В декабре 2019 г. была обнаружена открытая база с данными 267 млн. Facebook-пользователей.
А сейчас Bob Diachenko обнаружил копию этой же базы на другом сервере. К тем же самым 267 млн. записям добавилось еще 41,8 млн. строк.
25 млн. “новых” строк содержали:
✅ Facebook-идентификатор
✅ номер телефона
✅ Facebook-логин (имя пользователя)
16,8 млн. “новых” строк содержали:
✅ Facebook-идентификатор
✅ номер телефона
✅ адрес электронной почты
✅ детали Facebook-профиля
Что интересно, через день после обнаружения база была уничтожена неизвестными – все персональные данные были стерты, а индексы Elasticsearch переименованы в “please_secure_your_servers”.
А сейчас Bob Diachenko обнаружил копию этой же базы на другом сервере. К тем же самым 267 млн. записям добавилось еще 41,8 млн. строк.
25 млн. “новых” строк содержали:
✅ Facebook-идентификатор
✅ номер телефона
✅ Facebook-логин (имя пользователя)
16,8 млн. “новых” строк содержали:
✅ Facebook-идентификатор
✅ номер телефона
✅ адрес электронной почты
✅ детали Facebook-профиля
Что интересно, через день после обнаружения база была уничтожена неизвестными – все персональные данные были стерты, а индексы Elasticsearch переименованы в “please_secure_your_servers”.
25-летнего сотрудника салона связи в Красноярске осудили за незаконную продажу данных абонентов «Билайн».
Молодого человека задержали в мае 2019 года. Используя свое служебное положение, он за денежное вознаграждение, передавал неправомерно скопированные из базы данных оператора персональные данные, а также сведения о телефонных соединениях абонентов. Заказы поступали через популярный мессенджер. Всего было выявлено и задокументировано четыре случая продажи данных. Про “мобильный пробив” мы писали тут.
Молодому человеку предъявили обвинение по ч. 2 ст. 138 УК РФ (Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений) и ч. 3 ст. 272 (Неправомерный доступ к компьютерной информации).
Приговором бывший сотрудник признан виновным и ему назначено наказание в виде 1 года 7 месяцев ограничения свободы.
Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇
https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html
Молодого человека задержали в мае 2019 года. Используя свое служебное положение, он за денежное вознаграждение, передавал неправомерно скопированные из базы данных оператора персональные данные, а также сведения о телефонных соединениях абонентов. Заказы поступали через популярный мессенджер. Всего было выявлено и задокументировано четыре случая продажи данных. Про “мобильный пробив” мы писали тут.
Молодому человеку предъявили обвинение по ч. 2 ст. 138 УК РФ (Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений) и ч. 3 ст. 272 (Неправомерный доступ к компьютерной информации).
Приговором бывший сотрудник признан виновным и ему назначено наказание в виде 1 года 7 месяцев ограничения свободы.
Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇
https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html
Киберпротект
Защита от утечки конфиденциальных данных - DLP-система Кибер Протего.
DLP-система Кибер Протего предотвращает утечку конфиденциальной информации, контролирует передачу данных и позволяет обнаруживать нарушения политики их хранения.
23 января 2020 года DeviceLock Data Breach Intelligence обнаружила очередной свободно доступный Elasticsearch-сервер с данными системы подбора грузового такси «MOVER» (mover24.ru).
Мы оповестили владельцев сервера и на следующий день Elasticsearch исчез из открытого доступа.
В индексе «mover» находилось около 200 тыс. записей, содержащих данные заказов.
"search_string": "48920 ***ёв Сергей ***ич 7910*** ***иев Исмаил ***ич 796*** GAZelle Бизнес Х***ВК750 Фургон 123181, г.Москва, ул.Маршала Катукова, д.*** 125599, г.Москва, ул.Ижорская, вл.*** 123181, г.Москва, ул.Маршала Катукова, д.*** 125599, г.Москва, ул.Ижорская, вл.***"
(реальные данные скрыты нами)
Мы оповестили владельцев сервера и на следующий день Elasticsearch исчез из открытого доступа.
В индексе «mover» находилось около 200 тыс. записей, содержащих данные заказов.
"search_string": "48920 ***ёв Сергей ***ич 7910*** ***иев Исмаил ***ич 796*** GAZelle Бизнес Х***ВК750 Фургон 123181, г.Москва, ул.Маршала Катукова, д.*** 125599, г.Москва, ул.Ижорская, вл.*** 123181, г.Москва, ул.Маршала Катукова, д.*** 125599, г.Москва, ул.Ижорская, вл.***"
(реальные данные скрыты нами)
Киберпротект
Защита от утечки конфиденциальных данных - DLP-система Кибер Протего.
DLP-система Кибер Протего предотвращает утечку конфиденциальной информации, контролирует передачу данных и позволяет обнаруживать нарушения политики их хранения.
Утром написали про обнаруженный Elasticsearch-сервер сервиса подбора грузового такси «MOVER», а сейчас в открытом доступе появились данные, скачанные с этого сервера. 😱
Это в очередной раз доказывает, что практически каждый инцидент с открытой базой данных (не важно MongoDB или Elasticsearch), можно и нужно считать утечкой.
Если со стороны владельцев обнаруженного открытого сервера не следует мгновенной реакции в виде закрытия доступа к ресурсу, то данные этого сервера выкачиваются многочисленными “охотниками” за информацией. 😎
Это в очередной раз доказывает, что практически каждый инцидент с открытой базой данных (не важно MongoDB или Elasticsearch), можно и нужно считать утечкой.
