Малоизвестный сайт promotool.t-mobile.com, принадлежащий T-Mobile и используемый сотрудниками мобильного оператора в качестве портала обслуживания клиентов, поддерживал специальные запросы, возвращающие данные клиента T-Mobile - для этого нужно было просто добавить номер мобильного телефона клиента в конец веб-адреса. 🙈🙈
Возвращаемые данные включали полное имя клиента, почтовый адрес, номер платежного счета и в некоторых случаях информацию об идентификационных номерах налогоплательщика. Данные также включали информацию об учетной записи клиентов, например, если счет был просрочен или клиент приостановил свою услугу. 🔥
#безопасность #leak
https://vk.com/@dataleakage-oshibka-na-veb-saite-t-mobile-pozvolyaet-lubomu-poluchit-dos
Возвращаемые данные включали полное имя клиента, почтовый адрес, номер платежного счета и в некоторых случаях информацию об идентификационных номерах налогоплательщика. Данные также включали информацию об учетной записи клиентов, например, если счет был просрочен или клиент приостановил свою услугу. 🔥
#безопасность #leak
https://vk.com/@dataleakage-oshibka-na-veb-saite-t-mobile-pozvolyaet-lubomu-poluchit-dos
VK
Ошибка на веб-сайте T-Mobile позволяет любому получить доступ к персональным данным клиента с помощью номера его сотового телефона
Малоизвестный сайт promotool.t-mobile.com, принадлежащий T-Mobile и используемый сотрудниками мобильного оператора в качестве портала обс..
Хакеры получили доступ к персональным данным 90 тыс. клиентов двух канадских банков.
Simplii Financial, являющееся розничным подразделением Canadian Imperial Bank of Commerce (CIBC), утверждает, что некие хакеры 27 мая 2018 года смогли получить доступ к персональным данным примерно 40 тыс. клиентов банка.
В тот же день Bank of Montreal (BMO) заявил, что хакеры за пределами Канады, угрожают опубликовать персональные данные 50 тыс. клиентов банка.
Simplii Financial, являющееся розничным подразделением Canadian Imperial Bank of Commerce (CIBC), утверждает, что некие хакеры 27 мая 2018 года смогли получить доступ к персональным данным примерно 40 тыс. клиентов банка.
В тот же день Bank of Montreal (BMO) заявил, что хакеры за пределами Канады, угрожают опубликовать персональные данные 50 тыс. клиентов банка.
Онлайн магазин mypet-online.ru очень "умело" работает с заказами клиентов. Они все оказываются в открытом доступе и индексируются поисковиками.
Простейшим поисковым запросом можно спокойно найти карточку заказа и увидеть все данные, включая состав и сумму заказа, адрес доставки, имя, телефон и эл. почту покупателя.
Например, в Яндексе "прекрасно" работает запрос вида: "Заказ №" "Состав заказа" site:mypet-online.ru
Простейшим поисковым запросом можно спокойно найти карточку заказа и увидеть все данные, включая состав и сумму заказа, адрес доставки, имя, телефон и эл. почту покупателя.
Например, в Яндексе "прекрасно" работает запрос вида: "Заказ №" "Состав заказа" site:mypet-online.ru
Королевская Прокурорская служба Великобритании (Crown Prosecution Service) была оштрафована на 325 тыс. фунтов стерлингов (около 431 тыс. долларов США) за утерю незашифрованных DVD-дисков с видео допросов жертв и свидетелей преступлений.
Это не первый раз, когда прокурорская служба выплачивает штраф за нарушение, связанное с хранением персональных данных. В 2015 года служба была оштрафована на 200 тыс. фунтов (около $265 тыс.) за то, что хранили в открытом виде записи полицейских допросов жертв сексуального насилия.
Это не первый раз, когда прокурорская служба выплачивает штраф за нарушение, связанное с хранением персональных данных. В 2015 года служба была оштрафована на 200 тыс. фунтов (около $265 тыс.) за то, что хранили в открытом виде записи полицейских допросов жертв сексуального насилия.
Снова открытое облако Amazon S3 (AWS).
Утекло более 50 тыс. пользователей приложения Honda Connect в Индии...
#безопасность #leak
https://vk.com/@dataleakage-utechka-personalnyh-dannyh-50-tys-klientov-honda-india-iz-ot
Утекло более 50 тыс. пользователей приложения Honda Connect в Индии...
