Неправильные настройки прав доступа на файловых серверах Стэнфордской высшей школы бизнеса сделали общедоступными персональные данные сотрудников и студентов университета.

http://telegra.ph/Utechka-s-serverov-Stehnfordskogo-universiteta-12-04

Сеть британских супермаркетов Morrisons обязали выплатить компенсацию 5518 сотрудникам, личные данные которых были опубликованы в интернете.

http://telegra.ph/Set-supermarketov-v-Velikobritanii-obyazali-vyplatit-kompensaciyu-postradavshim-ot-utechki-dannyh-sotrudnikam-12-05

Компания Ai.Type случайно оставила открытым для всех доступ к базе данных MongoDB, объемом 577 Гб, которая содержала данные 31 293 959 пользователей, установивших виртуальную клавиатуру.

http://telegra.ph/Razrabotchik-virtualnoj-klaviatury-slil-v-Internet-31-million-zapisej-o-klientah-12-05

18,470 пациентов медицинского учреждения Henry Ford Health System пострадали в результате хищения их персональных данных.

Данные похитили получив доступ к электронной почте сотрудников.

http://telegra.ph/Utechka-dannyh-pacientov-iz-medicinskogo-uchrezhdeniya-Genri-Forda-12-06

Всем привет!

Сегодня у нас небольшая статья про обнаружение публичных облачных хранилищ Amazon S3.

Как известно, открытые хранилища AWS привели к множеству утечек за последнее время. Пострадали Uber и даже Пентагон с АНБ.

Так как исследователи находят то, что плохо лежит?

http://telegra.ph/Kak-obnaruzhivayut-otkrytye-oblachnye-hranilishcha-Amazon-12-07

Стала известна личность человека, которому Uber заплатил $100 тыс. в 2016 году за то, чтобы он не афишировал факт обнаружения в открытом доступе персональных данных 50 миллионов пользователей сервиса и 7 миллионов водителей.

Выплата была сделана 20-ти летнему жителю штата Флорида через платформу HackerOne, по документам она прошла как вознаграждение за поиск уязвимостей (bug bounty program). С этой суммы будут заплачены все налоги, т.к. платформа HackerOne требует предоставить заполненные налоговые формы перед выплатой вознаграждения, а значит ни о какой анонимности речи не идет.

Источники описывают получившего выплату человека как живущего вместе с мамой в маленьком доме, пытающегося найти деньги на оплату счетов.

Ссылки по теме:

✅ Uber заплатили злоумышленникам $100 000, чтобы скрыть факт утечки персональных данных пользователей и водителей сервиса через облачное хранилище: https://www.devicelock.com/ru/blog/3098.html

✅ Утечки через GitHub: https://www.devicelock.com/ru/blog/3099.html

Конечно, по масштабу эта утечка не сравнится с утечкой из Uber, но и велосипед - не автомобиль 😎

http://telegra.ph/Servis-po-prokatu-velosipedov-dopustil-utechku-personalnyh-dannyh-polzovatelej-12-08

Пока новости про утечки персональных данных из различных криптовалютных сервисов и всего связанного с блокчейном это редкость.

Уверен, что совсем скоро на нас хлынет поток таких новостей. 😎

http://telegra.ph/Kriptovalyutnaya-birzha-Bittrex-dopustila-utechku-pasportov-polzovatelej-cherez-sluzhbu-tehnicheskoj-podderzhki-12-09

Довольно любопытный и свежий (декабрь 2017) отчет от британской некоммерческой организации Privacy International – «Connected Cars: What Happens To Our Data On Rental Cars?».

Я думаю многие из вас пользовались услугами проката автомобилей или каршеринга. И наверняка подключали свои телефоны к медиа-центру прокатной машины. Ну, например, для проигрывания любимой музыки и для использования своей телефонной книги в поездке. А если в прокатном автомобиле установлена навигационная программа, то наверняка и маршруты прокладывали.

А многие ли из вас перед возвратом автомобиля стирают свои данные из его памяти? Ведь при подключении происходит синхронизация вашего телефона с медиа-центром машины и ваши данные сохраняются в его внутренней памяти. Тоже самое касается и треков ваших поездок.

Я сам лично неоднократно наблюдал в прокатных автомобилях по 5-6 синхронизированных телефонных книг предыдущих водителей.

В отчете говорится, что ни одна из опрошенных компаний по прокату авто не имеет четкой политики по отношению к данным своих клиентов, оставленных ими в памяти арендованных машин.

https://privacyinternational.org/sites/default/files/cars_briefing.pdf

Рейтинг 40-ка самых популярных паролей из свежайшей находки.