Если со стороны владельцев обнаруженного открытого сервера не следует мгновенной реакции в виде закрытия доступа к ресурсу, то данные этого сервера выкачиваются многочисленными “охотниками” за информацией. 😎
В связи с тем, что в открытом доступе снова оказалась база данных Facebook-пользователей, решили написать немного о цене этой информации на черном рынке.
В данный момент в продаже находятся несколько баз пользователей данной социальной сети: 👇
💰 350 млн. записей с профилями пользователей по всему миру (если пользователи открывали публичный доступ к их телефонам и адресам электронной почты, то они также попали в эту базу) - $5,000
💰 более 100 млн. записей с профилями пользователей из США, обогащенные номерами телефонов из внешних источников - $15,000
💰 более 40 млн. записей с профилями пользователей из США, обогащенные номерами телефонов и адресами электронной почты из внешних источников - $40,000
Профили пользователей включают в себя: идентификаторы Facebook и всю информацию, которую указали о себе сами пользователи.
Вся эта информация изначально получалась через официальный API, который функционировал до весны 2018 года, пока социальная сеть не запретила доступ к номерам телефонов и адресам электронной почты своих пользователей, после скандала с «Cambridge Analytica». 😎
В данный момент в продаже находятся несколько баз пользователей данной социальной сети: 👇
💰 350 млн. записей с профилями пользователей по всему миру (если пользователи открывали публичный доступ к их телефонам и адресам электронной почты, то они также попали в эту базу) - $5,000
💰 более 100 млн. записей с профилями пользователей из США, обогащенные номерами телефонов из внешних источников - $15,000
💰 более 40 млн. записей с профилями пользователей из США, обогащенные номерами телефонов и адресами электронной почты из внешних источников - $40,000
Профили пользователей включают в себя: идентификаторы Facebook и всю информацию, которую указали о себе сами пользователи.
Вся эта информация изначально получалась через официальный API, который функционировал до весны 2018 года, пока социальная сеть не запретила доступ к номерам телефонов и адресам электронной почты своих пользователей, после скандала с «Cambridge Analytica». 😎
Telegram
Утечки информации
В декабре 2019 г. была обнаружена открытая база с данными 267 млн. Facebook-пользователей.
А сейчас Bob Diachenko обнаружил копию этой же базы на другом сервере. К тем же самым 267 млн. записям добавилось еще 41,8 млн. строк.
25 млн. “новых” строк содержали:…
А сейчас Bob Diachenko обнаружил копию этой же базы на другом сервере. К тем же самым 267 млн. записям добавилось еще 41,8 млн. строк.
25 млн. “новых” строк содержали:…
СМИ сообщают, что северная транспортная прокуратура выявила утечку полной базы экспортно-импортных операций России за восемь лет:
Установлено, что на одном из сайтов указано на наличие в продаже полной, регулярно обновляющейся таможенной базы данных по всем экспортно-импортным операциям российских компаний за 2012-2019 годы.
Прокуратура направила в районный суд Москвы административный иск о признании информации запрещенной на территории России. Суд удовлетворил требования в полном объеме. После вступления в силу решение суда будет направлено в Роскомнадзор.
Речь идет об уже (стопятсот раз) заблокированном форуме «phreaker». Таможенные базы там выкладывались регулярно, однако продажа "материала" на форуме строго запрещена, поэтому, разумеется, ничего не продавалось, а раздавалось бесплатно или в обмен на другие базы. 🤦♂️
«Phreaker» не работает уже второй день, а на другом англоязычном форуме появилось объявление о покупке базы его пользователей. 🤣
Установлено, что на одном из сайтов указано на наличие в продаже полной, регулярно обновляющейся таможенной базы данных по всем экспортно-импортным операциям российских компаний за 2012-2019 годы.
Прокуратура направила в районный суд Москвы административный иск о признании информации запрещенной на территории России. Суд удовлетворил требования в полном объеме. После вступления в силу решение суда будет направлено в Роскомнадзор.
Речь идет об уже (стопятсот раз) заблокированном форуме «phreaker». Таможенные базы там выкладывались регулярно, однако продажа "материала" на форуме строго запрещена, поэтому, разумеется, ничего не продавалось, а раздавалось бесплатно или в обмен на другие базы. 🤦♂️
«Phreaker» не работает уже второй день, а на другом англоязычном форуме появилось объявление о покупке базы его пользователей. 🤣
Кстати, российские и украинские таможенные базы (см. предыдущий пост) выкладываются регулярно и на англоязычные форумы. 🙈
Руководителя одного из отделов сотовой компании в Сарове подозревают в продаже распечатки входящих и исходящих звонков по номеру клиента.
По версии следствия, в июле 2018 года 25-летний мужчина, используя свой логин, со своего рабочего компьютера, подключился к базе данных и получил сведения об исходящих и входящих звонках одного из абонентов компании. После этого он их продал третьему лицу. Про “мобильный пробив” читайте тут.
Уголовное дело возбуждено по признакам ч. 3 ст. 272 УК РФ (неправомерный доступ к компьютерной информации с использованием служебного положения). Законом предусмотрено лишение свободы на срок до пяти лет.
Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇
https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html
По версии следствия, в июле 2018 года 25-летний мужчина, используя свой логин, со своего рабочего компьютера, подключился к базе данных и получил сведения об исходящих и входящих звонках одного из абонентов компании. После этого он их продал третьему лицу. Про “мобильный пробив” читайте тут.
Уголовное дело возбуждено по признакам ч. 3 ст. 272 УК РФ (неправомерный доступ к компьютерной информации с использованием служебного положения). Законом предусмотрено лишение свободы на срок до пяти лет.
Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇
https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html
Киберпротект
Защита от утечки конфиденциальных данных - DLP-система Кибер Протего.
DLP-система Кибер Протего предотвращает утечку конфиденциальной информации, контролирует передачу данных и позволяет обнаруживать нарушения политики их хранения.
В Петербурге полицейские задержали 21-летнего молодого человека по подозрению в продаже фейковых аккаунтов для каршеринга.
По версии следствия, с июня по октябрь 2019 года Роман Амелин зарегистрировал на подставных лиц десятки учетных записей для доступа к сервисам каршеринга.
Подозреваемый покупал по 500 руб. персональные данные людей (сканы паспортов и водительских прав, а также селфи с паспортами) из разных регионов России, которые обращались в микрофинансовые организации, после чего регистрировал аккаунты в сервисах каршеринга и продавал их уже по цене от 2 до 5 тысяч рублей.
Обвинение в совершении преступления, предусмотренного частью 1 статьи 272 УК РФ (неправомерный доступ к компьютерной информации), ему уже предъявлено. Санкция статьи предусматривает штраф, исправительные работы или заключение на срок до двух лет. Подозреваемый находится под домашним арестом.
По версии следствия, с июня по октябрь 2019 года Роман Амелин зарегистрировал на подставных лиц десятки учетных записей для доступа к сервисам каршеринга.
Подозреваемый покупал по 500 руб. персональные данные людей (сканы паспортов и водительских прав, а также селфи с паспортами) из разных регионов России, которые обращались в микрофинансовые организации, после чего регистрировал аккаунты в сервисах каршеринга и продавал их уже по цене от 2 до 5 тысяч рублей.
Обвинение в совершении преступления, предусмотренного частью 1 статьи 272 УК РФ (неправомерный доступ к компьютерной информации), ему уже предъявлено. Санкция статьи предусматривает штраф, исправительные работы или заключение на срок до двух лет. Подозреваемый находится под домашним арестом.
Австралийский образовательный ресурс «K-7 Maths» (k7maths.com, k7math.com, schoolcentre.com.au) оставил в открытом доступе Elasticsearch-сервер с более чем 1 млн. данных своих пользователей. 🙈
В индексе users находится 1,081,022 записей, содержащих:
🌵 имя/фамилия
🌵 адрес электронной почты
🌵 дата регистрации (первая регистрация – 18.07.2008, последняя – 14.03.2020), истечения подписки, последней рассылки и последнего входа в систему
🌵 хешированный (bcrypt с солью) пароль
🌵 тип подписки (trial, personal)
🌵 идентификаторы подписки и заказа
В индексе orders находится 14,522 записей, содержащих:
🌵 имя/фамилия плательщика
🌵 идентификатор пользователя из индекса users
🌵 дата заказа (первый – 16.03.2009, последний – 14.03.2020)
🌵 название школы
🌵 статус заказа (complete)
🌵 тип лицензии (Personal License, Personal License Extension)
🌵 способ оплаты (bank_transfer, credit_card_pin)
Сервер находится в открытом доступе с 16.06.2019 и разумеется все эти данные уже были скачаны и выложены на одном из форумов. 🤦♂️
В индексе users находится 1,081,022 записей, содержащих:
🌵 имя/фамилия
🌵 адрес электронной почты
🌵 дата регистрации (первая регистрация – 18.07.2008, последняя – 14.03.2020), истечения подписки, последней рассылки и последнего входа в систему
🌵 хешированный (bcrypt с солью) пароль
🌵 тип подписки (trial, personal)
🌵 идентификаторы подписки и заказа
В индексе orders находится 14,522 записей, содержащих:
🌵 имя/фамилия плательщика
🌵 идентификатор пользователя из индекса users
🌵 дата заказа (первый – 16.03.2009, последний – 14.03.2020)
🌵 название школы
🌵 статус заказа (complete)
🌵 тип лицензии (Personal License, Personal License Extension)
🌵 способ оплаты (bank_transfer, credit_card_pin)
Сервер находится в открытом доступе с 16.06.2019 и разумеется все эти данные уже были скачаны и выложены на одном из форумов. 🤦♂️
8 марта 2020 года DeviceLock Data Breach Intelligence обнаружила свободно доступный Elasticsearch-сервер с информацией платформы для рекрутмента «Potok» (potok.io).
Мы немедленно оповестили владельцев сервера по электронной почте, однако никакой реакции за этим не последовало. Через 2 дня мы повторно сообщили о проблеме через приватное сообщение на официальной странице в Facebook – опять никакой реакции. Помог только публичный пост в Facebook, после которого был получен ответ “спасибо” и сервер с данными наконец исчез из открытого доступа (12.03.2020). 🤦♂️
По данным поисковика Shodan, этот сервер оказался в открытом доступе 03.03.2020. 🙈
В свободном доступе находились индексы «jobs_», «offers_» и «applicants_».
В индексе «applicants_» на момент обнаружения было 5,861,256 записей, содержащих данные кандидатов: 👇
🌵 ФИО (на русском и латиницей)
🌵 телефоны (включая мобильный номер)
🌵 адрес электронной почты
🌵 город
🌵 подробное резюме (включая такие данные, как дата рождения, место жительства, места работы и т.п.)