#безопасность #leak
https://vk.com/@dataleakage-utechka-personalnyh-dannyh-50-tys-klientov-honda-india-iz-ot
VK
Утечка персональных данных 50 тыс. клиентов Honda India из открытого облака Amazon
Стало известно, что два открытых хранилища Amazon S3 (AWS) содержали персональные данные более 50 тыс. клиентов индийской компании Honda..
Подрядчик очень торопился передать заказчику проект и оставил сервер Apache Airflow без пароля.
Особенность Apache Airflow в том, что ему для нормальной работы требуется доступ к внутренним ресурсам компании. В результате в свободном доступе оказались логины и пароли к FTP-серверу Universal Music Group, ключи и пароли для облака AWS, пароли для SQL-серверов и т.п.
#безопасность #leak
https://vk.com/@dataleakage-vneshnii-podryadchik-dopustil-utechku-uchetnyh-zapisei-k-ser
Особенность Apache Airflow в том, что ему для нормальной работы требуется доступ к внутренним ресурсам компании. В результате в свободном доступе оказались логины и пароли к FTP-серверу Universal Music Group, ключи и пароли для облака AWS, пароли для SQL-серверов и т.п.
#безопасность #leak
https://vk.com/@dataleakage-vneshnii-podryadchik-dopustil-utechku-uchetnyh-zapisei-k-ser
VK
Внешний подрядчик допустил утечку учетных записей к серверам Universal Music Group
Компания Agilisium, выполняя работы по контракту для крупнейшего в мире медиахолдинга Universal Music Group (UMG), развернула сервер Apac..
Очередное мобильное фитнес-приложение для iPhone и Android хранило данные своих пользователей в открытом облаке Amazon.
В свободном доступе оказались банковские карты, адреса электронной почты, даты рождения, пол, фотографии из профиля, программы и цели тренировок, вес, рост, принимаемые лекарства, травмы, частота употребления кофе и курения, и т.п.
Всего приложением PumpUp пользуется более чем 6 млн. человек по всему миру.
#безопасность #leak
https://vk.com/@dataleakage-utechka-personalnyh-dannyh-polzovatelei-populyarnogo-mobilno
В свободном доступе оказались банковские карты, адреса электронной почты, даты рождения, пол, фотографии из профиля, программы и цели тренировок, вес, рост, принимаемые лекарства, травмы, частота употребления кофе и курения, и т.п.
Всего приложением PumpUp пользуется более чем 6 млн. человек по всему миру.
#безопасность #leak
https://vk.com/@dataleakage-utechka-personalnyh-dannyh-polzovatelei-populyarnogo-mobilno
VK
Утечка персональных данных пользователей популярного мобильного фитнес-приложения PumpUp
Приложение PumpUp, разрабатываемое канадской компанией для платформ iOS и Android, используется более чем 6 млн. пользователями по всему..
Сервис по продаже концертных билетов Ticketfly, принадлежащий компании Eventbrite, временно приостановил свою работу из-за хакерской атаки на базу данных.
Клиентская база сервиса была похищена хакером IsHaKdZ, который теперь требует за ее не распространение $7,502 в биткоинах. 🤦🏼♂️
База данных, состоящая из нескольких файлов, содержит имена, адреса, телефоны и адреса электронной почты клиентов Ticketfly и даже некоторых сотрудников сервиса.
Клиентская база сервиса была похищена хакером IsHaKdZ, который теперь требует за ее не распространение $7,502 в биткоинах. 🤦🏼♂️
База данных, состоящая из нескольких файлов, содержит имена, адреса, телефоны и адреса электронной почты клиентов Ticketfly и даже некоторых сотрудников сервиса.
Во всей Европе сбой платежных систем Visa и Mastercard. Сообщается о массовых случаях отказа транзакций при оплате картами. При этом снятие в банкоматах работает нормально, но проблема в том, что наличные в банкоматах быстро закончились. 😄
В Италии никаких проблем с оплатой картой Visa я лично сегодня не обнаружил.
В Италии никаких проблем с оплатой картой Visa я лично сегодня не обнаружил.
