Сотрудники филиала французской страховой компании Axa в Манчестере (Великобритания) были приговорены судом к различным срокам заключения (от 14 до 18 месяцев плюс исправительные работы и штрафы) за торговлю персональными данными клиентов компании.
Следствием установлено, что в период между июлем и декабрем 2015 года четверо сотрудников (двое бывших и двое действующих на тот момент) Axa каждую неделю пересылали около 100 записей с данными клиентов через мессенджер Whatsapp.
Данные затем продавались компании Mid North West Ltd. Всего за все время злоумышленниками было получено около $24 тыс.
Следствием установлено, что в период между июлем и декабрем 2015 года четверо сотрудников (двое бывших и двое действующих на тот момент) Axa каждую неделю пересылали около 100 записей с данными клиентов через мессенджер Whatsapp.
Данные затем продавались компании Mid North West Ltd. Всего за все время злоумышленниками было получено около $24 тыс.
Хакеры взломали почтовый сервер суданской государственной авиакомпании Sudan Airways.
В открытом доступе оказались адреса электронной почты (в основном на домене sudanair.com) и хешированные пароли: https://ghostbin.com/paste/4qqhb
В открытом доступе оказались адреса электронной почты (в основном на домене sudanair.com) и хешированные пароли: https://ghostbin.com/paste/4qqhb
Наверное, уже все знают, что наши персональные данные давно и успешно стали объектом законной и незаконной экономической деятельности (попросту говоря – торговли).
Если судить по огромному количеству предложений по «пробиву» на черном рынке, то может сложиться впечатление, что государство и частные компании - операторы персональных данных (банки, операторы сотовой связи и т.п.) попросту самоустранились от решения данной проблемы.
Однако, случаи, когда продавцов персданных ловят и даже судят, есть.
Я сделал подборку за год всех случаев задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными, про которые писали СМИ:
https://vc.ru/s/devicelock/59882-poymat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi
Если судить по огромному количеству предложений по «пробиву» на черном рынке, то может сложиться впечатление, что государство и частные компании - операторы персональных данных (банки, операторы сотовой связи и т.п.) попросту самоустранились от решения данной проблемы.
Однако, случаи, когда продавцов персданных ловят и даже судят, есть.
Я сделал подборку за год всех случаев задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными, про которые писали СМИ:
https://vc.ru/s/devicelock/59882-poymat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi
vc.ru
Как в России ловят и наказывают за незаконную торговлю персональными данными — DeviceLock DLP на vc.ru
DeviceLock DLP 04.03.2019
В Воронежской области суд рассмотрит дело 38-летней начальницы отдела ПАО СК «Росгострах», которая незаконно копировала базу данных клиентов в июле 2018 года.
По версии следствия, женщина, имея доступ к базе клиентов, скопировала себе их персональные данные, контакты и информацию о стоимости страховых услуг. Для отправки данных самой себе она использовала корпоративную электронную почту. 🤦♂️🤦🏻♂️🙈
Уголовное дело возбуждено по ч. 3 ст. 272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло копирование компьютерной информации). Максимальная санкция– лишение свободы на 4 года.
По версии следствия, женщина, имея доступ к базе клиентов, скопировала себе их персональные данные, контакты и информацию о стоимости страховых услуг. Для отправки данных самой себе она использовала корпоративную электронную почту. 🤦♂️🤦🏻♂️🙈
Уголовное дело возбуждено по ч. 3 ст. 272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло копирование компьютерной информации). Максимальная санкция– лишение свободы на 4 года.
Исследователь безопасности Victor Gevers обнаружил 18 открытых баз данных MongoDB с 364 млн. профилей и сообщений пользователей китайских сетей WeChat и QQ.
В найденных данных содержатся: идентификаторы граждан, фотографии, адреса, информация о геолокации и информация об использованных устройствах.
Исследователь предположил, что эти базы данных, собирают правоохранительные органы Китая.
Напомню, что буквально месяц назад тот же самый Victor Gevers обнаружил в нескольких открытых российских и украинских базах аккаунт Admin@kremlin.ru и немедленно сделал единственно возможный вывод – Кремль, через этот аккаунт, контролирует российский бизнес. 🤦🏻♂️🤦♂️То, что это просто «пустой» адрес, который многие пользователи вбивают в различные формы регистрации, чтобы не предоставлять свой реальный адрес, исследователь догадаться не смог. Про этот смешной случай есть статья на Хабре: https://habr.com/ru/company/devicelockdlp/blog/437946/
Теперь он же делает вывод о китайских спецслужбах… 😂
В найденных данных содержатся: идентификаторы граждан, фотографии, адреса, информация о геолокации и информация об использованных устройствах.
