В Швеции обнаружили в открытом доступе записи 2.7 млн. звонков на горячую линию департамента здравоохранения.

Всего 170 тыс. часов записей с конфиденциальными данными пациентов, включая 57 тыс. записей с информацией о номерах телефонов звонивших.

Все записи находились в WAV-файлах на свободно доступном веб сервере.

Рады сообщить вам о том, что мы выпустили обновление DeviceLock DLP Suite версии 8.3 👍

Что нового в DeviceLock 8.3.75732:

✅ Улучшен контроль почтового протокола MAPI. Теперь возможно выборочно разрешить или запретить контроль папки черновиков, которая сохраняется приложением Outlook на сервере Exchange, а также перемещенных сообщений, с помощью соответствующих параметров в настройках безопасности (Security Settings). Перемещенными являются сообщения, импортированные в папки MAPI из внешних файлов почтовых сообщений (.msg) или других (внешних) почтовых ящиков.

✅ Устранена ошибка, когда DeviceLock Enterprise Server игнорировал заданное значение параметра "Фиксированный TCP-порт" на 64-битных ОС.

✅ Улучшена функция защиты от пользователя с правами локального администратора.

Скачать новую версию можно тут: https://www.devicelock.com/ru/download/

Акции австралийской компании LandMark White упали на 10.6 процентов до 4-х летнего минимума, после того, как стало известно об утечке данных клиентов компании.

Мы писали про эту утечку неделю назад: https://news.1rj.ru/str/dataleak/755

Американская компания CavinHR, занимающаяся автоматизацией HR-процессов, оставила в открытом доступе базу данных с информацией о сотрудниках компаний-клиентов, а также своих собственных сотрудников.

Всего в базе Apache CouchDB находилось 411 тыс. записей с персональными данными 13 тыс. человек, включая имена, даты рождения, зарплаты, информацию о банковских счетах, религиозные убеждения, группы крови и информацию о супругах.

Кроме данных о сотрудниках, в базе также находились электронные письма с медицинской информацией.

Индийская государственная компания Indane, занимающаяся производством и поставками сжиженного газа, допустила утечку персональных данных 5.8 млн. клиентов (потенциально возможна утечка 6.7 млн. клиентов).

Раздел сайта Indane, предназначенный для дилеров и дистрибуторов, доступ в который должен был осуществляться только по учетным записям (имя пользователя и пароль), оказался доступен для индексирования Google. В результате этого, кто угодно мог получить доступ к базе данных Indane. 🤦‍♂️

Исследователи безопасности написали специальный скрипт для копирования данных из базы. Скрипт выкачал 5.8 млн. записей клиентов прежде чем перестал работать (доступ к базе был наконец закрыт со стороны Indane). Исследователи оценили полный размер базы в 6.7 млн. записей. 🔥

В базе были обнаружены клиенты 11 тыс. дилеров Indane. Записи содержали: имена, адреса, а также номер Aadhaar (уникальный идентификатор жителя Индии, который является конфиденциальной информацией).

Для Индии этот случай довольно типичный. Мы много раз писали про подобные инциденты, массово раскрывающие номера Aadhaar:

✅ https://news.1rj.ru/str/dataleak/708
✅ https://news.1rj.ru/str/dataleak/614
✅ https://news.1rj.ru/str/dataleak/326

Утечка персональных данных 5.8 млн. человек из индийской государственной компании Indane.

А вот интересная история про Альфа-Банк.

https://tjournal.ru/money/88449-na-pikabu-rasskazali-kak-alfa-bank-opublikoval-v-internete-foto-klienta-v-banke-nachali-proverku

Вы проголосовали за это и это случилось! 😄

Разбираемся как открытые базы данных обнаруживаются исследователями безопасности.

https://habr.com/ru/post/441028/

Медицинская школа Университета штата Вашингтон (г. Сиэтл) допустила утечку данных 974 тыс. пациентов.

Только сейчас стало известно, что еще 4-го декабря 2018 года на сайте медицинского учреждения произошел технический сбой, из-за которого закрытые данные (файлы) стали публично доступными и были проиндексированы поисковыми машинами. Эту дыру смогли закрыть только 26-го декабря.

Файлы содержали имена пациентов, номера медицинских карт и некую описательную информацию.

Бывший сотрудник китайского сервиса Ziroom (предоставляет услуги поиска и сдачи в аренду апартаментов) обвиняется в краже персональных данных клиентов своего работодателя.

На ноутбуке, айфоне и USB-флешке, принадлежащим бывшему сотруднику, было обнаружено более 800 тыс. записей с персональными данными. При этом только 70 тыс. из них оказались клиентами Ziroom.

Перед увольнением из Ziroom недобросовестный сотрудник скачал из системы телефонные номера, имена, адреса и т.п. владельцев, сдающих недвижимость, используя некое специальное программное обеспечение, т.к. утверждается, что возможности сохранять данные у него не было – он мог только их просматривать.

В данный момент дело передано в суд.

Bob Diachenko обнаружил очередную открытую базу данных MongoDB с персональными данными 458,388 жителей Дели (Индия).

База данных под названием GNCTD (Government of National Capital Territory of Delhi) имеет размер 4.1 Гб и принадлежит скорее всего компании Transerve (занимается сбором и анализом различных данных для индийских городских властей).

В свободно доступной базе содержались такие данные, как: имена, пол, возраст, адреса, адреса электронной почты, семейные статусы, религиозные убеждения, имена пользователей и их хешированные пароли и т.п.

Открытая база данных MongoDB с персональными данными 458,388 жителей индийской столицы.