В период с 2016 по 2017 годы один из четырех крупнейших банков Австралии, по ошибке отправил 651 электронное письмо с персональными данными 10 000 своих клиентов на внешние адреса электронной почты в домене cba.com, перепутав его с внутренним доменом cba.com.au. 🔥🔥
Решил проблему данной утечки банк весьма «оригинально» - домен cba.com был куплен в апреле 2017 года. Видимо это показалось более надежным и простым решением, чем внедрять DLP-систему. 🙈🙈
Остается только вопрос с масштабируемостью данного подхода – если в будущем сотрудники банка решать отправить данные клиентов на какой-то другой домен, удастся его тоже купить? 😎
#безопасность #leak
https://vk.com/@dataleakage-krupnyi-avstraliiskii-bank-v-techenii-goda-rassylal-personal
Решил проблему данной утечки банк весьма «оригинально» - домен cba.com был куплен в апреле 2017 года. Видимо это показалось более надежным и простым решением, чем внедрять DLP-систему. 🙈🙈
Остается только вопрос с масштабируемостью данного подхода – если в будущем сотрудники банка решать отправить данные клиентов на какой-то другой домен, удастся его тоже купить? 😎
#безопасность #leak
https://vk.com/@dataleakage-krupnyi-avstraliiskii-bank-v-techenii-goda-rassylal-personal
VK
Крупный австралийский банк в течении года рассылал персональные данные клиентов на неправильные адреса электронной почты
В период с 2016 по 2017 годы Commonwealth Bank (CBA) один из четырех крупнейших банков Австралии, по ошибке разослал персональные данные..
Регис являясь сотрудником государственного подрядчика, который был назначен в ЦРУ в период с августа 2006 года по ноябрь 2016 года, проводил несанкционированные поиски в секретных базах данных и копировал секретную информацию в личный блокнот, который он выносил со своего рабочего места в ЦРУ и хранил без разрешения дома. 🔥
#безопасность #leak
https://vk.com/@dataleakage-byvshii-podryadchik-cru-priznal-sebya-vinovnym-v-nezakonnom
#безопасность #leak
https://vk.com/@dataleakage-byvshii-podryadchik-cru-priznal-sebya-vinovnym-v-nezakonnom
VK
Бывший подрядчик ЦРУ признал себя виновным в незаконном хранении материалов
Как гласит поговорка, воспоминания это все что остается у вас после работы в ЦРУ. Естественно, если вы законопослушный гражданин и не дел..
В Мордовии сотрудники сотовых компаний, торговавшие персональными данными, получили условный срок
К условному сроку приговорены сотрудники сотовых компаний, которые торговали персональными данными абонентов. 27-летний оператор контактного центра ООО «Т2Мобайл» Анатолий Панишев получил 1 год 7 месяцев, а 24-летняя специалист ПАО «Вымпелком» Анна Синева – 1 год 4 месяца.
Следствием установлено, что в феврале 2017 года к Панишеву с использованием Telegram обратилась бывшая сотрудница ООО «Т 2-Мобайл» (г. Саранск) Синева с предложением передачи ей фотографий с паспортными данными, номерами телефонов, которые она предоставляла в WhatsApp и Telegram. За один номер телефона она обещала платить по 200 рублей. По некоторым данным, Синева перепродавала персональные данные в интернете по 500 рублей.
В период с февраля по апрель 2017 года Панишев через компьютерную программу Invoice копировал на свой телефон персональные данные абонентов, включающие фамилии, имена, отчества, реквизиты документов, удостоверяющих личность, параметры оказания услуг - сведения о денежных средствах на лицевом счете, и через Telegram передавал их на мобильный телефон Синевой.
Про цены черного рынка на российские персональные данные мы писали тут: https://www.devicelock.com/ru/blog/tseny-chernogo-rynka-chast-2-rossijskie-personalnye-dannye.html
К условному сроку приговорены сотрудники сотовых компаний, которые торговали персональными данными абонентов. 27-летний оператор контактного центра ООО «Т2Мобайл» Анатолий Панишев получил 1 год 7 месяцев, а 24-летняя специалист ПАО «Вымпелком» Анна Синева – 1 год 4 месяца.
Следствием установлено, что в феврале 2017 года к Панишеву с использованием Telegram обратилась бывшая сотрудница ООО «Т 2-Мобайл» (г. Саранск) Синева с предложением передачи ей фотографий с паспортными данными, номерами телефонов, которые она предоставляла в WhatsApp и Telegram. За один номер телефона она обещала платить по 200 рублей. По некоторым данным, Синева перепродавала персональные данные в интернете по 500 рублей.