Исследователь предположил, что эти базы данных, собирают правоохранительные органы Китая.
Напомню, что буквально месяц назад тот же самый Victor Gevers обнаружил в нескольких открытых российских и украинских базах аккаунт Admin@kremlin.ru и немедленно сделал единственно возможный вывод – Кремль, через этот аккаунт, контролирует российский бизнес. 🤦🏻♂️🤦♂️То, что это просто «пустой» адрес, который многие пользователи вбивают в различные формы регистрации, чтобы не предоставлять свой реальный адрес, исследователь догадаться не смог. Про этот смешной случай есть статья на Хабре: https://habr.com/ru/company/devicelockdlp/blog/437946/
Теперь он же делает вывод о китайских спецслужбах… 😂
Хабр
Аккаунт Admin@kremlin.ru обнаружен в тысячах баз данных MongoDB
Голландский исследователь безопасности Victor Gevers заявил, что он обнаружил руку Кремля административную учетную запись Admin@kremlin.ru в более чем 2000 откры...
Приложение для ОС Андроид Dalil, созданное специально для рынка Саудовской Аравии, хранит все данные в открытой базе MongoDB. Dalil это мобильное приложение, которое идентифицирует номер звонящего абонента, сверяя его со своей базой данных.
В свободно доступной базе данных содержится такая информация, как: номера мобильных телефонов, полные имена пользователей, адреса их электронной почты, Viber-аккаунты, пол, модели устройств, их серийные номера и IMEA, GPS-координаты и многое другое.
Большинство данных принадлежит пользователям из Саудовской Аравии, но есть и пользователи из Египты, ОАЭ, Европы и даже Израиля.
Про то, как исследователи обнаруживают открытые базы данных MongoDB читайте тут: https://www.devicelock.com/ru/blog/obnaruzhenie-otkrytyh-baz-dannyh-mongodb-i-elasticsearch.html
В свободно доступной базе данных содержится такая информация, как: номера мобильных телефонов, полные имена пользователей, адреса их электронной почты, Viber-аккаунты, пол, модели устройств, их серийные номера и IMEA, GPS-координаты и многое другое.
Большинство данных принадлежит пользователям из Саудовской Аравии, но есть и пользователи из Египты, ОАЭ, Европы и даже Израиля.
Про то, как исследователи обнаруживают открытые базы данных MongoDB читайте тут: https://www.devicelock.com/ru/blog/obnaruzhenie-otkrytyh-baz-dannyh-mongodb-i-elasticsearch.html
Киберпротект
Защита от утечки конфиденциальных данных - DLP-система Кибер Протего.
DLP-система Кибер Протего предотвращает утечку конфиденциальной информации, контролирует передачу данных и позволяет обнаруживать нарушения политики их хранения.
База данных с информацией о посетителях корпоративного мероприятия компании Automation Anywhere находилась в открытом доступе.
Automation Anywhere это американская компания, выпускающая ПО (ботов) автоматизации различных бизнес-процессов. Они регулярно проводят мероприятие Imagine по всему миру.
База MongoDB размером 2Гб содержала данные посетителей с мероприятия 2018 года, проходившего в индийском Бангалоре.
Всего в открытом доступе находилось 6,751 записей, включающих: полные имена, корпоративные адреса электронной почты, названия компаний, должности, фотографии, краткие биографии, предпочтения в еде, стоимость участия и т.п.
База данных оставалась открытой до 5-го марта этого года.
Automation Anywhere это американская компания, выпускающая ПО (ботов) автоматизации различных бизнес-процессов. Они регулярно проводят мероприятие Imagine по всему миру.
База MongoDB размером 2Гб содержала данные посетителей с мероприятия 2018 года, проходившего в индийском Бангалоре.
Всего в открытом доступе находилось 6,751 записей, включающих: полные имена, корпоративные адреса электронной почты, названия компаний, должности, фотографии, краткие биографии, предпочтения в еде, стоимость участия и т.п.
База данных оставалась открытой до 5-го марта этого года.
Неизвестный из Министерства внутренней безопасности США (DHS) передал журналистам телеканала NBC 7 документы, подтверждающие, что американские спецслужбы создали секретную базу данных гражданских активистов, журналистов, адвокатов, занимающихся проблемами иммигрантов из Латинской Америки.
