Несколько дней назад канал @in4security обратил внимание на мошеннический сайт по продаже медицинских масок (2maski.ru). 😷

Подчеркнем, что речь идет не о продаже масок по завышенным ценам (спекуляция), а именно о мошеннической схеме. Никаких масок нет, мошенники просто воруют деньги у доверчивых покупателей.

Неравнодушная общественность из числа умеющих в OSINT не пожелала терпеть такое и провела небольшое расследование с целью “деанона” мошенников. 👍

Результаты можно почитать на Хабре: https://habr.com/ru/post/496362/ 🔥

Интервью YouTube- каналу «Russian OSINT». 😎

Поговорили про утечки данных и на смежные темы. 👇

https://www.youtube.com/watch?v=6b0cmPMBEhQ

В Астраханской области (город Ахтубинск) подозревается в мелком взяточничестве участковый полиции, который в период с декабря 2018 года по февраль 2019 года брал через посредника взятки от руководителя фирмы по предоставлению похоронных услуг за сообщение сведений о местонахождении умерших и их персональных данных.

За каждое сообщение о скончавшемся жителе города сотрудник полиции получал 1,5 тысячи рублей путем перевода на банковскую карту. Уголовное дело направлено в суд.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

21.03.2020 система DeviceLock Data Breach Intelligence обнаружила свободно доступный Elasticsearch-сервер, в индексах которого содержались Filebeat-логи сервиса «Бери Заряд» (berizaryad.ru).

В логах находились такие данные пользователей сервиса, как: 👇

🌵 идентификатор пользователя
🌵 адрес электронной почты (не для всех)
🌵 телефон (не для всех)
🌵 IP-адрес
🌵 GPS-координаты
🌵 первые 6 и последние 4 цифры платежной карты, тип карты (Visa, MasterCard), банк-эмитент, дата истечения
🌵 сумма платежа
🌵 дата/время

"message": "I, [2020-03-17T02:00:48.295387 #28841] INFO -- : [d2633167-b615-4a00-9873-cbb19e952737] Parameters: {\"TransactionId\"=>\"324687600\", \"Amount\"=>\"2900.00\", \"Currency\"=>\"RUB\", \"PaymentAmount\"=>\"2900.00\", \"PaymentCurrency\"=>\"RUB\", \"OperationType\"=>\"Payment\", \"InvoiceId\"=>\"297465\", \"AccountId\"=>\"user91967\", \"SubnoscriptionId\"=>\"\", \"Name\"=>\"\", \"Email\"=>\"\", \"DateTime\"=>\"2020-03-16 23:00:46\", \"IpAddress\"=>\"82.***.***.***\", \"IpCountry\"=>\"RU\", \"IpCity\"=>\"Санкт-Петербург\", \"IpRegion\"=>\"Санкт-Петербург\", \"IpDistrict\"=>\"Северо-Западный федеральный округ\", \"IpLatitude\"=>\"59.***\", \"IpLongitude\"=>\"30.***\", \"CardFirstSix\"=>\"476771\", \"CardLastFour\"=>\"***\", \"CardType\"=>\"Visa\", \"CardExpDate\"=>\"12/25\", \"Issuer\"=>\"Central Bank of Kansas City\", \"IssuerBankCountry\"=>\"US\", \"Denoscription\"=>\"Автоплатеж за аренду зарядного устройства на сайте berizaryad.ru\", \"TestMode\"=>\"0\", \"Status\"=>\"Completed\", \"CardProduct\"=>\"G \", \"PaymentMethod\"=>\"\"}",

"message": "I, [2020-03-17T03:51:51.247345 #28831] INFO -- : [bbcd4239-f3db-460a-aa51-87081b048f23] Parameters: {\"email\"=>\"***@list.ru\", \"password\"=>\"[FILTERED]\", \"phone\"=>\"7926***\", \"registration\"=>{\"email\"=>\"***@list.ru\", \"password\"=>\"[FILTERED]\", \"phone\"=>\"7926***\"}}",

(некоторые данные мы скрыли звездочками)

Сказать точное количество утекших пользователей сложно, т.к. одни и те же данные встречаются в логах много раз. Оценочно можно говорить о более чем 10 тыс. записях.

В тот же день мы оповестили сервис и через час сервер был убран из открытого доступа. 👍

На Украине задержали жителя Ивано-Франковска, который через интернет продавал информацию из баз данных Государственной таможенной и пограничной служб Украины.

