Открытое облачное хранилище Amazon AWS, принадлежащее индийскому микрокредитному сервису RupeeRedee, раскрывало персональные данные клиентов.
В свободном доступе находились сканы документов, отправленных клиентами в рамках процедуры KYC ("знай своего клиента"). В числе прочего там были сканы национальных идентификационных карт Aadhaar и Pan.
Для доступа к хранилищу достаточно было знать его имя.
Про то, как обнаруживают открытые облачные хранилища Amazon, мы писали в отдельной статье: https://www.devicelock.com/ru/blog/kak-obnaruzhivayut-otkrytye-oblachnye-hranilischa-amazon.html
В свободном доступе находились сканы документов, отправленных клиентами в рамках процедуры KYC ("знай своего клиента"). В числе прочего там были сканы национальных идентификационных карт Aadhaar и Pan.
Для доступа к хранилищу достаточно было знать его имя.
Про то, как обнаруживают открытые облачные хранилища Amazon, мы писали в отдельной статье: https://www.devicelock.com/ru/blog/kak-obnaruzhivayut-otkrytye-oblachnye-hranilischa-amazon.html
Киберпротект
DLP-система Кибер Протего – защита от утечки конфиденциальных данных
DLP-система Кибер Протего предотвращает утечку конфиденциальной информации, контролирует передачу данных и позволяет обнаруживать нарушения политики их хранения.
Сотрудник мобильного оператора «Мегафон» в Санкт-Петербурге был обвинен в совершении преступления, ч. 2 ст. 138 УК РФ (нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений).
Суд установил, что подсудимый находился в должности инженера по разработке отчетности корпоративного хранилища данных и нес обязательство по сохранению конфиденциальной информации компании.
Вопреки должностным обязанностям он, используя свое служебное положение, имея доступ к данным биллинговых систем, получил доступ к конфиденциальной информации потерпевшего и передал эту информацию неустановленным лицам.
С учетом позиции государственного обвинения, отсутствии возражений со стороны потерпевшего, ходатайство следователя удовлетворено, подсудимому назначен штраф в размере 100 тыс. рублей.
Недавно мы писали про ситуацию с «пробивом» на черном рынке: https://www.devicelock.com/ru/blog/tseny-chernogo-rynka.html. Одной из самых распространенных «услуг» является как раз т.н. «мобильный пробив».
Суд установил, что подсудимый находился в должности инженера по разработке отчетности корпоративного хранилища данных и нес обязательство по сохранению конфиденциальной информации компании.
Вопреки должностным обязанностям он, используя свое служебное положение, имея доступ к данным биллинговых систем, получил доступ к конфиденциальной информации потерпевшего и передал эту информацию неустановленным лицам.
С учетом позиции государственного обвинения, отсутствии возражений со стороны потерпевшего, ходатайство следователя удовлетворено, подсудимому назначен штраф в размере 100 тыс. рублей.
Недавно мы писали про ситуацию с «пробивом» на черном рынке: https://www.devicelock.com/ru/blog/tseny-chernogo-rynka.html. Одной из самых распространенных «услуг» является как раз т.н. «мобильный пробив».
Киберпротект
Защита от утечки конфиденциальных данных - DLP-система Кибер Протего.
DLP-система Кибер Протего предотвращает утечку конфиденциальной информации, контролирует передачу данных и позволяет обнаруживать нарушения политики их хранения.
Международная молодёжная (полностью управляемая молодежью в возрасте от 18 до 29 лет) некоммерческая неполитическая независимая организация AIESEC, допустила утечку персональных данных около 4 млн. человек, оставлявших заявки на стажировку.
Открытая база данных Elasticsearch была обнаружена в открытом доступе с помощью специализированного поисковика Shodan.
В БД содержится такая информация, как: адреса электронной почты, имена, даты рождения, пол, а также детали собеседования.
Открытая база данных Elasticsearch была обнаружена в открытом доступе с помощью специализированного поисковика Shodan.