На каждого человека (в том числе и на граждан США), находящегося в этой базе, собрано подробное досье, включающее даже фотографии из социальных сетей.
В переданных документах содержатся скриншоты внутреннего портала на основе MS SharePoint, который используют такие ведомства, как: Customs and Border Protection (CBP) Immigration and Customs Enforcement (ICE), U.S. Border Patrol, Homeland Security Investigations, а также отделение ФБР в Сан-Диего.
Если человек из этой базы данных пересекает границу США, то его отправляют на дополнительную проверку.
На каждого человека (в том числе и на граждан США), находящегося в этой базе, собрано подробное досье, включающее даже фотографии из социальных сетей.
В переданных документах содержатся скриншоты внутреннего портала на основе MS SharePoint, который используют такие ведомства, как: Customs and Border Protection (CBP) Immigration and Customs Enforcement (ICE), U.S. Border Patrol, Homeland Security Investigations, а также отделение ФБР в Сан-Диего.
Если человек из этой базы данных пересекает границу США, то его отправляют на дополнительную проверку.
Forwarded from DeviceLock RU
По данным прокуратуры города Ульяновск, заместитель директора по безопасности школы № 57 незаконно получил доступ к сведениям, содержащим персональные данные учащихся, родителей и работников школ Ульяновска и удалил их. Эти действия повлекли срыв работоспособности структурных подразделений управления образования, использовавших файлы в своей служебной деятельности.
Более того, замдиректора нашел в интернете вредоносную программу и запустил её на служебном компьютере, чтобы скрыть следы преступления.
Сейчас бывшему заместителю директора школы предъявлено обвинение по ч.3 ст.272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации, повлекший ее уничтожение, совершённый лицом с использованием своего служебного положения), ч.2 ст.273 УК РФ (использование компьютерных программ, заведомо предназначенных для нейтрализации средств защиты компьютерной информации, совершённое лицом с использованием своего служебного положения), уголовное дело направлено в суд.
Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html
Более того, замдиректора нашел в интернете вредоносную программу и запустил её на служебном компьютере, чтобы скрыть следы преступления.
Сейчас бывшему заместителю директора школы предъявлено обвинение по ч.3 ст.272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации, повлекший ее уничтожение, совершённый лицом с использованием своего служебного положения), ч.2 ст.273 УК РФ (использование компьютерных программ, заведомо предназначенных для нейтрализации средств защиты компьютерной информации, совершённое лицом с использованием своего служебного положения), уголовное дело направлено в суд.
Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html
Киберпротект
Защита от утечки конфиденциальных данных - DLP-система Кибер Протего.
DLP-система Кибер Протего предотвращает утечку конфиденциальной информации, контролирует передачу данных и позволяет обнаруживать нарушения политики их хранения.
Компания Verifications.io оставила в открытом доступе базу данных с 809 млн. записями.
Verifications.io занимается проверкой (валидацией) адресов электронной почты для маркетинговых рассылок других компаний. Для осуществления свой деятельности Verifications.io использует базу данных MongoDB. Как оказалось, эта база не требовала аутентификации для доступа к ней и кто угодно, зная IP-адрес, мог подключиться и скачать данные.
Общий размер обнаруженной базы – 150Гб. В ней содержится 763 млн. уникальных адресов электронной почты. 🔥🔥
Помимо электронной почты там найдены: имена, телефонные номера, почтовый адреса, даты рождения, пол, доходы, ставки по ипотеке, аккаунты в социальных сетях Facebook, LinkedIn и Instagram, персональные кредитные рейтинги.
Кроме персональных данных физических лиц, в базе также содержится информация о компаниях: названия компаний, годовой оборот, адреса вебсайтов, номера факсов, индустриальные классификаторы.
В данный момент вебсайт Verifications.io не работает.
Про то, как исследователи обнаруживают открытые базы данных MongoDB читайте тут: https://www.devicelock.com/ru/blog/obnaruzhenie-otkrytyh-baz-dannyh-mongodb-i-elasticsearch.html
Verifications.io занимается проверкой (валидацией) адресов электронной почты для маркетинговых рассылок других компаний. Для осуществления свой деятельности Verifications.io использует базу данных MongoDB. Как оказалось, эта база не требовала аутентификации для доступа к ней и кто угодно, зная IP-адрес, мог подключиться и скачать данные.
Общий размер обнаруженной базы – 150Гб. В ней содержится 763 млн. уникальных адресов электронной почты. 🔥🔥
Помимо электронной почты там найдены: имена, телефонные номера, почтовый адреса, даты рождения, пол, доходы, ставки по ипотеке, аккаунты в социальных сетях Facebook, LinkedIn и Instagram, персональные кредитные рейтинги.
