В свободный доступ была выложена довольно старая база пользователей (1,476,783 аккаунтов) портала KM.RU. 😴

Сама утечка произошла в феврале 2016 года в результате хакерской атаки (известной под именем «Operation Wrath of Anakin») на портал.

До этого эта база уже периодически «всплывала» на различных форумах.

Данные распространяются в формате JSON-файла (размером 518 Мб), в котором содержатся:

🌵 имена/фамилии
🌵 адреса электронной почты
🌵 даты рождения
🌵 пол
🌵 номера телефонов
🌵 секретный вопросы для восстановления доступа и ответы на них
🌵 IP-адреса

Снова утечка из-за неправильно настроенной утилиты резервного копирования rsync. На этот раз утекли файлы, в которых содержалась информация о работе СОРМ в сети российского сотового оператора МТС, с диска сотрудника Nokia Networks. 🔥

Всего в открытый доступ (rsync-сервер был проиндексирован поисковиками Shodan и BinaryEdge) попало 1.7 Тб из которых:

🌵 700 Гб это фотографии в формате JPG
🌵 245 Гб это PST-файлы MS Outlook (календари, заметки, электронная почта)
🌵 197,343 PDF-файлов (в основном договора на установку и обслуживание оборудования)
🌵 множество архивов (ZIP, CAB и RAR), DWG-файлов (AutoCAD), документов Excel и MS Word и т.п.

Ранее «по вине» rsync в открытом доступе оказались материалы расследования ФБР: https://news.1rj.ru/str/dataleak/696

В Подмосковье местные жители обнаружили очередную свалку с копиями паспортов и другими документами (копии трудовых книжек, дипломов, доверенности), содержащими персональные данные (ФИО, адреса, телефоны, СНИЛС и т.д.) граждан.

Во многих документах фигурирует «Всероссийский учебно-научный методический центр при Минздраве России».

Недавно писали (https://news.1rj.ru/str/dataleak/1214), что 1,3 млн. паролей из базы пользователей биржи кроссовок и одежды StockX продаются за $300 и вот в свободном доступе появилось 2,7 млн. расшифрованных паролей. 👍

Из 2,749,951 пар логин/пароль почти 70% оказались уникальными и ранее никогда не встречались в паблике.

Напомним, что этим летом из StockX утекло 6,847,162 записей с персональными данными покупателей: https://news.1rj.ru/str/dataleak/1204

28.08.2019 DeviceLock Data Breach Intelligence выявила свободно доступный Elasticsearch-сервер с индексами, в которых находились данные покупателей ювелирного интернет-магазина AltynGroup.Ru.

В одном из индексов, среди прочей информации (логов магазина), находились:

🌵 фамилия/имя
🌵 дата рождения
🌵 адрес электронной почты
🌵 телефон
🌵 пол (не для всех записей)
🌵 состоит в браке или нет (не для всех записей)
🌵 дата свадьбы (не для всех записей)
🌵 данные бонусной карты (не для всех записей)

"DATA": "{\"userId\":\"834\",\"avatar\":null,\"firstName\":\" XXX\",\"lastName\":\"XXX\",\"birthDate\":\"30.03.1986\",\"email\":\"XXX@inbox.ru\",\"phone\":\"8 (968) XXX\",\"sex\":\"\",\"maritalStatus\":null,\"weddingDate\":\"\",\"bonusCardInfo\":{\"number\":null,\"name\":null,\"nextName\":null,\"needPaymentsToNextCard\":null,\"ballsCount\":null,\"ballsExpire\":null,\"ballsExpireAt\":null,\"loyaltyProgramInfo\":\"<div class=\\\"collapse-items\\\">\\r\\n\\t<div>\\r\\n <img alt=\\\"bonus-program-3.jpg\\\" src=\\\"https:\\/\\/altyngroup.ru\\/upload\\/medialibrary

(реальные данные скрыты нами)

Помимо этих данных, в логах также содержались токены доступа, данные корзин покупателей и прочая служебная информация интернет-магазина.