🌵 многое другое
"_type": "applicant",
"_id": "6629160",
"email": "***@mail.ru",
"noscript": "Директор по строительству",
"company_id": 1409,
"created_at": "2020-03-09T18:39:04.828+03:00",
"source_id": 403,
"salary": null,
"schedule": [],
"city": "1",
"company_partner_id": null,
"resumes": [
{
"id": 10600918,
"cv_text": "Директор по строительству,
…
"agreement_confirmed": "not_sent",
"status": "active",
"address": null,
"source_type": "Добавлен",
"source_type_code": "sourced",
"fio": "Марина *** ***",
"fio_tr": "Marina *** ***",
"phones": ["7915***"],
"jobs_aggs": 1,
(реальные данные скрыты нами)
Мы немедленно оповестили владельцев сервера по электронной почте, однако никакой реакции за этим не последовало. Через 2 дня мы повторно сообщили о проблеме через приватное сообщение на официальной странице в Facebook – опять никакой реакции. Помог только публичный пост в Facebook, после которого был получен ответ “спасибо” и сервер с данными наконец исчез из открытого доступа (12.03.2020). 🤦♂️
По данным поисковика Shodan, этот сервер оказался в открытом доступе 03.03.2020. 🙈
В свободном доступе находились индексы «jobs_», «offers_» и «applicants_».
В индексе «applicants_» на момент обнаружения было 5,861,256 записей, содержащих данные кандидатов: 👇
🌵 ФИО (на русском и латиницей)
🌵 телефоны (включая мобильный номер)
🌵 адрес электронной почты
🌵 город
🌵 подробное резюме (включая такие данные, как дата рождения, место жительства, места работы и т.п.)
🌵 многое другое
"_type": "applicant",
"_id": "6629160",
"email": "***@mail.ru",
"noscript": "Директор по строительству",
"company_id": 1409,
"created_at": "2020-03-09T18:39:04.828+03:00",
"source_id": 403,
"salary": null,
"schedule": [],
"city": "1",
"company_partner_id": null,
"resumes": [
{
"id": 10600918,
"cv_text": "Директор по строительству,
…
"agreement_confirmed": "not_sent",
"status": "active",
"address": null,
"source_type": "Добавлен",
"source_type_code": "sourced",
"fio": "Марина *** ***",
"fio_tr": "Marina *** ***",
"phones": ["7915***"],
"jobs_aggs": 1,
(реальные данные скрыты нами)
Киберпротект
Защита от утечки конфиденциальных данных - DLP-система Кибер Протего.
DLP-система Кибер Протего предотвращает утечку конфиденциальной информации, контролирует передачу данных и позволяет обнаруживать нарушения политики их хранения.
Данные индексов «jobs_» (более 158 тыс. записей), «offers_» (более 1,2 тыс. записей) и «applicants_» (более 5,8 млн. записей), находившегося с 03.03.2020 по 12.03.2020 в открытом доступе Elasticsearch-сервера платформы для рекрутмента «Potok» (potok.io).
Сотрудник компании сотовой связи в Челябинской области продавал персональные данные абонентов.
По данным следствия, в 2019 году специалист, работавший в офисе одного из операторов, имея доступ к сведениям ограниченного доступа, собрал и продал персональные данные 10 абонентов.
В отношении этого сотрудника возбуждено уголовное дело по ч. 2 ст. 137 УК РФ (нарушении неприкосновенности частной жизни).
Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇
https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html
По данным следствия, в 2019 году специалист, работавший в офисе одного из операторов, имея доступ к сведениям ограниченного доступа, собрал и продал персональные данные 10 абонентов.
В отношении этого сотрудника возбуждено уголовное дело по ч. 2 ст. 137 УК РФ (нарушении неприкосновенности частной жизни).
Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇
https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html
Киберпротект
Защита от утечки конфиденциальных данных - DLP-система Кибер Протего.
DLP-система Кибер Протего предотвращает утечку конфиденциальной информации, контролирует передачу данных и позволяет обнаруживать нарушения политики их хранения.
В открытый доступ выложили данные, похищенные у клиники «Advanced Urgent Care» (urgentcarefloridakeys.com) из Ки-Уэст (штат Флорида, США). 🚑🏥
Клиника отказалась платить выкуп вымогателям и они “слили” 12 Гб файлов на один из форумов. 💰
Среди утекших файлов попадаются копии банковских чеков, отчеты по оплатам и даже списки пациентов с персональными данными (около 10 тыс. строк):
🌵 имя/фамилия
🌵 адрес
🌵 телефон
🌵 дата рождения
🌵 номер карточки социального страхования (SSN)
Судя по всему, файлы были украдены в марте этого года.
Клиника отказалась платить выкуп вымогателям и они “слили” 12 Гб файлов на один из форумов. 💰
Среди утекших файлов попадаются копии банковских чеков, отчеты по оплатам и даже списки пациентов с персональными данными (около 10 тыс. строк):
🌵 имя/фамилия
🌵 адрес
🌵 телефон
🌵 дата рождения
🌵 номер карточки социального страхования (SSN)
Судя по всему, файлы были украдены в марте этого года.
12 марта 2020 года наша система DeviceLock Data Breach Intelligence обнаружила свободно доступный Elasticsearch-сервер с информацией образовательного онлайн-сервиса для поиска репетиторов и тренеров «UpStudy» (upstudy.ru).
В открытом доступе находилось 4 индекса:
🌵 arrangement – 3,569 записей
🌵 default – 105,337 записей
🌵 upstudy – 10,363 записей
🌵 repetitor – 56,326 записей
В индексе «upstudy» содержались данные заказов (более 2,5 тыс.), также включающие в себя персональные данные репетиторов и студентов.