Альфа-Банк закончил расследование по факту размещения одним из курьеров снимка клиента с открытыми паспортными данными в Интернете. В банке пояснили, что уволили сотрудника, изменили инструкции и усилили контроль за их выполнением. Пострадавший получил iPhone XS в качестве извинений.

Про сам инцидент писали тут: https://news.1rj.ru/str/dataleak/782

На известном DarkNet-форуме Dream Market в продаже появилась база пользователей антивирусной компании Avast. TXT-файл, размером 7.5 Мб содержит более 220 тыс. имен пользователей и их паролей.

Стэндфордский Университет допустил утечку данных студентов из-за ошибки в ИТ-системе (NojiWeb). Студенты университета для доступа к своим личным данным используют специальный URL, содержащий в себе числовой идентификатор. Оказалось, что простая замена своего идентификатора на чужой дает доступ к данным другого студента. 🙈

Из-за этой ошибки неавторизованный доступ можно было получить к номерам социального страхования (SSN), адресам, данным по успеваемости и посещению и т.п.

Система NojiWeb используется в университете с 2009 года. Однако, уязвимость была обнаружена только в конце января этого года. 🤦🏻‍♂️

Запись разговора с мошенником, который представляется сотрудником Сбербанка, называет свой доход, говорит откуда берутся данные, зачем он это делает и т.п.: http://d.zaix.ru/aVnW.mp3 🔥🔥🔥

В открытом доступе обнаружена база данных размером 23 Гб, принадлежащая американской компании Catalina, занимающейся сбором и анализом данных покупателей для крупных торговых сетей.

В Новосибирске суд вынес приговор двум бывшим сотрудникам МТС, которые украли базу данных абонентов Новосибирска, Барнаула, Новокузнецка и Бердска.

На момент совершения кражи, один из злоумышленников уже уволился из МТС, а второй продолжал работать в должности ведущего супервайзера.

Кража была совершена 18 июля 2018 года. Двое злоумышленников свободно зашли в офис и проникли в кабинет с компьютером, который имел доступ в корпоративную сеть под названием "Портмоне". Один из них попросил логин и пароль у начальства. Скачанную базу данных попытались отправить себе на личную почту в виде файла-архива, но из-за большого размера это не удалось сделать. Тогда архив разделили на несколько частей и вновь отправили на почту. 🙈🙈🤦‍♂️🤦‍♂️

Всего в украденной базе были данные 506,185 абонентов, содержащие: фамилии, имена, отчества, номера телефонов и адреса. Во время предварительного следствия злоумышленники признались, что пытались продать данные каждого абонента по одному рублю за запись, заработав таким образом более 500 тысяч рублей.

26 февраля 2019 года суд признал Никиту Черницова и Виталия Иванова виновными по статье 183 УК РФ "Сбор сведений, составляющих коммерческую тайну, причинивший крупный ущерб или совершенный из корыстной заинтересованности". Черницова приговорили к 1 году 6 месяцам условно с аналогичным испытательным сроком, а Иванову дали на три месяца меньше.

Судя по этому твиту, у компании КРОК неприятности - явно оставили в открытом доступе базу данных и исследователь ее обнаружил. Ждем подробностей...

DeviceLock – российский производитель DPL-систем (Data Leak Prevention) проанализировал январскую атаку на клиентов Сбербанка. В компании пришли к выводу, что столь масштабная и успешная атака стала возможной благодаря кратковременному доступу злоумышленников к информации о клиентах банка. По мнению специалистов компании, именно доступ к внутренней информации, а не подмена исходящего номера на номера банка, стал ключевым фактором успеха примененной мошенниками социальной техники.

В пользу этой версии свидетельствует, в частности, тот факт, что первые инциденты со звонками с подмененных номеров происходили еще в декабре 2018, но преступники не достигали успеха потому что не обладали достаточной информацией, чтобы выдавать себя за сотрудников Сбербанка и вынуждать клиентов к необходимым им действиям. Массовый повтор таких инцидентов в конце января уже включал использование преступниками полных паспортных данных, а также информации об остатках на картах клиентов банка. Кроме того, по свидетельствам пострадавших, после блокировки карты атаки немедленно прекращались, что также свидетельствует о доступе мошенников к информации о картхолдерах, причем в режиме реального времени. При этом сама январская атака была массовой, но короткой во времени и длилась всего 2-3 дня, а прекратилась, вероятно, после того, как служба безопасности банка выявила и ликвидировала источник утечки клиентских данных.

Специалисты DeviceLock прогнозируют, что рост телефонных социальных атак в целом связан с повышением уровня защиты банковских приложений и будет продолжаться в течение всего года.

https://www.devicelock.com/ru/news/k-telefonnym-atakam-na-klientov-sberbanka-prichastny-insajdery-26feb.html

В Томске вынесен приговор бывшему участковому уполномоченному полиции, получившему взятку за предоставление в интересах ритуальной фирмы сведений об умерших гражданах.

В суде выяснили, что в со 2 января по 18 июня 2018 года подсудимый, в то время работавший в должности участкового, получил взятку в 42 тысячи рублей за незаконное предоставление конфиденциальных сведений о персональных данных умерших граждан лицу, действующему в интересах коммерческой организации, оказывающей ритуальные услуги. Эти данные в дальнейшем предназначались для обеспечения заключения с родственниками умерших граждан договоров на оказание ритуальных услуг

Суд приговорил подсудимого к трем с половиной годам лишения свободы условно с испытательным сроком три года. Также его лишили права в течение двух лет занимать должности в системе правоохранительных органов РФ.