Продавец на различных форумах предлагал клиентам данные о пересечении границы гражданами и транспортными средствами, а также сроки их пребывания за границей. Оплату он принимал на банковские карточки.

Открыто производство по ч.2 ст. 361-2 Уголовного кодекса Украины (несанкционированный сбыт или распространение информации с ограниченным доступом). Дело передано в суд.

Ранее в Харьковской области задержали другого продавца таможенных баз: https://news.1rj.ru/str/dataleak/1426

Прокуратура Омска утвердила обвинительное заключение в отношении 27-летнего омича, обвиняемого в разглашении сведений о клиентах банка.

По версии следствия, в 2019 году знакомый подсудимого, который в тот момент работал в территориальном отделении банка, предложил ему за деньги сообщить сведения о счетах и банковских картах клиентов. Речь идет о том, что сотрудника завербовали в "банковские пробивщики". Подробнее об этом явлении мы писали в отчете «Цены российского черного рынка на пробив персональных данных». 😎

Подозреваемый скопировал необходимые сведения об интересующих лицах — их персональные данные, в том числе информацию об счетах и движении денег по ним, и передал знакомому.

На обвиняемого завели уголовное дело по ч. 3 ст. 272 УК РФ (неправомерный доступ к компьютерной информации, в целях ее копирования из корыстной заинтересованности, лицом с использованием своего служебного положения), ч. 3 ст. 183 УК РФ (незаконное разглашение сведений, составляющих банковскую тайну). Мужчине грозит штраф до 1 млн рублей, принудительные работы или лишение свободы на срок до пяти лет.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: 👇

https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html

Прежде чем объявить о вебинаре, мы провели опрос о его необходимости. Более 400 голосов было подано за варианты "Да, вебинар нужен". 👍

Соответственно....

...во вторник, 14 апреля, состоится бесплатный вебинар, где мы расскажем о технологии DeviceLock Virtual DLP и покажем, как реализовать контроль терминальных сессий - как демонстрацию некоторых кейсов, так и последовательность настройки DeviceLock DLP для решения задачи защиты данных при удаленном доступе.

Регистрация на вебинар: 👇
https://webinar.getresponse.com/BDK9E/devicelock-virtual-dlp?lang=ru

На Алтае расследуют утечку персональных данных жительницы Барнаула, заболевшей COVID-19.

Первая пациентка с коронавирусом в Алтайском крае прилетела из Доминиканы и позже ее данные оказались в открытом доступе в интернете.

Ранее мы писали про подобные случаи в Чувашской Республике, Оренбурге и Дагестане.

На Украине задержали 31-летнюю сотрудницу банка в г. Харьков, которая перед своим увольнением отправила персональные данные банковских клиентов на личную почту, собираясь впоследствии продавать их.

Женщина скопировала себе копии документов, налоговые декларации, банковские выписки о передвижении денежных средств на счетах клиентов банка. При обыске полиция нашла у нее мобильный телефон и компьютерную технику, на которой хранились персональные данные клиентов банка и информация, содержащая банковскую тайну.

По данному факту возбуждено уголовное производство по ч. 2 ст. 362 Уголовного кодекса Украины (несанкционированный перехват или копирование информации, которая обрабатывается в электронно - вычислительных машинах (компьютерах), автоматизированных системах, компьютерных сетях или хранится на носителях такой информации, если это привело к ее утечке, совершенные лицом, имеющем право доступа к такой информации). Женщине грозит до трех лет тюрьмы.

Продолжаем отслеживать сливы персональных данных пациентов с коронавирусом.👇

На этот раз в Воронежской области слили в интернет скан документа с данными семьи умершей от COVID-19 учительницы.

Следователи начали проверку информации о распространении персональных данных умершей в Воронеже 48-летней учительницы, чей предварительный тест на коронавирус был положительным.

Речь идет о документе местного филиала Роспотребнадзора, адресованного главному врачу Россошанской районной больницы.

На официальной бумаге были имена, адреса и данные членов семьи педагога, а также врачей, которые с ней контактировали.


Ранее мы писали про подобные случаи в Чувашской Республике, Оренбурге, Дагестане и на Алтае.