🌵 стоимость заказа
🌵 описание заказа
🌵 дата заказа
🌵 ФИО репетитора и студента
🌵 дата рождения репетитора и студента
🌵 пол репетитора и студента
🌵 телефон репетитора и студента
🌵 почтовый адрес репетитора и студента
🌵 адрес электронной почты репетитора и студента
"REPETITOR": {
"ID": "21826",
"NAME": "Нелля",
"ACTIVE": "Y",
"LAST_NAME": "***",
"SECOND_NAME": "",
"DATE_REGISTER": "12.10.2015 14:03:50",
"LAST_LOGIN": "07.09.2016 12:24:22",
"FULL_NAME": "*** Нелля ",
"EMAIL": "***@mail.ru",
"PERSONAL_STREET": "Седова",
"PERSONAL_BIRTHDAY": "***.1990",
"PERSONAL_MOBILE": "+7 (921) ***",
"LOGIN": "***@mail.ru",
"PERSONAL_GENDER": "F",
(реальные данные скрыты нами)
В индексе «default» содержались данные около 25 тыс. зарегистрированных пользователей сервиса (студентов):
🌵 ФИО
🌵 пол
🌵 почтовый адрес
🌵 телефон
🌵 адрес электронной почты
🌵 дата рождения
🌵 дата регистрации и последнего входа в систему
В теории база могла быть “тестовая” (это самое любимое оправдание всех компаний, допустивших подобные утечки 🤣), поэтому для проверки мы зарегистрировались на сервисе и затем обнаружили эти данные в базе:
"USER": {
"NAME": "Ашот",
"ACTIVE": "Y",
"LAST_NAME": "",
"SECOND_NAME": "",
"DATE_REGISTER": "14.03.2020 16:52:08",
"LAST_LOGIN": "14.03.2020 16:52:16",
"FULL_NAME": " Ашот ",
"EMAIL": "ashot@devicelock.com",
"PERSONAL_STREET": "тестовая",
"PERSONAL_BIRTHDAY": "01.01.2020",
"PERSONAL_MOBILE": "+7 (999) 123 45 67",
"LOGIN": "ashot@devicelock.com",
"PERSONAL_GENDER": "M",
12.03.2020 мы уведомили сервис об обнаруженной проблеме, однако никакого ответа не получили. Через 2 дня мы повторно сообщили о проблеме через приватное сообщение на официальной странице сервиса в Facebook – и опять никакой реакции. 16.03.2020 было написано публичное оповещение через Facebook. Однако, сервер с данными был убрал из свободного доступа только 17.03.2020. 🙈
Необходимо отметить, что данный Elasticsearch-сервер впервые появился в открытом доступе 26.06.2019, но потом был закрыт и повторно “всплыл” уже только 10.03.2020. 🤦♂️🤦🏻♂️
В открытом доступе находилось 4 индекса:
🌵 arrangement – 3,569 записей
🌵 default – 105,337 записей
🌵 upstudy – 10,363 записей
🌵 repetitor – 56,326 записей
В индексе «upstudy» содержались данные заказов (более 2,5 тыс.), также включающие в себя персональные данные репетиторов и студентов.
🌵 стоимость заказа
🌵 описание заказа
🌵 дата заказа
🌵 ФИО репетитора и студента
🌵 дата рождения репетитора и студента
🌵 пол репетитора и студента
🌵 телефон репетитора и студента
🌵 почтовый адрес репетитора и студента
🌵 адрес электронной почты репетитора и студента
"REPETITOR": {
"ID": "21826",
"NAME": "Нелля",
"ACTIVE": "Y",
"LAST_NAME": "***",
"SECOND_NAME": "",
"DATE_REGISTER": "12.10.2015 14:03:50",
"LAST_LOGIN": "07.09.2016 12:24:22",
"FULL_NAME": "*** Нелля ",
"EMAIL": "***@mail.ru",
"PERSONAL_STREET": "Седова",
"PERSONAL_BIRTHDAY": "***.1990",
"PERSONAL_MOBILE": "+7 (921) ***",
"LOGIN": "***@mail.ru",
"PERSONAL_GENDER": "F",
(реальные данные скрыты нами)
В индексе «default» содержались данные около 25 тыс. зарегистрированных пользователей сервиса (студентов):
🌵 ФИО
🌵 пол
🌵 почтовый адрес
🌵 телефон
🌵 адрес электронной почты
🌵 дата рождения
🌵 дата регистрации и последнего входа в систему
В теории база могла быть “тестовая” (это самое любимое оправдание всех компаний, допустивших подобные утечки 🤣), поэтому для проверки мы зарегистрировались на сервисе и затем обнаружили эти данные в базе:
"USER": {
"NAME": "Ашот",
"ACTIVE": "Y",
"LAST_NAME": "",
"SECOND_NAME": "",
"DATE_REGISTER": "14.03.2020 16:52:08",
"LAST_LOGIN": "14.03.2020 16:52:16",
"FULL_NAME": " Ашот ",
"EMAIL": "ashot@devicelock.com",
"PERSONAL_STREET": "тестовая",
"PERSONAL_BIRTHDAY": "01.01.2020",
"PERSONAL_MOBILE": "+7 (999) 123 45 67",
"LOGIN": "ashot@devicelock.com",
"PERSONAL_GENDER": "M",
12.03.2020 мы уведомили сервис об обнаруженной проблеме, однако никакого ответа не получили. Через 2 дня мы повторно сообщили о проблеме через приватное сообщение на официальной странице сервиса в Facebook – и опять никакой реакции. 16.03.2020 было написано публичное оповещение через Facebook. Однако, сервер с данными был убрал из свободного доступа только 17.03.2020. 🙈
Необходимо отметить, что данный Elasticsearch-сервер впервые появился в открытом доступе 26.06.2019, но потом был закрыт и повторно “всплыл” уже только 10.03.2020. 🤦♂️🤦🏻♂️
Киберпротект
Защита от утечки конфиденциальных данных - DLP-система Кибер Протего.