В БД содержится такая информация, как: адреса электронной почты, имена, даты рождения, пол, а также детали собеседования.
Американская финансовая компания BlackRock, занимающаяся управлением инвестициями, допустила случайную утечку персональных данных 20 тыс. независимых финансовых консультантов.
Документы, содержащие персональные данные (имена, адреса электронной почты и т.п.), были по неосторожности выложены в свободный доступ на веб-сайт компании.
Документы, содержащие персональные данные (имена, адреса электронной почты и т.п.), были по неосторожности выложены в свободный доступ на веб-сайт компании.
Публично доступный сервер с базой данных Elasticsearch раскрывал данные группы онлайн-казино Mountberg Limited, куда входят: kahunacasino.com, azur-casino.com, easybet.com, and viproomcasino.net и др.
Все казино находятся по одному адресу в городе Лимассол, Кипр и работают под одной лицензией острова Кюрасао.
В открытой базе содержались данные о более чем 108 млн. ставок, выигрышей, вводов и выводов денег.
Кроме того, утекли имена, домашние адреса, номера телефонов, адреса электронной почты, даты рождения, балансы аккаунтов, IP-адреса, списки игр, в которые играли игроки и т.п.
Все казино находятся по одному адресу в городе Лимассол, Кипр и работают под одной лицензией острова Кюрасао.
В открытой базе содержались данные о более чем 108 млн. ставок, выигрышей, вводов и выводов денег.
Кроме того, утекли имена, домашние адреса, номера телефонов, адреса электронной почты, даты рождения, балансы аккаунтов, IP-адреса, списки игр, в которые играли игроки и т.п.
Более 24 млн. документов, описывающих десятки тысяч выданных кредитов, оказались в открытом доступе из-за неправильно настроенной базы данных Elasticsearch.
Документы содержали такую информацию, как: имена, номера социального страхования (SSN), номера телефонов, даты рождения, адреса, кредитные истории и т.п.
Эта открытая БД принадлежала компании Ascension, занимающейся системами аналитики и обработки данных для финансового сектора.
Документы содержали такую информацию, как: имена, номера социального страхования (SSN), номера телефонов, даты рождения, адреса, кредитные истории и т.п.
Эта открытая БД принадлежала компании Ascension, занимающейся системами аналитики и обработки данных для финансового сектора.
Forwarded from DeviceLock RU
Компания "Смарт Лайн Инк", российский разработчик программного комплекса DeviceLock DLP и мировой лидер в области разработки программных средств контроля доступа к периферийным устройствам и предотвращения утечек данных с корпоративных компьютеров, выступает партнером и докладчиком на ежегодном национальном форуме информационной безопасности «ИНФОФОРУМ 2019», который пройдет 31 января-1 февраля 2019 г. в Москве.
В рамках тематического заседания 7 «Информационная безопасность перспективных цифровых технологий: искусственный интеллект, большие данные, облачные технологии, IoT, блокчейн и другое», директор по решениям АО «Смарт Лайн Инк» Сергей Вахонин представит доклад «Защита данных в России и в мире: наиболее значительные факты утечки данных в 2018 году и как можно было их избежать с помощью DeviceLock DLP».
В докладе будет дан обзор наиболее значимых утечек данных, зафиксированных в 2018 г. по всему миру, а также описаны методы противодействия утечкам, реализованные в DLP-системе DeviceLock DLP.
В рамках тематического заседания 7 «Информационная безопасность перспективных цифровых технологий: искусственный интеллект, большие данные, облачные технологии, IoT, блокчейн и другое», директор по решениям АО «Смарт Лайн Инк» Сергей Вахонин представит доклад «Защита данных в России и в мире: наиболее значительные факты утечки данных в 2018 году и как можно было их избежать с помощью DeviceLock DLP».
В докладе будет дан обзор наиболее значимых утечек данных, зафиксированных в 2018 г. по всему миру, а также описаны методы противодействия утечкам, реализованные в DLP-системе DeviceLock DLP.