К сожалению, на наше оповещение (от 28.08) никто не отреагировал и сервер с данным покупателей до сих пор находится в свободном доступе. За это время размер индекса с логами интернет-магазина вырос на 91,343 строк. 😱

Более того, кто-то выложил на специализированном форуме кусок этой базы, в виде CSV-файла с 542 строками (имена, телефоны, адреса эл. почты и даты рождения). 🤦‍♂️🤦🏻‍♂️

Данные 542 покупателей ювелирного интернет-магазина AltynGroup.Ru были выложены на специализированном форуме. А сама база магазина находится в открытом доступе (не смотря на наше оповещение) уже почти месяц. 🤦🏻‍♂️

Вторая серия утечки с серверов ОФД «Дримкас» (первая статья: https://news.1rj.ru/str/dataleak/1263).

Скоро сделаем разбор того, что и как мы обнаружили на двух серверах, а пока статья Известий:

С серверов оператора фискальных данных «Дримкас» в общей сложности утекло более 90 млн записей с различными данными о юридических и физических лицах. Ресурс ОФД с 76 млн строчек информации с 8 августа семь дней находился в открытом доступе, сообщили «Известиям» в DeviceLock. 9 сентября на три дня стали доступны журналы с более 14 млн записей, писали «Известия» ранее.

Среди попавших в Сеть сведений — полные реквизиты фискальных чеков (есть в распоряжении «Известий»), включая порядковый номер, дату и время, ФИО продавца, количество товара, его название и цену. Например, 1 августа 2019-го покупатель с квитанцией номер 44793 купил три упаковки чипсов со вкусом зеленого лука за 31 рубль за штуку и пачку сигарет за 102 рубля. Оператор работал в смену с номером 360. Общая сумма —195 рублей, включая 6% НДС по упрощенному налогообложению. В другом чеке от 30 июля 2019-го видно, что сигареты куплены за 107 рублей в «Магазине у клена», расположенном в городе Новоалтайске.

В пресс-службе ФНС «Известиям» сообщили, что попавшая в открытый доступ информация с серверов передавалась в рамках отдельной коммерческой услуги «Дримкас кабинет», которая не подлежит регулированию и защите в рамках законодательства о контрольно-кассовой технике.

Опрошенные «Известиями» юристы подтвердили, что утекшая информация — фискальная. Фамилия, имя и отчество кассира — персональные данные, поскольку они прямо относятся к физическому лицу и позволяют его определить, пояснила партнер коллегии адвокатов Pen&Paper Екатерина Тягай.

https://iz.ru/923418/vadim-arapov/techet-i-vmeniaetsia-v-set-popali-eshche-76-mln-zapisei-o-klientakh

Помните совсем недавно мы первыми обнаружили и написали про крупнейший слив персональных данных практических всех сотрудников ОАО «РЖД» (https://news.1rj.ru/str/dataleak/1231)? 🔥🔥🔥

Тогда неизвестные опубликовали в свободном доступе, на уже закрытом ресурсе infach.me, информацию (ФИО, СНИЛС, даты рождения, фотографии и т.п.) о 703,000 человек. 👇

Точная причина утечки до сих пор неизвестна, никаких официальных версий не публиковалось. Однако, по нашей информации данные утекли с одного из «забытых» компьютеров разработчиков внутреннего портала «Мой РЖД» (my.rzd.ru), который в данный момент украшает надпись: ”Извините, Сервисный портал недоступен. Ведутся профилактические работы”. 🤣

Есть версия, что на оставленный в открытом доступе компьютер разработчика был осуществлен удаленный доступ по RDP-протоколу и более того – злоумышленники перед тем, как выложить базу, связывались с представителями РЖД и пытались им ее продать. Это разумеется документально неподтвержденные слухи. 🙈

Зато нам совершенно точно известно, что эти данные (не все, а около полумиллиона записей) были скачены с ресурса infach.me еще до его закрытия и в данный момент база (архив размером около 20 Гб) распространяется среди очень ограниченного круга лиц. 🔥🔥🔥

Мы видели эту базу (CSV-файл с данными и отдельный набор JPG-файлов с фотографиями) и можем подтвердить ее абсолютное сходство с тем, что было изначально выложено на infach.me.