17.03.2020 система DeviceLock Data Breach Intelligence обнаружила свободно доступный Elasticsearch-сервер, в индексах которого содержались log4net-логи латвийской страховой компании «IIZI» (iizi.lv). 🔥

В логах содержались логины и пароли (в открытом виде) от личных кабинетов страхователей автомобилей: 🙈👇

<arg0 username=\"ws_kcc_viktorijat\" password=\"a***bK\" xmlns=\"\">\r\n<calculationInput noDeclaration=\"true\" policyStartDate=\"2020-03-17T00:00:00\" salesChannel=\"\" vehicleRegistrationNumber=\"LC7075\" vehicleRegCertificateNumber=\"AF2596675\">

<UserName>Aleksandrs Čerņavskis</UserName>\r\n <Public>true</Public>\r\n <Partner>false</Partner>\r\n </Common>\r\n <InsurerLogins>\r\n <InsurerLogin>\r\n <InsurerID>14</InsurerID>\r\n <Login>AFONINSA</Login>\r\n <Password>w***Fa</Password>\r\n </InsurerLogin>\r\n <InsurerLogin>

(некоторые данные мы скрыли звездочками)

Кроме логинов/паролей там находилось:

🌵 имя/фамилия
🌵 дата рождения
🌵 водительский стаж и дата выдачи водительского удостоверения
🌵 регистрационный номер автомобиля, VIN, марка, модель, мощность двигателя, вес, стоимость и т.п.
🌵 дата начала страхования

На момент обнаружения сервера, в индексах содержалось 16,063,841 строк. В данный момент большинство индексов уничтожено “червем” «nightlionsecurity.com», про который мы писали тут. 😱

Мы оповестили страховую компанию 17-го марта, однако никакого ответа не получили и сервер с данным до сих пор находится в открытом доступе. 🤦🏻‍♂️🤦‍♂️🤣

«Коммерсантъ» пишет:

В открытом доступе оказалась база данных российских клиентов российских сетей «К-Руока» и «К-Раута» финской Kesko примерно c 2011-го до марта 2018 года.

База содержит более 970 тыс. строк с данными клиентов, включая ФИО, дату рождения, телефон, электронную почту, город и район проживания, количество человек в семье и данные об участии в системах лояльности Kesko и ее партнеров.

Эта база впервые была обнаружена нами в открытом доступе на одном из форумов в конце февраля 2020 г. 😎

Всего в CSV-файле 972,136 строк с данными:

🌵 ФИО
🌵 адрес электронной почты
🌵 мобильный и домашний телефоны
🌵 пол
🌵 дата рождения
🌵 дата заполнения анкеты
🌵 номера карт лояльности
🌵 количество человек в семье и количество детей до 16 лет
🌵 почтовый индекс, регион, район, город

Добавили в “коллекцию” более 6 млн. пар логин/пароль из утечки данных пользователей вьетнамской онлайн библиотеки «Tailieu.vn». Почти на 87% учетные записи оказались уникальными и никогда ранее не встречались в других утечках. 👍

SQL-дамп, содержащий информацию «Tailieu.vn», попал в открытый доступ несколько дней назад. Данные в дампе датированы 24.11.2019. Помимо хешированных (MD5) паролей, там содержатся и другие данные пользователей (полные имена, адреса, пол, даты рождения и т.п.).

Расшифрованные пароли появились в свободном доступе вчера. 😎

Еще два случая слива персональных данных пациентов с коронавирусом.👇

1️⃣ В полицию Курганской области обратилась студентка из Москвы, прилетевшая к родителям в Шадринск, у которой было выявлено заражение коронавирусной инфекцией. Неизвестный сотрудник местного медучреждения разместил информацию о результатах анализов студентки в группе «Подслушано. Шадринск» во ВКонтакте.

2️⃣ В Иловлинском районе Волгоградской области были разглашены личные данные пациента с коронавирусом. В опубликованной ориентировке под названием «Информация о личности носителя COVID-19», указаны личные данные мужчины, адрес, информация о месте работы, а также данные о медицинских учреждениях, где мужчина и его сын проходил лечение, а также магазины и рынок, где он покупал вещи и продукты.