Вчера писали (https://news.1rj.ru/str/dataleak/723) про то, что в открытой БД Elasticsearch нашлось около 24 млн. документов, описывающих десятки тысяч выданных в США кредитов. С грехом пополам, эту БД прикрыли, а сегодня пришла новость про обнаружение открытого репозитария Amazon S3, содержащего оригиналы этих документов. 🙈
В свободном доступе находятся 21 PDF-файл общим размером 1.3 Гб.
Среди прочего, уже обнаруженного ранее в БД, тут лежат еще и налоговые формы (W-2).
И БД, обнаруженная ранее и этот репозитарий AWS, были оставлены в открытом доступе вендором, занимающимся обработкой документов. В частности, компания OpticsML (по заказу другой компании – Ascension) тестировала на реальных данных свои решения по распознаванию текста.
Кстати, ни сайт, ни телефон OpticsML в данный момент не работают. 🙈
В свободном доступе находятся 21 PDF-файл общим размером 1.3 Гб.
Среди прочего, уже обнаруженного ранее в БД, тут лежат еще и налоговые формы (W-2).
И БД, обнаруженная ранее и этот репозитарий AWS, были оставлены в открытом доступе вендором, занимающимся обработкой документов. В частности, компания OpticsML (по заказу другой компании – Ascension) тестировала на реальных данных свои решения по распознаванию текста.
Кстати, ни сайт, ни телефон OpticsML в данный момент не работают. 🙈
Telegram
Утечки информации
Более 24 млн. документов, описывающих десятки тысяч выданных кредитов, оказались в открытом доступе из-за неправильно настроенной базы данных Elasticsearch.
Документы содержали такую информацию, как: имена, номера социального страхования (SSN), номера телефонов…
Документы содержали такую информацию, как: имена, номера социального страхования (SSN), номера телефонов…
Более 1.1 млн. данных студентов, учившихся в сети малазийских университетов Universiti Teknologi MARA (UiTM) оказались в открытом доступе.
1,164,540 записей, содержащие персональные данные (идентификаторы студентов, имена, номера государственных идентификационных карт MyKAD, домашние адреса, адреса электронной почты, номера мобильных телефонов и т.п.) студентов, за период с 2000 по 2018 оказались выложенными в онлайн.
Судя по анализу дампов, данные не были напрямую сохранены из онлайн-систем UiTM, пользователем с легитимным доступом, скорее всего они были похищены через уязвимость на сайте UiTM.
1,164,540 записей, содержащие персональные данные (идентификаторы студентов, имена, номера государственных идентификационных карт MyKAD, домашние адреса, адреса электронной почты, номера мобильных телефонов и т.п.) студентов, за период с 2000 по 2018 оказались выложенными в онлайн.
Судя по анализу дампов, данные не были напрямую сохранены из онлайн-систем UiTM, пользователем с легитимным доступом, скорее всего они были похищены через уязвимость на сайте UiTM.
Голландский исследователь безопасности Victor Gevers заявил, что он обнаружил ̶р̶у̶к̶у̶ ̶К̶р̶е̶м̶л̶я̶ административный аккаунт Admin@kremlin.ru в более чем 2000 открытых базах данных MongoDB, принадлежащих российским и даже украинским организациям. 🔥
Среди обнаруженных открытых баз MongoDB были базы Walt Disney Russia, Столото и даже МВД Украины.
Исследователь немедленно сделал единственно возможный вывод – Кремль, через этот аккаунт, контролирует российский бизнес. 🙈
Правда, все обнаруженные базы данных были установлены с дефолтными настройками, и кто угодно имел права доступа на чтение и изменение (Create, Read, Update и Delete). 😂
Среди обнаруженных открытых баз MongoDB были базы Walt Disney Russia, Столото и даже МВД Украины.
Исследователь немедленно сделал единственно возможный вывод – Кремль, через этот аккаунт, контролирует российский бизнес. 🙈
Правда, все обнаруженные базы данных были установлены с дефолтными настройками, и кто угодно имел права доступа на чтение и изменение (Create, Read, Update и Delete). 😂