Уверены, скоро данная база или ее куски появятся и в свободном доступе на всем известных ресурсах, где распространяют базы. Следите за нашими новостями, мы про это обязательно напишем. 😎

P.S.
Кстати, посмотреть то, как данные выглядели на ресурсе infach.me до его закрытия, можно на сайте archive.org: https://web.archive.org/web/20190826210045/https://infach.me/group/rabi_rzd 😱

В данный момент база сотрудников РЖД, полученная путем парсинга ресурса infach.me (до его закрытия), распространяется среди ограниченного круга лиц. 😎

В городе Алексин Тульской области местный житель за 1 тысячу рублей продал базу данных клиентов коммерческого банка из Нижнего Новгорода. 🤦‍♂️🤦🏻‍♂️

В отношении 46-летнего мужчины возбуждено уголовное дело по ч. 1 ст. 137 УК РФ (незаконное распространение сведений о частной жизни, составляющих личную тайну). Обвиняемому избрана мера пресечения в виде подписки о невыезде.

Дело направлено в Алексинский городской суд для рассмотрения по существу.


✅ Недавно мы выпустили новый отчет "Цены черного рынка на базы данных российских банков (лето 2019)": 👇

https://www.devicelock.com/ru/blog/tseny-chernogo-rynka-na-rossijskie-personalnye-dannye-bazy-dannyh.html

✅ А также делали обзор случаев задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными в России: 👇

https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html).

30.08.2019 DeviceLock Data Breach Intelligence выявила свободно доступный Elasticsearch-сервер с индексами “cnews-nginx” и “cnews-syslog”, в которых находились логи доступа к веб-серверу интернет-издания «CNews» (cnews.ru).

Мы немедленно оповестили издание об обнаруженной проблеме и достаточно быстро получили ответ (что бывает крайне редко). 👍

По словам представителя «CNews»: “админ открыл доступ случайно только на два часа и удивлен как быстро вам удалось это обнаружить”. 😎

В логах не содержалось никакой критичной информации, за исключением, пожалуй, ключа доступа (параметр “&auth=”) к чтению еще не опубликованных материалов.

Мы обещали написать про утечку данных чеков и другой информации с серверов ОФД «Дримкас» и мы выполняем обещание. 😎

Ранее, по нашим материалам, про эту утечку написали две статьи «Известия» (https://news.1rj.ru/str/dataleak/1263 и https://news.1rj.ru/str/dataleak/1273), а теперь мы сами представим технические детали инцидента. 👇

И так, 11.09.2019 в 21:00 (МСК) система DeviceLock Data Breach Intelligence обнаружила свободно доступный Elasticsearch-сервер с индексами “logs-release”, “update-logs-release”, “hub2kab-release” и многими другими. Общий размер “засвеченных” индексов с данными составлял около 60 Гб. 😱

По данным поисковика Shodan этот сервер находился в открытом доступе с 09.09.2019. 😂

В индексах содержалась информация (логи):

🌵 о кассовых аппаратах (включая прошивки, которые также были доступны для скачивания по линкам из логов)
🌵 о торговых точках, в которых установлены эти кассовые аппараты (ККТ)
🌵 данные кассиров
🌵 содержимое чеков
🌵 и даже персональные данные некоторых покупателей (“благодаря” электронной карте программы лояльности «Покупай-ка»).