❗️Уважаемые читатели, если вам стало известно о подобных инцидентах, просьба присылать их описание на sendleak@gmail.com. ❗️

Обработали около 7 млн. расшифрованных паролей из утечки 2019 года разработчика онлайновых игр «OMGPop». Почти 69% пар логин/пароль оказались уникальными и ране никогда не встречались. 👍

«OMGPop» принадлежит другому крупному разработчику онлайновых игр - «Zynga», который в свою очередь в 2019 году “потерял” более 213 млн пользовательских данных (из них - 26 млн. паролей расшифровано). 🤣

В свободный доступ выложили дамп базы данных PostgreSQL, содержащий около 20 млн. пользователей альтернативного магазина Android-приложений «Aptoide» (aptoide.com). 🔥🔥

В дампе 19,999,946 строк, содержащих:

🌵 полное имя
🌵 адрес электронной почты (около 240 тыс. адресов в домене .ru)
🌵 хешированный (SHA-1 и SHA-256) пароль
🌵 дату рождения
🌵 дату/время регистрации в магазине (самая ранняя - 20.10.2010, самая последняя - 17.01.2020)
🌵 IP-адрес
🌵 признак активности
🌵 строку «User-Agent»
🌵 и некоторую другую информацию

Этот дамп является частью полного дампа базы пользователей «Aptoide», содержащего 39 млн. строк. Официально магазин приложений заявляет, что у них 150 млн. пользователей.

В открытый доступ (выложены на форум) попали два дампа базы данных PostgreSQL, содержащие информацию около 500 тыс. пользователей из CRM-системы предположительно сервиса для увеличения интернет-продаж - «BitRewards» (bitrewards.com/ru/).

В дампах находятся три таблицы: «credentials» (658,414 строк), «users» (496,547 строк) и «users_bulk_imports_rows» (49,230 строк). Среди прочей информации встречаются такие данные, как:

🌵 имя (часто имя/фамилия)
🌵 адрес электронной почты (и дата подтверждения)
🌵 телефон (и дата подтверждения)
🌵 ссылка на фотографию (для 106 записей)
🌵 хешированный (bcrypt с солью) пароль
🌵 баланс
🌵 дата/время регистрации и дата обновления профиля (диапазон между 17.11.2016 и 31.03.2020)
🌵 идентификаторы и ключи доступа (токены) социальных сетей ВКонтакте, Facebook, Twitter, Google+
🌵 реферальный ссылки (bitrewards.com/r/…, giftd.tech/r/…, referral.avtocod.ru/… и т.д.)
🌵 и много других данных

Районный суд Челябинска приговорил к штрафу в 5 тыс. рублей 21-летнего сотрудника оператора сотовой связи, виновного в разглашении тайны чужих телефонных переговоров.

Мужчина, являясь должностным лицом одного из операторов сотовой связи, не имея законных оснований, скопировал на свое мобильное устройство электронный файл, содержащий информацию о телефонных переговорах потерпевшего. После чего за денежное вознаграждение, передал неустановленному лицу незаконно полученную информацию.

Уголовное дело расследовалось по части 2 статьи 138 УК РФ (нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан, совершенное с использованием своего служебного положения).


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: 👇

https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html

В Обнинске (Калужская область) возбуждено уголовное дело в отношении сотрудника и стажера АО «Вымпелком» (торговая марка «Билайн»).

По данным следствия, в июне 2019 года сотрудники местного офиса оператора связи незаконно получили детализации звонков абонентов и передали их третьему лицу за вознаграждение, т.е. занимались “мобильным пробивом”.

Уголовное дело по ч.3 ст.272, ч.2 ст.138 УК РФ (незаконное получение детализации абонентов, распространении сведений о телефонных и иных переговорах) направлено в суд.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

Операторы вируса-вымогателя «Sodinokibi» (он же «REvil») опубликовали данные, украденные у лондонской транспортной (такси) компании «Atlas Cars of London» (atlascars.com).

В свободный доступ выложена часть похищенных данных – 10,184 файла общим размером около 3 Гб.

Среди выложенной вымогателями информации – данные по поездкам (время, маршрут, данные пассажиров и т.п.), список водителей (имена, домашние адреса и телефоны, банковские реквизиты и т.п.), сканы документов водителей, контракты, страховки водителей и много другое. 🔥

Самые “свежие” файлы датируются апрелем этого года.

Ранее эти же злоумышленники публиковали данные, похищенные у консалтинговой компании «Brooks International» и производителя автокомпонентов «GEDIA Automotive Group».