Медработник детского медицинского клинического центра Читы получил дисциплинарное взыскание за то, что сообщил о заболевшем ветрянкой воспитаннике детсада в родительском чате в Viber.

Прокуратура установила, что медработник разгласил персональные данные о ребёнке и без согласия его родителей указал на выставленный ему диагноз «ветряная оспа».

Основной поставщик электроэнергии в ЮАР допустил утечку персональных данных своих клиентов.

Южноафриканская государственная компания Eskom, оставила в открытом доступе базу данных своей биллинговой системы. В базе данных содержится информация о 5.7 млн. клиентов компании.

Помимо обычных данных клиентов (имена, адреса и т.п.), там также находятся данные платежных карт: имена, типы кат, частичные номера карт и CVV-коды.

Примечательно в этой истории то, что исследователь безопасности Devin Stokes, который обнаружил эту базу, опубликовал твит с обращением к Eskom. Компания в течение нескольких недель игнорирует все его сообщения об открытой базе данных. 🙈

В конце января, исследователь Bob Diachenko (Владимир Дьяченко) обнаружил очередную незащищенную базу данных MongoDB, содержащую 5 млн. записей с финансовыми данными мексиканских компаний.

6 Гигабайтная база состоит из 70 коллекций, каждая имеющая имя, соответствующее мексиканскому налоговому номеру (Tax ID) этой компании.

В каждой коллекции находятся разный набор документов: инвойсы, данные по зарплате, мексиканские номера социального страхования и т.п. Самый большой документ имеет размер 657 Кб.

Подробности исследователь обещает опубликовать чуть позднее на этой неделе.

Не так давно мы выпустили новую минорную версию 8.3.75005 программного комплекса предотвращения утечек данных DeviceLock DLP и помимо других улучшений, включили в нее довольно полезную для крупных компаний функцию консолидации данных с серверов хранения.

Хотелось бы рассказать о консолидации чуть подробнее…

https://www.devicelock.com/ru/blog/kak-ustroena-konsolidatsiya-arhivov-v-devicelock-dlp.html

Очередное приложение для знакомств допустило утечку пользовательских данных.

Приложение Jack'd, которое используют для гей-знакомств, хранит фотографии пользователей на открытом сервере и их возможно просмотреть любым веб-браузером, если знать адрес. Вся база данных фотографий, которыми обмениваются пользователи внутри приложения, находится в открытом доступе.

Версия Jack'd для андроид была скачена более 110 тыс. раз, а также доступна и для айфонов.

В апреле прошлого года, приложение для гей-знакомств Grindr раскрыло ВИЧ-статусы своих пользователей: https://news.1rj.ru/str/dataleak/266

College of Science (часть калифорнийского политехнического университета) допустил случайную утечку персональных данных всех своих студентов. 🙈

В конце января сотрудник колледжа делал рассылку по электронной почте для 940 учащихся и случайно прикрепил к письму Excel-файл с данными 4,557 текущих студентов.

В файле содержались: имена, домашние адреса, адреса электронной почты, пол, раса, номера студенческих документов и т.п.

Случай довольно типичный. Такие инциденты, со случайными рассылками, происходят постоянно:

✅ в прошлом году подобная рассылка была в чикагской государственной школе: https://www.devicelock.com/ru/blog/utechka-dannyh-o-3700-uchenikah-v-chikago.html

✅ чуть ранее сотрудник департамента здравоохранения штата Миссисипи отправил электронное письмо со вложенным файлом Excel, содержащим медицинскую информацию пациентов: https://www.devicelock.com/ru/blog/utechka-iz-departamenta-zdravoohraneniya-shtata-missisipi.html

Британский онлайн ресурс для родителей Mumsnet.com сообщил об ошибке, приведшей к утечке персональных данных зарегистрированных пользователей сайта.

Пользователи, залогиненые в систему с 5-го по 7-е февраля этого года, имели доступ к данным аккаунтов всех других, также залогиненных пользователей.

Владельцы ресурса утверждают, что в этот период времени в системе было около 4 тыс. залогиненых пользователей.

Данные, к которым можно было получить доступ, содержат: адреса электронной почты, имена, приватные сообщения и т.п.

Крупное австралийское агентство по оценке недвижимости LandMark White допустило утечку персональных данных своих клиентов и экспертов-оценщиков.