Из логов мы довольно быстро установили принадлежность данного открытого Elasticsearch-сервера – компанию «Дримкас» (dreamkas.ru):

"shopInfo": {
"address": "692522 Приморский край г.Уссурийск ул.Тургенева 13",
"realAddress": "Магазин",
"inn": "251105934906",
"legalName": "ИП Изотов С.Л.",
"shopName": "М-н \"Кулинария 555\"",
"kpp": "251101001"
},

],
"kktInfo": {
"fnRegistryName": "Шифровальное (криптографическое) средство защиты фискальных данных фискальный накопитель «ФН-1»",
"daysBeforeExpire": 62,
"fnFullness": "менее 90%",
"fnNumber": "9282000100157585",
"kktFactoryNumber": "0491006194",
"kktRegistryName": "Вики Мини Ф",
"ffdVersion": "1.05"
},
"kktRegistrationInfo": {
"senderEmail": "ofd-receipts@dreamkas.ru",
"autonomic": false,
"ofdProvider": {
"name": "Такском ОФД",
"inn": "7704211201",
"serverPort": 7777,
"checkURL": "nalog.ru",
"serverHost": "f1.taxcom.ru"
},
"registryNumber": "0002579246023352"

Оповещение было отправлено нами 11.09.2019 в 21:35 (МСК) и 12.09.2019 примерно в 10:00 (МСК) сервер был убран из свободного доступа. К сожалению, это был не единственный открытый их сервер, но про это будет написано чуть позже. 🙈

Вечером 12-го мы даже получили ответ от «Дримкас»: “С опоздание отвечаем на ваше сообщение. Спасибо за предоставление важной информации. Она была передана для проверки специалистам. Проводим технический аудит.” 👍

Вот так в логах хранились данные покупателей (программа лояльности «Покупай-ка»):

"response_json": "{\n \"phone\" : \"7914XXXXXX\",\n \"loyalData\" : {\n \"discount\" : 300,\n \"discountType\" : \"PERCENT\",\n \"accumulations\" : 1707053\n },\n \"cards\" : [ \"002075XXXXXX\" ],\n \"card\" : \"002075XXXXXX\"\n}",
"path": "https://pokupaika.app/api/v1/customer/4a25be07-3529-409f-ab8a-1fe0d0e014c5/info/?key=XXX&phone=7914XXXXXX&email=XXX&card=XXX",
"@timestamp": "2019-09-11T02:56:22.538Z",

(реальные данные скрыты нами)

Данные кассиров:

\"cashier\" : {\n \"inn\" : \"235501272496\",\n \"name\" : \"Гордиенко Светлана Юрьевна\"\n },\n \"fnNumber\" : \"9287440300426322\",\n \"taxModes\" : [ \"ENVD\" ],\n \"workMode\" : [ ],\n \"autonomic\" : true,\n \"workModes\" : [ ],\n \"ofdProvider\" : { },\n \"fnRegistryName\" : \"Шифровальное (криптографическое) средство защиты фискальных данных фискальный накопитель «ФН-1.1» исполнение 2\",\n \"registryNumber\" : \"0003960721007823\"\n }

продолжение в следующем посте 👇👇👇

начало в предыдущем посте 👆👆👆

Данные по покупке:

"type": "PURCHASE_DOCUMENT_REPORT",
"positions": [
{
"number": 1,
"totalSum": 14000,
"barcode": "4601728013684",
"quantity": 1000,
"tax": "NDS_20",
"product": {
"meta": {
"barcodes": [
"4601728013684"
],
"type": "ALCOHOL",
"name": "Водка \"КЕДРОВИЦА НА КЕДРОВЫХ ОРЕХАХ\"",
"alcCode": "0350566000001264110",
"measure": "шт",
"precision": 1,
"alcCapacity": 0.25,
"tax": "NDS_20",
"alcTypeCode": "200",
"alcContent": 40,
"sortOrder": 0
},

Общий размер утекших данных оценить сложно, т.к. речь идет о логах, в которых содержатся часто повторяющиеся записи. Ориентировочно, на каждый миллион строк приходится около 1500 записей со “значащими” данными (без учета дублей).

На момент закрытия 12.09 в “значащих” индексах содержалось всего 157,618,617 строк.