В период с февраля по апрель 2017 года Панишев через компьютерную программу Invoice копировал на свой телефон персональные данные абонентов, включающие фамилии, имена, отчества, реквизиты документов, удостоверяющих личность, параметры оказания услуг - сведения о денежных средствах на лицевом счете, и через Telegram передавал их на мобильный телефон Синевой.
Про цены черного рынка на российские персональные данные мы писали тут: https://www.devicelock.com/ru/blog/tseny-chernogo-rynka-chast-2-rossijskie-personalnye-dannye.html
Киберпротект
Защита от утечки конфиденциальных данных - DLP-система Кибер Протего.
DLP-система Кибер Протего предотвращает утечку конфиденциальной информации, контролирует передачу данных и позволяет обнаруживать нарушения политики их хранения.
Forwarded from DeviceLock RU
Компания Смарт Лайн Инк, мировой лидер в области разработки средств защиты от утечек данных с компьютеров, объявила об официальном выпуске новой версии программного комплекса DeviceLock DLP 8.3!
DeviceLock DLP 8.3 получил ряд новых возможностей и функций при существенном улучшении и модернизации ранее заявленного функционала. Прежде всего, ключевая новая функция версии 8.3 - технология детектирования данных по цифровым отпечаткам, используемая в DeviceLock DLP для инспекции данных, передаваемых через контролируемые устройства и сетевые протоколы. Анализ по цифровым отпечаткам позволяет идентифицировать как документы целиком, так и выявить их частичное соответствие, например, после изменения оригинального документа. Кроме того, значительно улучшен контроль сетевого протокола SMB, добавлены новые шаблоны регулярных выражений и поддержка меток классификатора Boldon James, оптимизирован контроль мессенджера Skype версий 8 и 12, и многое другое.
DeviceLock DLP 8.3 – это не только возможность однозначной идентификации документов в реальном времени при попытках их передачи, сохранения и печати благодаря технологии цифровых отпечатков, но и надежный контроль новых версий Skype, протокола SMB и т.д., что позволяет нашим клиентам быть уверенными в том, что они используют самый высокий на рынке уровень технических возможностей для эффективного предотвращения утечек корпоративных данных
https://www.devicelock.com/ru/news/3302.html
DeviceLock DLP 8.3 получил ряд новых возможностей и функций при существенном улучшении и модернизации ранее заявленного функционала. Прежде всего, ключевая новая функция версии 8.3 - технология детектирования данных по цифровым отпечаткам, используемая в DeviceLock DLP для инспекции данных, передаваемых через контролируемые устройства и сетевые протоколы. Анализ по цифровым отпечаткам позволяет идентифицировать как документы целиком, так и выявить их частичное соответствие, например, после изменения оригинального документа. Кроме того, значительно улучшен контроль сетевого протокола SMB, добавлены новые шаблоны регулярных выражений и поддержка меток классификатора Boldon James, оптимизирован контроль мессенджера Skype версий 8 и 12, и многое другое.
DeviceLock DLP 8.3 – это не только возможность однозначной идентификации документов в реальном времени при попытках их передачи, сохранения и печати благодаря технологии цифровых отпечатков, но и надежный контроль новых версий Skype, протокола SMB и т.д., что позволяет нашим клиентам быть уверенными в том, что они используют самый высокий на рынке уровень технических возможностей для эффективного предотвращения утечек корпоративных данных
https://www.devicelock.com/ru/news/3302.html
Киберпротект
Защита от утечки конфиденциальных данных - DLP-система Кибер Протего.
DLP-система Кибер Протего предотвращает утечку конфиденциальной информации, контролирует передачу данных и позволяет обнаруживать нарушения политики их хранения.
Утекли 92 млн. аккаунтов (логины, хеши паролей) израильского генеалогического сервиса MyHeritage. 🔥
Сервис хранит ДНК информацию пользователей и строит их генеалогические деревья.
Подробнее завтра.
Сервис хранит ДНК информацию пользователей и строит их генеалогические деревья.
Подробнее завтра.