На своем сайте www.lmw.com.au/faqs агентство пишет, что сообщило об инциденте в австралийский центр кибербезопасности. По утверждению агентства 23-го января 2019 года они обнаружили и закрыли уязвимость на своем вебсайте.

По информации LandMark White пострадала контактная информация владельцев недвижимости и жильцов, включая имена, адреса и номера телефонов.

По нашей собственной информации в Dark Web (на .onion-ресурсе) распространяется полный дамп сайта LandMark White в tar-архиве размером 661 Мб. Внутри архива находится 76 873 json-файлов, общим размером более 3 Гб.

Дамп был сделан 25-го января 2019 года. К дампу прилагается файл service.txt, в котором помимо всего остального на русском языке написано «Нет аутентификации. Активный метод загрузки данных (GetValuation) требует соответствия сотрудников». 😂

Помимо тех персональных данных, о которых сообщило само агентство, в дампе содержатся также адреса электронной почты, названия банков (в которых была взята ипотека), стоимость объектов недвижимости, а также полная история оценки.

Пример утекших файлов из австралийского агентства LandMark White.

Продажи российской системы предотвращения утечек данных (Data Leak Prevention) DeviceLock DLP в Объединенных Арабских Эмиратах, Саудовской Аравии, Бахрейне и других странах аравийского полуострова в 2018 году выросли на 25% относительно 2017 года.

Среди выбравших продукты DeviceLock: крупнейший девелопер Дубая - Emaar, а также Королевский офис, Министерство Обороны, Секретная служба и Полиция Султаната Оман (Sultanate of Oman Royal Office, Sultanate of Oman Ministry of Defence, Sultanate of Oman Internal Security Service), Международный банк Кувейта (Kuwait International Bank), Главное управление военных работ Министерства обороны Саудовской Аравии (General Directorate of Military Works) и другие.

Выбор DeviceLock DLP был обусловлен нашим более чем десятилетним опытом работы на этом рынке, широким функционалом системы, возможностью полноценной работы с арабским языком, в том числе, при распознавании изображений, а также наличием локальной поддержки, местным сертифицированным партнером DeviceLock.

https://www.devicelock.com/ru/press/prodazhi-rossijskoj-sistemy-devicelock-dlp-na-arabskom-rynke-vyrosli-na-25.html

В свободном доступе в интернете появилась база данных со сведениями об украинских транспортных средствах и их владельцах за период с 01.01.2019 по 31.01.2019. База содержит 156,340 записей.

Андроид-приложение Llive Chat для видео чатов использует открытую базу данных, не требующую аутентификации для доступа.

Все информация находится в базе данных в открытом виде и легко доступна любому, знающему ее IP-адрес.

Приложение довольно популярное, из Google Play его скачали более 10 млн. раз.

Популярный сайт для фотографов 500px заявил о компрометации данных своих пользователей.

Пострадали следующие персональные данные пользователей сервиса:

✅ Имена и фамилии
✅ Названия аккаунтов
✅ Адреса электронной почты
✅ Хешированные (MD5) пароли
✅ Даты рождения
✅ Города, штаты, страны
✅ Пол

8-го февраля этого года сотрудники сервиса обнаружили уязвимость в коде сайта, а дальнейшее расследование выявило, что этой уязвимость в июле прошлого года воспользовались злоумышленники, которые получили доступ к данным пользователей.

Сервис призывает всех пользователей, зарегистрированных до 5-го июля 2018 года, сменить пароли.

Вот, что бывает, когда вы выставляете в интернет базу данных с дефолтными настройками :)

В Мурманске мировой суд оштрафовал на 25 тысяч рублей поликлинику №2 за нарушение закона о персональных данных.

Про инцидент мы писали в ноябре 2018 г.: https://news.1rj.ru/str/dataleak/615

Исследователь Bob Diachenko (Владимир Дьяченко) сообщает, что обнаружил очередную открытую базу данных, принадлежащую облачному (SaaS) сервису управления бронированием гостиничных номеров.

В базе содержится около 5 млн. записей бронирования крупной международной гостиничной сети, с такими персональными данными клиентов, как: имена, даты рождения, адреса электронной почты, номера паспортов и т.д.

Подробности исследователь обещает опубликовать позже.

База данных SaaS-системы управления бронированием гостиничных номеров.

Кто-то оставил в открытом доступе базу с данными 189-ти твиттерных ботов (все активные). Дамп тут: https://pastebin.com/P5YF8tiH