Во второй части мы расскажем про обнаруженный нами второй сервер «Дримкас», в котором находились уже подробные данные фискальных чеков. 🔥🔥🔥

Авиакомпания Malindo Air сегодня разослала своим клиентам письмо, в котором предупреждает об инциденте с утечкой персональных данных пассажиров, обвиняя в этом двух бывших сотрудников индийской компании-подрядчика: 👇

As a result of the findings, two former employees of our e-commerce services provider, GoQuo (M) Sdn Bhd in their development centre in India had improperly accessed and stole the personal data of our customers.

😂🤣😭

Мы, как обычно, первыми написали про эту утечку и сделали ее разбор (даже проверили некоторые записи пассажиров и убедились в их подлинности): https://news.1rj.ru/str/dataleak/1255 👍😎

В дополнение к уже написанному ранее, можем добавить, что эта утечка не результат кражи, а результат обычного безалаберного обращения с данными клиентов сотрудниками подрядчика. 😱

Изначально данные пассажиров были выложены в свободно доступное облако Amazon, по адресу https://sunstarcms.s3.amazonaws.com/test/backups/index.htm, в виде бэкапов: 🤦‍♂️🤦🏻‍♂️🙈

GQ FlightEngine PG backup
gitlab backup
GQDP2CMS backup
GQ FlightEngine PGLoyalty backup
GQ FlightEngine PG Preprod backup
GQ FlightEngine PG backup
GoQuoWebService backup
GoQuo BKK backup
GoQuo FareBasis BKK backup
PaymentGateway BKKAir backup
master backup
model backup
msdb backup
BatikairCMS ID Live backup
GQ FlightEngineB2BDB backup
GQ FlightEngineDB GW backup
GQ FlightEngineDB OD backup
GoQuoWebService backup
GoQuo OD API backup
GoQuo OD backup
MalindoCMSv2 backup

Сейчас утекшие данные пассажиров Malindo Air и Thai Lion Air можно свободно скачать со специализированных форумов, а информация о российских пассажирах даже выделена в отдельную базу данных в формате Cronos. 😎

Представляем наш новый отчет из серии исследований услуг черного рынка - «Пробив кредитной истории». 🔥🔥

На черном рынке широко представлен «пробив» по всем основным БКИ: Национальное бюро кредитных историй (НБКИ), Объединенное кредитное бюро (ОКБ), Эквифакс.

Подробнее читайте тут: 👇
https://www.devicelock.com/ru/blog/probiv-kreditnoj-istorii.html

Несколько дней назад на “рынке” появилась база данных клиентов «Рокетбанка» (на картинке снизу). Размер базы около 10 тыс. строк, стоимостью 250 руб. за одну запись, содержащую: 🔥

🌵 ФИО
🌵 дату рождения
🌵 номер мобильного телефона
🌵 сумму остатка на счете в рублях

А вчера стало известно, что мошенники умудрились “развести” HR-менеджера «Рокетбанка» (на картинке сверху). 😂🤣🤦‍♂️


Недавно мы выпустили отчет "Цены черного рынка на базы данных российских банков (лето 2019)": 👇

https://www.devicelock.com/ru/blog/tseny-chernogo-rynka-na-rossijskie-personalnye-dannye-bazy-dannyh.html

Вечером 28.09.2019 DeviceLock Data Breach Intelligence выявила открытый Elasticsearch-сервер с индексами “ru.lanit.rgu.model”, в которых находилась информация «Реестра государственных и муниципальных услуг Ульяновской области» (РГУ). 🔥

По данным Shodan, этот сервер появился в открытом доступе утром 28.09.2019. Мы оповестили соответствующие службы и через день доступ к серверу был закрыт.