Кроме персональных данных физических лиц, в базе также содержится информация о компаниях: названия компаний, годовой оборот, адреса вебсайтов, номера факсов, индустриальные классификаторы.
В данный момент вебсайт Verifications.io не работает.
Про то, как исследователи обнаруживают открытые базы данных MongoDB читайте тут: https://www.devicelock.com/ru/blog/obnaruzhenie-otkrytyh-baz-dannyh-mongodb-i-elasticsearch.html
Киберпротект
Защита от утечки конфиденциальных данных - DLP-система Кибер Протего.
DLP-система Кибер Протего предотвращает утечку конфиденциальной информации, контролирует передачу данных и позволяет обнаруживать нарушения политики их хранения.
Компания Citrix в своем официальном блоге сообщает о том, что с ними связалось ФБР и сообщило о некой международной хакерской группировке, которая получила доступ к внутренним сетевым ресурсам Citrix.
Citrix начала внутреннее расследование и установила, что было неавторизованное скачивание бизнес-документации. При этом, какие именно документы были скачены, компания не знает. 🤦♂️
По утверждениям ФБР, для взлома хакеры использовали перебор слабых паролей по словарю, пытаясь проникнуть в сеть под любым аккаунтом, а потом уже использовали другие техники для повышения привилегий.
Никакой другой информации не сообщается.
Что-то подсказывает нам – надо ждать обвинения русских хакеров в этом инциденте. Или китайских. Если у ФБР дела с расследованием пойдут совсем плохо, то обвинят северокорейских киберпреступников. 😂😂😂
Citrix начала внутреннее расследование и установила, что было неавторизованное скачивание бизнес-документации. При этом, какие именно документы были скачены, компания не знает. 🤦♂️
По утверждениям ФБР, для взлома хакеры использовали перебор слабых паролей по словарю, пытаясь проникнуть в сеть под любым аккаунтом, а потом уже использовали другие техники для повышения привилегий.
Никакой другой информации не сообщается.
Что-то подсказывает нам – надо ждать обвинения русских хакеров в этом инциденте. Или китайских. Если у ФБР дела с расследованием пойдут совсем плохо, то обвинят северокорейских киберпреступников. 😂😂😂
В честь достижения каналом 10 тыс. подписчиков, давайте поможем ФБР с установлением атрибуции атаки на Citrix и проведем демократическое голосование. Кто напал и скачал документацию Citrix?
Anonymous Poll
24%
Русские хакеры
10%
Китайские хакеры
9%
Северокорейские хакеры
40%
Лично Путин
17%
Агент Д. Трамп
«Магазины» в Twitter, которые торгуют прототипами (версии устройств, предназначенные исключительно для разработчиков Apple) iOS-устройств (iPhone и iPad):
✅ twitter.com/AppleInternalsh
✅ twitter.com/jin_store
✅ twitter.com/laobaiTD
У таких прототипов отключены многие функции защиты в Secure Enclave Processor (SEP), что позволяет исследователям находить новые возможности для jailbreak и взламывать уже релизные версии устройств.
Стоимость прототипов (примерно):
✅ iPhone 6 - $1300
✅ iPhone 8 Plus - $5000
✅ iPhone XR - $20000
Для использования данных устройств в режиме разработчика еще необходим специальный USB-кабель, который называется «kanzi» (ирония в том, что такое название имеет сорт бельгийских яблок). Стоимость такого кабеля около $2000.
Изначально эти устройства (и кабель «kanzi») были предназначены только для разработчиков Apple. Однако, благодаря усилиям инсайдеров из Foxcon, прототипы попадают на рынок электроники в китайском городе Шеньчжэнь, а оттуда уже расходятся по исследователям по всему миру.
Подробное расследование на англ. языке тут: https://motherboard.vice.com/en_us/article/gyakgw/the-prototype-dev-fused-iphones-that-hackers-use-to-research-apple-zero-days
✅ twitter.com/AppleInternalsh
✅ twitter.com/jin_store
✅ twitter.com/laobaiTD
У таких прототипов отключены многие функции защиты в Secure Enclave Processor (SEP), что позволяет исследователям находить новые возможности для jailbreak и взламывать уже релизные версии устройств.
