавшая в открытый доступ информация с серверов передавалась в рамках отдельной коммерческой услуги «Дримкас кабинет», которая не подлежит регулированию и защите в рамках законодательства о контрольно-кассовой технике.

Опрошенные «Известиями» юристы подтвердили, что утекшая информация — фискальная. Фамилия, имя и отчество кассира — персональные данные, поскольку они прямо относятся к физическому лицу и позволяют его определить, пояснила партнер коллегии адвокатов Pen&Paper Екатерина Тягай.

https://iz.ru/923418/vadim-arapov/techet-i-vmeniaetsia-v-set-popali-eshche-76-mln-zapisei-o-klientakh

Помните совсем недавно мы первыми обнаружили и написали про крупнейший слив персональных данных практических всех сотрудников ОАО «РЖД» (https://news.1rj.ru/str/dataleak/1231)? 🔥🔥🔥

Тогда неизвестные опубликовали в свободном доступе, на уже закрытом ресурсе infach.me, информацию (ФИО, СНИЛС, даты рождения, фотографии и т.п.) о 703,000 человек. 👇

Точная причина утечки до сих пор неизвестна, никаких официальных версий не публиковалось. Однако, по нашей информации данные утекли с одного из «забытых» компьютеров разработчиков внутреннего портала «Мой РЖД» (my.rzd.ru), который в данный момент украшает надпись: ”Извините, Сервисный портал недоступен. Ведутся профилактические работы”. 🤣

Есть версия, что на оставленный в открытом доступе компьютер разработчика был осуществлен удаленный доступ по RDP-протоколу и более того – злоумышленники перед тем, как выложить базу, связывались с представителями РЖД и пытались им ее продать. Это разумеется документально неподтвержденные слухи. 🙈

Зато нам совершенно точно известно, что эти данные (не все, а около полумиллиона записей) были скачены с ресурса infach.me еще до его закрытия и в данный момент база (архив размером около 20 Гб) распространяется среди очень ограниченного круга лиц. 🔥🔥🔥

Мы видели эту базу (CSV-файл с данными и отдельный набор JPG-файлов с фотографиями) и можем подтвердить ее абсолютное сходство с тем, что было изначально выложено на infach.me.

Уверены, скоро данная база или ее куски появятся и в свободном доступе на всем известных ресурсах, где распространяют базы. Следите за нашими новостями, мы про это обязательно напишем. 😎

P.S.
Кстати, посмотреть то, как данные выглядели на ресурсе infach.me до его закрытия, можно на сайте archive.org: https://web.archive.org/web/20190826210045/https://infach.me/group/rabi_rzd 😱

В данный момент база сотрудников РЖД, полученная путем парсинга ресурса infach.me (до его закрытия), распространяется среди ограниченного круга лиц. 😎

В городе Алексин Тульской области местный житель за 1 тысячу рублей продал базу данных клиентов коммерческого банка из Нижнего Новгорода. 🤦‍♂️🤦🏻‍♂️

В отношении 46-летнего мужчины возбуждено уголовное дело по ч. 1 ст. 137 УК РФ (незаконное распространение сведений о частной жизни, составляющих личную тайну). Обвиняемому избрана мера пресечения в виде подписки о невыезде.

Дело направлено в Алексинский городской суд для рассмотрения по существу.


✅ Недавно мы выпустили новый отчет "Цены черного рынка на базы данных российских банков (лето 2019)": 👇

https://www.devicelock.com/ru/blog/tseny-chernogo-rynka-na-rossijskie-personalnye-dannye-bazy-dannyh.html

✅ А также делали обзор случаев задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными в России: 👇

https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html).

30.08.2019 DeviceLock Data Breach Intelligence выявила свободно доступный Elasticsearch-сервер с индексами “cnews-nginx” и “cnews-syslog”, в которых находились логи доступа к веб-серверу интернет-издания «CNews» (cnews.ru).

Мы немедленно оповестили издание об обнаруженной проблеме и достаточно быстро получили ответ (что бывает крайне редко). 👍

По словам представителя «CNews»: “админ открыл доступ случайно только на два часа и удивлен как быстро вам удалось это обнаружить”. 😎

В логах не содержалось никакой критичной информации, за исключением, пожалуй, ключа доступа (параметр “&auth=”) к чтению еще не опубликованных материалов.

Мы обещали написать про утечку данных чеков и другой информации с серверов ОФД «Дримкас» и мы выполняем обещание. 😎

Ранее, по нашим материалам, про эту утечку написали две статьи «Известия» (https://news.1rj.ru/str/dataleak/1263 и https://news.1rj.ru/str/dataleak/1273), а теперь мы сами представим технические детали инцидента. 👇

И так, 11.09.2019 в 21:00 (МСК) система DeviceLock Data Breach Intelligence обнаружила свободно доступный Elasticsearch-сервер с индексами “logs-release”, “update-logs-release”, “hub2kab-release” и многими другими. Общий размер “засвеченных” индексов с данными составлял около 60 Гб. 😱

По данным поисковика Shodan этот сервер находился в открытом доступе с 09.09.2019. 😂

В индексах содержалась информация (логи):

🌵 о кассовых аппаратах (включая прошивки, которые также были доступны для скачивания по линкам из логов)
🌵 о торговых точках, в которых установлены эти кассовые аппараты (ККТ)
🌵 данные кассиров
🌵 содержимое чеков
🌵 и даже персональные данные некоторых покупателей (“благодаря” электронной карте программы лояльности «Покупай-ка»).