Этот тот редкий случай, когда на наше оповещение пришел ответ: “Спасибо! Информация направлена для анализа техническим специалистам.” 👍

В индексе “ru.lanit.rgu.model.user” находились персональные данные пользователей (более 500) реестра:

🌵 ФИО
🌵 СНИЛС
🌵 логин
🌵 адрес электронной почты
🌵 телефон
🌵 место работы
🌵 должность

"_index": "ru.lanit.rgu.model.user",
"_type": "user",
"id": "7300000000170722157",
"login": "XXX",
"fullName": "XXX Татьяна XXX",
"snils": "155XXX",
"functionary": "Ведущий инспектор",
"phone": "8-84-XXX",
"email": "XXX@mail.ru",
"territory": {
"name": "Инзенский район"
},
"roles": {
"role": [
{
"name": "Оператор"
},
{
"name": "Редактор"
}
]
},
"admLevel": {
"name": "Муниципальный"
},
}
},

(реальные данные скрыты нами)

Мы немного скорректировали предыдущий пост (https://news.1rj.ru/str/dataleak/1283) в связи с тем, что «Департамент развития электронного правительства Ульяновской области» прислал нам дополнительные разъяснения относительно произошедшего инцидента. 👍

Мы неправильно установили принадлежность обнаруженной базы – это база данных не «Портала государственных услуг Ульяновской области», а «Реестра государственных и муниципальных услуг Ульяновской области», который предназначен для внесения информации об оказываемых ведомствами услугах.

Касательно причин инцидента: “28.09.2019 у нас произошло небольшое недоразумение, технические специалисты обновляли РГУ и при обновлении сменили IP-адрес, но не успели/забыли отредактировать правила на фаерволе.”

Получили дополнительную информацию от администратора «Реестра Государственных услуг»:

"Реестр Государственных услуг (РГУ), функционирует с 2009 года. Все данные, которые содержатся в РГУ (кроме СНИЛС) являются открытыми: наименование государственных учреждений, телефоны учреждений, адреса, а также данные пользователя ФИО государственного служащего, рабочий телефон государственного служащего, а также электронная почта государственного служащего.
Все эти данные не являются персональными данными и находятся в открытом доступе.
При обновлении РГУ до версии 4.1 и переводе его на новую платформу (на базе ОС Linux) произошёл сбой в настойках файрволла на стороне сервера РГУ, в следствие чего в открытый доступ, помимо самого РГУ, был открыт доступ к сервису поиска Elasticsearch. На данный момент проблема найдена и исправлена."

Уважаемые читатели, по традиции в конце месяца напоминаем вам про подписку на дайджест наиболее значимых утечек месяца! 🔥

Если нет времени читать все публикации на канале или захотите по итогам месяца освежить память - рекомендуем подписаться. Никакого спама. 😎

Подписаться на дайджест можно по этой ссылке: 👇
https://www.devicelock.com/ru/subscribe.html

Кировский районный суд Перми рассмотрит уголовное дело в отношении бывшего и.о. начальника отдела уголовного розыска ОП №3 УМВД Перми и частного детектива.

В июле 2018 года бывший полицейский за небольшое вознаграждение (3 тысячи рублей) передал частному детективу данные из базы МВД в отношении двух граждан: сведения о судимости, паспортные данные, номера телефонов, информацию о личных автомобилях.

Действия должностного лица квалифицированы по ч. 3 ст. 272 УК РФ ("Неправомерный доступ к компьютерной информации с использованием своего служебного положения, группой лиц по предварительному сговору"), ч. 1 ст. 291.2 УК РФ ("Мелкое взяточничество").

Уголовное дело возбудили также против частного детектива, ему предъявлено обвинение по ч. 1 ст. 291.2 УК РФ, ч. 3 ст. 272 УК РФ и ч. 1 ст. 137 УК РФ ("Нарушение неприкосновенности частной жизни").

Максимальное наказание за совершение данных преступлений - лишение свободы сроком до пяти лет.


✅ Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: 👇

https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html


✅ Недавно мы опубликовали обзор российского черного рынка пробива персональных данных: 👇

https://www.devicelock.com/ru/blog/tseny-chernogo-rynka-na-rossijskie-personalnye-dannye.html.