В Dark Web обнаружена гигантская база данных логинов и паролей! Всего 1,400,553,869 записей. 41 Гб! 🙈

К уже известным подобным открытым базам данных эта находка добавляет 385 миллионов новых пар логин/пароль, 318 миллионов уникальных имен пользователей и 147 миллионов новых паролей.

Подробнее позже… 😎

Майкрософт тоже отличились. 😎

✅ Оставили секретный (приватный) ключ в хранилище сертификатов.

✅ Более 100 дней решали эту проблему.

http://telegra.ph/Microsoft-derzhala-v-otkrytom-dostupe-sekretnyj-klyuch-dlya-TLS-sertifikata-12-11

Ноутбук, с незашифрованными персональными данными школьников украли из машины. 🔥

http://telegra.ph/Utechka-dannyh-shkolnikov-v-Massachusetse-12-10

Обещанная подробная статья про крупнейшую базу логинов/паролей. 🔥

Кратко:

✅ 1 400 553 869 пар логин/пароль

✅ 256 источника

✅ 14% пар логин/пароль ранее нигде не встречались


http://telegra.ph/14-milliarda-parolej-obnaruzheny-v-edinoj-baze-dannyh-12-11

В продолжение темы вчерашней статьи про мега-базу с паролями.

Многие спрашивают "а где взять эту самую базу?".

Спрашивали - отвечаем 😎

В данный момент на reddit есть тема с обсуждением этой базы. И там же линк на торрент. 🙈

https://www.reddit.com/r/pwned/comments/7hhqfo/combination_of_many_breaches/

Хакер осужден вьетнамским военным судом в декабре 2017 года и приговорен к четырем годам лишения свободы. 👍

http://telegra.ph/Plany-bezopasnosti-avstralijskogo-aehroporta-ukradeny-vetnamskim-hakerom-12-12

Добрый день коллеги.

Мы подобрали для вас топ 3 самых популярных новых статей нашего блога за неделю:

✅ В Dark Web обнаружена база данных 1.4 миллиарда паролей из 256 различных источников. https://www.devicelock.com/ru/blog/3125.html

✅ Как известно, неправильно сконфигурированные хранилища Amazon S3 (AWS) привели к множеству утечек за последнее время. Так как исследователи находят то, что плохо лежит? https://www.devicelock.com/ru/blog/3123.html

✅ 18 тыс. пациентов медицинского учреждения Henry Ford Health System пострадали в результате хищения персональных данных. https://www.devicelock.com/ru/blog/3122.html

Большая подборка различных баз с логинами/емейлами, паролями/хешами: https://www.databases.today

Все эти базы конечно довольно старые, но по ним отлично можно оценить «качество» паролей пользователей и «надежность» тех или иных онлайн сервисов… 🙈

Выложены списки адресов с правительственных доменов США и Израиля:

✅ gov и omb.eop.gov

✅ knesset.gov.il, justice.gov.il, berlin.mfa.gov.il, molsa.gov.il, cbs.gov.il и т.п.

http://telegra.ph/Hakery-Anonymous-zayavlyayut-ob-atakah-na-pravitelstvennye-sajty-SSHA-i-Izrailya-12-13

Не успел утихнуть шум по поводу утечки 57 млн. данных из Убер, как компанию настигает новый скандал – Убер решил поиграть в ЦРУ.

Мы попытались максимально подробно описать как была (и возможно все еще) устроена служба конкурентной разведки в Убер.

Обратите внимание на некоторые весьма забавные моменты:

✅ Убер всячески затрудняли атрибуцию. Т.е. скрывали свою связь с ИТ-инфраструктурой разведывательного подразделения.

✅ Использовали яркие названия и сокращения своих подразделений и программ: COIN, HELL, и т.д.

✅ Использовали защищенные мессенджеры Wickr и Telegram для обмена сообщениями между сотрудниками разведподразделений.

Ну очень напоминает ЦРУ 😎

http://telegra.ph/Konkurentnaya-razvedka-v-Uber--igry-v-specsluzhby-mogut-ploho-zakonchitsya-dlya-taksistov-12-14

Университеты, школы и прочие учебные заведения часто сталкиваются со случаями кражи персональных данных.

http://telegra.ph/Hakery-ukrali-lichnye-dannye-80-000-chelovek-svyazannyh-s-Universitetom-Osaki-12-13