Из логов мы довольно быстро установили принадлежность данного открытого Elasticsearch-сервера – компанию «Дримкас» (dreamkas.ru):

"shopInfo": {
"address": "692522 Приморский край г.Уссурийск ул.Тургенева 13",
"realAddress": "Магазин",
"inn": "251105934906",
"legalName": "ИП Изотов С.Л.",
"shopName": "М-н \"Кулинария 555\"",
"kpp": "251101001"
},

],
"kktInfo": {
"fnRegistryName": "Шифровальное (криптографическое) средство защиты фискальных данных фискальный накопитель «ФН-1»",
"daysBeforeExpire": 62,
"fnFullness": "менее 90%",
"fnNumber": "9282000100157585",
"kktFactoryNumber": "0491006194",
"kktRegistryName": "Вики Мини Ф",
"ffdVersion": "1.05"
},
"kktRegistrationInfo": {
"senderEmail": "ofd-receipts@dreamkas.ru",
"autonomic": false,
"ofdProvider": {
"name": "Такском ОФД",
"inn": "7704211201",
"serverPort": 7777,
"checkURL": "nalog.ru",
"serverHost": "f1.taxcom.ru"
},
"registryNumber": "0002579246023352"

Оповещение было отправлено нами 11.09.2019 в 21:35 (МСК) и 12.09.2019 примерно в 10:00 (МСК) сервер был убран из свободного доступа. К сожалению, это был не единственный открытый их сервер, но про это будет написано чуть позже. 🙈

Вечером 12-го мы даже получили ответ от «Дримкас»: “С опоздание отвечаем на ваше сообщение. Спасибо за предоставление важной информации. Она была передана для проверки специалистам. Проводим технический аудит.” 👍

Вот так в логах хранились данные покупателей (программа лояльности «Покупай-ка»):

"response_json": "{\n \"phone\" : \"7914XXXXXX\",\n \"loyalData\" : {\n \"discount\" : 300,\n \"discountType\" : \"PERCENT\",\n \"accumulations\" : 1707053\n },\n \"cards\" : [ \"002075XXXXXX\" ],\n \"card\" : \"002075XXXXXX\"\n}",
"path": "https://pokupaika.app/api/v1/customer/4a25be07-3529-409f-ab8a-1fe0d0e014c5/info/?key=XXX&phone=7914XXXXXX&email=XXX&card=XXX",
"@timestamp": "2019-09-11T02:56:22.538Z",

(реальные данные скрыты нами)

Данные кассиров:

\"cashier\" : {\n \"inn\" : \"235501272496\",\n \"name\" : \"Гордиенко Светлана Юрьевна\"\n },\n \"fnNumber\" : \"9287440300426322\",\n \"taxModes\" : [ \"ENVD\" ],\n \"workMode\" : [ ],\n \"autonomic\" : true,\n \"workModes\" : [ ],\n \"ofdProvider\" : { },\n \"fnRegistryName\" : \"Шифровальное (криптографическое) средство защиты фискальных данных фискальный накопитель «ФН-1.1» исполнение 2\",\n \"registryNumber\" : \"0003960721007823\"\n }

продолжение в следующем посте 👇👇👇

начало в предыдущем посте 👆👆👆

Данные по покупке:

"type": "PURCHASE_DOCUMENT_REPORT",
"positions": [
{
"number": 1,
"totalSum": 14000,
"barcode": "4601728013684",
"quantity": 1000,
"tax": "NDS_20",
"product": {
"meta": {
"barcodes": [
"4601728013684"
],
"type": "ALCOHOL",
"name": "Водка \"КЕДРОВИЦА НА КЕДРОВЫХ ОРЕХАХ\"",
"alcCode": "0350566000001264110",
"measure": "шт",
"precision": 1,
"alcCapacity": 0.25,
"tax": "NDS_20",
"alcTypeCode": "200",
"alcContent": 40,
"sortOrder": 0
},

Общий размер утекших данных оценить сложно, т.к. речь идет о логах, в которых содержатся часто повторяющиеся записи. Ориентировочно, на каждый миллион строк приходится около 1500 записей со “значащими” данными (без учета дублей).

На момент закрытия 12.09 в “значащих” индексах содержалось всего 157,618,617 строк.

Во второй части мы расскажем про обнаруженный нами второй сервер «Дримкас», в котором находились уже подробные данные фискальных чеков. 🔥🔥🔥