DLP-система Кибер Протего предотвращает утечку конфиденциальной информации, контролирует передачу данных и позволяет обнаруживать нарушения политики их хранения.
«Известия» пишут:
В открытом доступе оказался сервер с персональной информацией клиентов сервиса «Премиум бонус», которая обеспечивает программы лояльности популярным кафе и ресторанам (например, «Му-Му», «Жан Жак», «Империя пиццы»). Об этом «Известиям» рассказал основатель и технический директор DeviceLock Ашот Оганесян, он обнаружил базу данных 16 марта.
«Известия» ознакомились с фрагментами базы данных. В клиентских записях присутствовали полные имена, фамилии и отчества покупателей, даты рождения, e-mail, мобильные телефоны, адреса доставки, сумма и состав заказов. В частности, на открытом сервере хранилась информация о посетителях ресторанов «Му-Му», «Жан- Жак», «Империя пиццы», «Тарелка», «Ташир Пицца», «Грузинские каникулы», «Джон Донн», «Тапчан», «Контакт бар», а также о покупателях магазинов «Органик Маркет», French Kiss, «Добрынинский и партнеры», «Интермода»
Технические подробности этой утечки мы опишем завтра. 😎
В открытом доступе оказался сервер с персональной информацией клиентов сервиса «Премиум бонус», которая обеспечивает программы лояльности популярным кафе и ресторанам (например, «Му-Му», «Жан Жак», «Империя пиццы»). Об этом «Известиям» рассказал основатель и технический директор DeviceLock Ашот Оганесян, он обнаружил базу данных 16 марта.
«Известия» ознакомились с фрагментами базы данных. В клиентских записях присутствовали полные имена, фамилии и отчества покупателей, даты рождения, e-mail, мобильные телефоны, адреса доставки, сумма и состав заказов. В частности, на открытом сервере хранилась информация о посетителях ресторанов «Му-Му», «Жан- Жак», «Империя пиццы», «Тарелка», «Ташир Пицца», «Грузинские каникулы», «Джон Донн», «Тапчан», «Контакт бар», а также о покупателях магазинов «Органик Маркет», French Kiss, «Добрынинский и партнеры», «Интермода»
Технические подробности этой утечки мы опишем завтра. 😎
Известия
Выдали заказы: информация о клиентах ресторанов утекла в Сеть
Ее могут использовать для рассылки рекламы и получения конфиденциальных данных
20-летний сотрудник одного из салонов сотовой связи в Костроме стал фигурантом уголовного дела из-за нарушения тайны телефонных переговоров клиентки.
По версии следствия, в июле 2019 года молодой человек попросил у своего 20-летнего приятеля, работавшего в салоне сотовой связи, проследить за девушкой - получить детализацию ее звонков и СМС, чтобы узнать, не общается ли она с другими мужчинами.
Против сотрудника салона связи возбудили дело по части 2 статьи 138 УК РФ (нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан, совершенное лицом с использованием своего служебного положения). Если вину подозреваемого докажут в суде, ему грозит до четырех лет заключения. 🤦🏻♂️
Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇
https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html
По версии следствия, в июле 2019 года молодой человек попросил у своего 20-летнего приятеля, работавшего в салоне сотовой связи, проследить за девушкой - получить детализацию ее звонков и СМС, чтобы узнать, не общается ли она с другими мужчинами.
Против сотрудника салона связи возбудили дело по части 2 статьи 138 УК РФ (нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан, совершенное лицом с использованием своего служебного положения). Если вину подозреваемого докажут в суде, ему грозит до четырех лет заключения. 🤦🏻♂️
Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇
https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html
Киберпротект
Защита от утечки конфиденциальных данных - DLP-система Кибер Протего.
DLP-система Кибер Протего предотвращает утечку конфиденциальной информации, контролирует передачу данных и позволяет обнаруживать нарушения политики их хранения.
Как и обещали вчера, публикуем технические детали утечки данных клиентов ресторанов, магазинов и автосервисов, подключенных к облачной CRM-системе «Премиум бонус» (premiumbonus.ru).
16.03.2020 система DeviceLock Data Breach Intelligence обнаружила свободно доступный Elasticsearch-сервер с индексами системы «graylog» - высокопроизводительной платформы с открытым исходным кодом, предназначенной для управления логами.
Напомним, что именно через логи системы «graylog» в свое время утекли персональные данные из:
🌵 компании Inventive Retail Group (сети re:Store, Samsung, Sony Centre и др.)
🌵 транспортной компании FESCO
🌵 сервиса по подбору туров Слетать.ру
🌵 облачной системы POSIFLORA
В данном случае в логах находилась информация из системы «Премиум бонус» - всего более 600 млн. строк в 37 индексах.
Среди технической информации содержались персональные данные клиентов из Москвы, Санкт-Петербурга, Казани, Нижнего Новгорода, Новосибирска, Находки и других городов России.
В логах были замечены такие организации, как: «Му-Му», «Жан- Жак», «Империя пиццы», «Тарелка», «Ташир Пицца», «Грузинские каникулы», «Джон Донн», «Тапчан», «Контакт бар», «Органик Маркет», French Kiss, «Добрынинский и партнеры», «Интермода», «ЛавкаЛавка» и т.д.