Стоимость прототипов (примерно):
✅ iPhone 6 - $1300
✅ iPhone 8 Plus - $5000
✅ iPhone XR - $20000
Для использования данных устройств в режиме разработчика еще необходим специальный USB-кабель, который называется «kanzi» (ирония в том, что такое название имеет сорт бельгийских яблок). Стоимость такого кабеля около $2000.
Изначально эти устройства (и кабель «kanzi») были предназначены только для разработчиков Apple. Однако, благодаря усилиям инсайдеров из Foxcon, прототипы попадают на рынок электроники в китайском городе Шеньчжэнь, а оттуда уже расходятся по исследователям по всему миру.
Подробное расследование на англ. языке тут: https://motherboard.vice.com/en_us/article/gyakgw/the-prototype-dev-fused-iphones-that-hackers-use-to-research-apple-zero-days
X (formerly Twitter)
Apple Internal Store (@AppleInternalsh) on X
Версии iOS-устройств для разработчиков, с отключенными функциями защиты.
На роутере Xiaomi Mi Router 3G, с открытым для всех FTP-сервером, зная его киевский IP-адрес (ищется в Shodan), можно найти базу данных избирателей Украины за 2014 год.
База в формате Cronos, содержит информацию о 35 млн. человек (35332133), включая ФИО, даты и места рождения, адреса проживания.
Данная база распространялась в начале 2018 года в виде торрент-раздачи, которая в настоящий момент не активна.
За информацию спасибо читателю канала ;)
База в формате Cronos, содержит информацию о 35 млн. человек (35332133), включая ФИО, даты и места рождения, адреса проживания.
Данная база распространялась в начале 2018 года в виде торрент-раздачи, которая в настоящий момент не активна.
За информацию спасибо читателю канала ;)
История с «нападением» на Citrix (тут подробнее: https://news.1rj.ru/str/dataleak/814) получила небольшое, но интересное продолжение.
Некая компания Resecurity Inc (основана в 2017 году, до этого момента особо не известная) из Калифорнии распространила пресс релиз, в котором утверждает, что на Citrix напали иранские хакеры из группировки Iridium.
Разумеется, никаких доказательств не приводится. Поэтому мы считаем наш способ идентификации организатора атаки через голосование по прежнему актуальным: https://news.1rj.ru/str/dataleak/815 😂
Кроме «PR-атрибуции» Resecurity также говорит о конкретных объёмах похищенных данных. Утверждается, что было два скачивания данных из сети Citrix: 20-го декабря 2018 года было украдено 6 ТБ данных, а 4-го марта 2019 года хакеры украли 10 ТБ. Откуда эти цифры, как они получены, как вообще такое возможно, что Citrix об этом не знали, а в Resecurity знают – не сообщается. 👍
Еще в Resecurity оказывается знают, что именно скачали иранские хакеры – файлы с сетевых ресурсов, электронные письма и т.п., связаные с проектами в таких организациях, как ФБР, НАСА и даже Saudi Aramco (государственная нефтяная компания из Саудовской Аравии).
На этом подозрительно глубокие знания Resecurity об этом инциденте не заканчиваются. Коварные иранцы оказывается проникли в сеть Citrix 10 лет назад и с тех пор ждали удобного момента. 😱
У Iridium есть (разумеется мы об этом знаем от Resecurity) какая-то секретная технология обхода двухфакторной аутентификации, которую они и использовали для доступа к критичным сервисам и приложениям Citrix.
Будем следить за этой историей. Очень интересно… 😎
Некая компания Resecurity Inc (основана в 2017 году, до этого момента особо не известная) из Калифорнии распространила пресс релиз, в котором утверждает, что на Citrix напали иранские хакеры из группировки Iridium.
Разумеется, никаких доказательств не приводится. Поэтому мы считаем наш способ идентификации организатора атаки через голосование по прежнему актуальным: https://news.1rj.ru/str/dataleak/815 😂
Кроме «PR-атрибуции» Resecurity также говорит о конкретных объёмах похищенных данных. Утверждается, что было два скачивания данных из сети Citrix: 20-го декабря 2018 года было украдено 6 ТБ данных, а 4-го марта 2019 года хакеры украли 10 ТБ. Откуда эти цифры, как они получены, как вообще такое возможно, что Citrix об этом не знали, а в Resecurity знают – не сообщается. 👍
Еще в Resecurity оказывается знают, что именно скачали иранские хакеры – файлы с сетевых ресурсов, электронные письма и т.п., связаные с проектами в таких организациях, как ФБР, НАСА и даже Saudi Aramco (государственная нефтяная компания из Саудовской Аравии).