Совсем недавно мы писали про утечку 300 тыс. пользователей системы RootsWeb – крупнейшего онлайн-генеалогического сообщества и о том, как как спецслужбы используют генеалогические сервисы и ДНК для поиска преступников. И вот сейчас стало известно, что утекли 92 млн. аккаунтов (логины, хеши паролей) израильского генеалогического сервиса MyHeritage. 🔥
#безопасность #leak
https://vk.com/@dataleakage-utechka-92-mln-uchetnyh-zapisei-genealogicheskogo-servisa-my
#безопасность #leak
https://vk.com/@dataleakage-utechka-92-mln-uchetnyh-zapisei-genealogicheskogo-servisa-my
VK
Утечка 92 млн. учетных записей генеалогического сервиса MyHeritage
В понедельник MyHeritage, сервис генеалогии и тестирования ДНК, заявил, что главный сотрудник информационной безопасности компании получи..
Преподаватель Дмитрий Гущин из Петербурга рассказал, что в этом году произошла утечка заданий к ЕГЭ по двум предметам - математике и химии.
Рособрнадзор эту информацию опровергает.
Сообщается, что за день до экзамена по математике были известны точные задания, которые будут на ЕГЭ 1 июня.
1 июня Гущин сообщил, что утечка заданий ЕГЭ по математике подтвердилась: "Школьники из Дальнего Востока, Сибири, Центра, Петербурга, Москвы сообщают, что сегодня на экзамене у них были встречались именно эти, гуляющие по сети уже неделю, задания. Не одно или два - в сборке 30 (!) прототипов каждого из самых трудных заданий 13-18 экзаменационного варианта. По-разному составляя их друг с другом и меняя в заданиях числовые данные, можно получать сотни экзаменационные задач, которые и оказались на экзамене".
4 июня Гущин сообщил, что похожая ситуация наблюдалась и с ЕГЭ по химии: "желтый листок" с заданиями к экзамену был заранее доступен в интернете.
Рособрнадзор эту информацию опровергает.
Сообщается, что за день до экзамена по математике были известны точные задания, которые будут на ЕГЭ 1 июня.
1 июня Гущин сообщил, что утечка заданий ЕГЭ по математике подтвердилась: "Школьники из Дальнего Востока, Сибири, Центра, Петербурга, Москвы сообщают, что сегодня на экзамене у них были встречались именно эти, гуляющие по сети уже неделю, задания. Не одно или два - в сборке 30 (!) прототипов каждого из самых трудных заданий 13-18 экзаменационного варианта. По-разному составляя их друг с другом и меняя в заданиях числовые данные, можно получать сотни экзаменационные задач, которые и оказались на экзамене".
4 июня Гущин сообщил, что похожая ситуация наблюдалась и с ЕГЭ по химии: "желтый листок" с заданиями к экзамену был заранее доступен в интернете.
Несколько лет назад Рособрнадзор выбирали DLP-систему для защиты материалов ЕГЭ. Он хотели распознавание экзаменационных билетов на хостах. У DeviceLock DLP на тот момент все это было готовое, но процесс (выбора) потом так и заглох.
Возможно они внедрили что-то из широко распространенного на российском рынке псевдо-DLP и теперь могут смотреть красивые отчеты по утечкам и профили учителей с индексами лояльности, без возможности предотвращать утечки билетов. 🙈🙈
Возможно они внедрили что-то из широко распространенного на российском рынке псевдо-DLP и теперь могут смотреть красивые отчеты по утечкам и профили учителей с индексами лояльности, без возможности предотвращать утечки билетов. 🙈🙈
Утечка данных произошла в HR-системе PageUp, клиентами которой являются ABC Target, Telstra, Резервный банк Австралии, Medibank, Officeworks, Kmart, NAB, Aldi, Linfox, Coles, Australia Post и Lindt.
#безопасность #leak
https://vk.com/@dataleakage-utechka-dannyh-iz-avstraliiskoi-hr-sistemy-pageup
#безопасность #leak
https://vk.com/@dataleakage-utechka-dannyh-iz-avstraliiskoi-hr-sistemy-pageup
VK
Утечка данных из австралийской HR-системы PageUp
Персональные данные тысяч австралийцев были скомпрометированы из-за утечки данных.
Пользовательские аккаунты крупного (четвертого по зоне покрытия) американского телекоммуникационного провайдера Frontier Communications можно захватить, зная только имя пользователя или адрес его электронной почты.
В процедуре восстановления пароля от личного кабинета была обнаружена ошибка, позволяющая атакующему перебирать коды восстановления без каких-либо ограничений.
В процедуре восстановления пароля от личного кабинета была обнаружена ошибка, позволяющая атакующему перебирать коды восстановления без каких-либо ограничений.