Внимание привлек ресторан «Тапчан»: 😂
"organization_name": "Тапчан",
"message": "POST /mobile/buyer-info",
"phone": "7903***",
"full_message": "POST /mobile/buyer-info\n\nRESPONSE:\n{\n \"success\": true,\n \"phone\": \"7903***\",\n \"name\": \"Ашот Оганесян\",\n \"birth_date\": \"1974-12-02\",\n \"email\": \"ashot@devicelock.com\",\n \"mobile_profile_filled\": true,\n \"gender\": \"male\",\n
и даже вот так: 😱
"full_message": "URL: http://card.tapchan.cafe:9901/api/0/orders/add?request_timeout=0:00:50&access_token=***\n\nPOST DATA: {\n \"date\": \"2020-03-09 16:15:00\",\n \"phone\": \"7903***\",\"comment\": \"калифорнийские роллы сделать без огурца и авокадо\",\n \"fullSum\": 1380,\n \"address\": {\n \"city\": \"Москва\",\n \"street\": \"*** проезд\",\n \"home\": \"***\",\n \"apartment\": \"***\",\n \"entrance\": \"***\",\n \"floor\": \"***\",\n \"doorphone\": \"***\",\n \"housing\": \"***\"\n },\n \"orderTypeId\": \"85b062e5-c87d-4300-b6cd-e7e6a8727a68\",\n \"discountCardTypeId\": \"241adb3e-8c05-4c97-99ce-91bd797a8304\",\n \"discountOrIncreaseSum\": 276\n },\n \"customer\": {\n \"name\": \"Оганесян Ашот\",\n \"phone\": \"7903***\",\n \"email\": \"ashot@devicelock.com\"\n }\n}\n\n
(некоторые данные мы скрыли звездочками)
Таким образом, в логах помимо персональных данных клиентов организаций, подключенных к облачной CRM-системе «Премиум бонус», оказались также и данные их (клиентов) заказов. Итого:
🌵 ФИО
🌵 дата рождения
🌵 адрес (домашний или рабочий, смотря куда оформлялась доставка)
🌵 телефон
🌵 адрес электронной почты
🌵 пол
🌵 состав заказа (товары или услуги)
🌵 стоимость заказа
🌵 дата заказа
🌵 номер карты лояльности и количество бонусов на ней
Оценить количество пострадавших клиентов (физлиц) довольно сложно, т.к. одни и те же данные встречаются в логах много раз. Скажем, в одном из индексов, содержавшем более 55 млн. записей находилось более 300 тыс. строк с персональными данными клиентов. Учитывая наш опыт анализа предыдущих инцидентов, можно предположить, что в таких строках содержится не более 10% “полезной” информации, т.е. можно говорить о десятках тысяч пострадавших.
Разумеется, мы немедленно уведомили компанию-разработчика CRM-системы по всем доступным каналам (эл. почта, сообщения в Facebook и ВКонтакте). Доступ к серверу был закрыт на следующий день. 🤦🏻♂️
Интересно, что данный свободно-доступный сервер не обнаруживался поисковиками BinaryEdge, Shodan и ZoomEye. Его “видел” только Censys. 😎
16.03.2020 система DeviceLock Data Breach Intelligence обнаружила свободно доступный Elasticsearch-сервер с индексами системы «graylog» - высокопроизводительной платформы с открытым исходным кодом, предназначенной для управления логами.
Напомним, что именно через логи системы «graylog» в свое время утекли персональные данные из:
🌵 компании Inventive Retail Group (сети re:Store, Samsung, Sony Centre и др.)
🌵 транспортной компании FESCO
🌵 сервиса по подбору туров Слетать.ру
🌵 облачной системы POSIFLORA
В данном случае в логах находилась информация из системы «Премиум бонус» - всего более 600 млн. строк в 37 индексах.
Среди технической информации содержались персональные данные клиентов из Москвы, Санкт-Петербурга, Казани, Нижнего Новгорода, Новосибирска, Находки и других городов России.
В логах были замечены такие организации, как: «Му-Му», «Жан- Жак», «Империя пиццы», «Тарелка», «Ташир Пицца», «Грузинские каникулы», «Джон Донн», «Тапчан», «Контакт бар», «Органик Маркет», French Kiss, «Добрынинский и партнеры», «Интермода», «ЛавкаЛавка» и т.д.
Внимание привлек ресторан «Тапчан»: 😂
"organization_name": "Тапчан",
"message": "POST /mobile/buyer-info",
"phone": "7903***",
"full_message": "POST /mobile/buyer-info\n\nRESPONSE:\n{\n \"success\": true,\n \"phone\": \"7903***\",\n \"name\": \"Ашот Оганесян\",\n \"birth_date\": \"1974-12-02\",\n \"email\": \"ashot@devicelock.com\",\n \"mobile_profile_filled\": true,\n \"gender\": \"male\",\n
и даже вот так: 😱
"full_message": "URL: http://card.tapchan.cafe:9901/api/0/orders/add?request_timeout=0:00:50&access_token=***\n\nPOST DATA: {\n \"date\": \"2020-03-09 16:15:00\",\n \"phone\": \"7903***\",\"comment\": \"калифорнийские роллы сделать без огурца и авокадо\",\n \"fullSum\": 1380,\n \"address\": {\n \"city\": \"Москва\",\n \"street\": \"*** проезд\",\n \"home\": \"***\",\n \"apartment\": \"***\",\n \"entrance\": \"***\",\n \"floor\": \"***\",\n \"doorphone\": \"***\",\n \"housing\": \"***\"\n },\n \"orderTypeId\": \"85b062e5-c87d-4300-b6cd-e7e6a8727a68\",\n \"discountCardTypeId\": \"241adb3e-8c05-4c97-99ce-91bd797a8304\",\n \"discountOrIncreaseSum\": 276\n },\n \"customer\": {\n \"name\": \"Оганесян Ашот\",\n \"phone\": \"7903***\",\n \"email\": \"ashot@devicelock.com\"\n }\n}\n\n
(некоторые данные мы скрыли звездочками)
Таким образом, в логах помимо персональных данных клиентов организаций, подключенных к облачной CRM-системе «Премиум бонус», оказались также и данные их (клиентов) заказов. Итого:
🌵 ФИО
🌵 дата рождения
🌵 адрес (домашний или рабочий, смотря куда оформлялась доставка)
🌵 телефон
🌵 адрес электронной почты
🌵 пол
🌵 состав заказа (товары или услуги)
🌵 стоимость заказа
🌵 дата заказа
🌵 номер карты лояльности и количество бонусов на ней
Оценить количество пострадавших клиентов (физлиц) довольно сложно, т.к. одни и те же данные встречаются в логах много раз. Скажем, в одном из индексов, содержавшем более 55 млн. записей находилось более 300 тыс. строк с персональными данными клиентов. Учитывая наш опыт анализа предыдущих инцидентов, можно предположить, что в таких строках содержится не более 10% “полезной” информации, т.е. можно говорить о десятках тысяч пострадавших.