На этом подозрительно глубокие знания Resecurity об этом инциденте не заканчиваются. Коварные иранцы оказывается проникли в сеть Citrix 10 лет назад и с тех пор ждали удобного момента. 😱
У Iridium есть (разумеется мы об этом знаем от Resecurity) какая-то секретная технология обхода двухфакторной аутентификации, которую они и использовали для доступа к критичным сервисам и приложениям Citrix.
Будем следить за этой историей. Очень интересно… 😎
Telegram
Утечки информации
Компания Citrix в своем официальном блоге сообщает о том, что с ними связалось ФБР и сообщило о некой международной хакерской группировке, которая получила доступ к внутренним сетевым ресурсам Citrix.
Citrix начала внутреннее расследование и установила,…
Citrix начала внутреннее расследование и установила,…
Исследователи обнаружили десятки корпоративных аккаунтов на сервисе облачного хранения файлов Box, которые содержали свободно доступную чувствительную корпоративную информацию и персональные данные клиентов.
Были обнаружены более 90 компаний, у которых на сервисе Box находились свободно доступные файлы со сканами паспортов, номерами социального страхования (SSN), номерами банковских счетов, паролями, списками сотрудников и т.п.
Для поиска использовался скрипт, перебирающий аккаунты на Box.com, с применением словаря английских слов и набором шаблонов. URL для расшаренных файлов на Box имеет вид: https://<company>.app.box.com/v/<file/folder>, сначала по словарю подбирается имя компании, затем подбирается имя файла или папки.
✅ Скрипт для перебора можно найти тут: https://github.com/Adversis/PandorasBox
✅ Словарь: https://github.com/Adversis/PandorasBox/blob/master/wordlist.txt
✅ Список (около 3 тыс.) некоторых аккаунтов на Box: https://gist.github.com/random-robbie/9b29cdfb017da53e92bad11cb47bbe68
Почти таким же способом обнаруживают открытые облачные хранилища Amazon, про это мы писали тут: https://www.devicelock.com/ru/blog/kak-obnaruzhivayut-otkrytye-oblachnye-hranilischa-amazon.html
Стоит отметить, что в отличии от случаев, когда на AWS оставляют открытыми целые репозитории (buckets), неправильно выставляя права доступа к ним, в случае с Box найденные файлы были намеренно расшарены для обмена и отсутствие неавторизованного доступа к ним должно было гарантироваться невозможностью узнать URL. 🤦🏻♂️
Компании, в чьих Box-аккаунтах были найдены чувствительные данные:
✅ Apple
✅ Система бронирования авиабилетов Amadeus
✅ Телеканал Discovery
✅ Американская PR-компания Edelman
✅ Herbalife
✅ Schneider Electric
✅ Собственно, сама компания Box
Были обнаружены более 90 компаний, у которых на сервисе Box находились свободно доступные файлы со сканами паспортов, номерами социального страхования (SSN), номерами банковских счетов, паролями, списками сотрудников и т.п.
Для поиска использовался скрипт, перебирающий аккаунты на Box.com, с применением словаря английских слов и набором шаблонов. URL для расшаренных файлов на Box имеет вид: https://<company>.app.box.com/v/<file/folder>, сначала по словарю подбирается имя компании, затем подбирается имя файла или папки.
✅ Скрипт для перебора можно найти тут: https://github.com/Adversis/PandorasBox
✅ Словарь: https://github.com/Adversis/PandorasBox/blob/master/wordlist.txt
✅ Список (около 3 тыс.) некоторых аккаунтов на Box: https://gist.github.com/random-robbie/9b29cdfb017da53e92bad11cb47bbe68
Почти таким же способом обнаруживают открытые облачные хранилища Amazon, про это мы писали тут: https://www.devicelock.com/ru/blog/kak-obnaruzhivayut-otkrytye-oblachnye-hranilischa-amazon.html
Стоит отметить, что в отличии от случаев, когда на AWS оставляют открытыми целые репозитории (buckets), неправильно выставляя права доступа к ним, в случае с Box найденные файлы были намеренно расшарены для обмена и отсутствие неавторизованного доступа к ним должно было гарантироваться невозможностью узнать URL. 🤦🏻♂️
Компании, в чьих Box-аккаунтах были найдены чувствительные данные:
✅ Apple
✅ Система бронирования авиабилетов Amadeus
✅ Телеканал Discovery
✅ Американская PR-компания Edelman
✅ Herbalife
✅ Schneider Electric
✅ Собственно, сама компания Box