Разумеется, мы немедленно уведомили компанию-разработчика CRM-системы по всем доступным каналам (эл. почта, сообщения в Facebook и ВКонтакте). Доступ к серверу был закрыт на следующий день. 🤦🏻♂️
Интересно, что данный свободно-доступный сервер не обнаруживался поисковиками BinaryEdge, Shodan и ZoomEye. Его “видел” только Censys. 😎
Telegram
Утечки информации
«Известия» пишут:
В открытом доступе оказался сервер с персональной информацией клиентов сервиса «Премиум бонус», которая обеспечивает программы лояльности популярным кафе и ресторанам (например, «Му-Му», «Жан Жак», «Империя пиццы»). Об этом «Известиям»…
В открытом доступе оказался сервер с персональной информацией клиентов сервиса «Премиум бонус», которая обеспечивает программы лояльности популярным кафе и ресторанам (например, «Му-Му», «Жан Жак», «Империя пиццы»). Об этом «Известиям»…
Код ИБ ПРОФИ перешли в онлайн "благодаря" эпидемии короновируса COVID-19. 👇
Сейчас есть возможность купить билет только на один мастер-класс или на весь интенсив, который охватывает полный спектр вопросов по управлению информационной безопасностью:
✅ 6 дней (26, 27, 30, 31 марта, 1 и 2 апреля)
✅ 6 тематических потоков (Планирование, Взаимодействие с бизнесом, ИБ без бюджета, Повышение осведомленности, Безопасная разработка, Оценка защищенности)
✅ 4 часовых мастер-класса по каждой теме
✅ 24 мастер-класса на всем интенсиве
Подробнее на сайте «Код ИБ ПРОФИ».
Кстати, 7 апреля DeviceLock совместо с Код ИБ ПРОФИ проводит онлайн вебинар на тему «Защита от утечек конфиденциальной информации (DLP)». Регистрация тут. 👍
Сейчас есть возможность купить билет только на один мастер-класс или на весь интенсив, который охватывает полный спектр вопросов по управлению информационной безопасностью:
✅ 6 дней (26, 27, 30, 31 марта, 1 и 2 апреля)
✅ 6 тематических потоков (Планирование, Взаимодействие с бизнесом, ИБ без бюджета, Повышение осведомленности, Безопасная разработка, Оценка защищенности)
✅ 4 часовых мастер-класса по каждой теме
✅ 24 мастер-класса на всем интенсиве
Подробнее на сайте «Код ИБ ПРОФИ».
Кстати, 7 апреля DeviceLock совместо с Код ИБ ПРОФИ проводит онлайн вебинар на тему «Защита от утечек конфиденциальной информации (DLP)». Регистрация тут. 👍
Возбуждено уголовное дело в отношении 19-летней сотрудницы офиса продаж и обслуживания сотовой компании в г. Ковров (Владимирская область).
В сентябре 2019 года девушка скопировала из информационно-биллинговой системы компании данные детализации соединений 4-х абонентов и отправила их постороннему лицу через Telegram, получив за это денежное вознаграждение (т.н. “мобильный пробив”).
Уголовное дело в отношении подозреваемой возбуждено по ч. 2 ст. 138 УК РФ (нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений с использованием служебного положения).
Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇
https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html
В сентябре 2019 года девушка скопировала из информационно-биллинговой системы компании данные детализации соединений 4-х абонентов и отправила их постороннему лицу через Telegram, получив за это денежное вознаграждение (т.н. “мобильный пробив”).
Уголовное дело в отношении подозреваемой возбуждено по ч. 2 ст. 138 УК РФ (нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений с использованием служебного положения).
Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇
https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html
Киберпротект
Защита от утечки конфиденциальных данных - DLP-система Кибер Протего.
DLP-система Кибер Протего предотвращает утечку конфиденциальной информации, контролирует передачу данных и позволяет обнаруживать нарушения политики их хранения.
В Саратове полицейские задержали двух сотрудниц банка, которые, имея доступ к персональным данным граждан, мошенническим путем оформили кредиты на двух клиентов банка без их ведома на общую сумму более 600 тысяч рублей.
Еще на 5 клиентов они создали заявки, но получить средства подозреваемым не удалось.
В настоящее время возбуждено уголовное дело по ч. 3 статьи 159 УК РФ (мошенничество).
Еще на 5 клиентов они создали заявки, но получить средства подозреваемым не удалось.
В настоящее время возбуждено уголовное дело по ч. 3 статьи 159 УК РФ (мошенничество).