База данных с информацией о посетителях корпоративного мероприятия компании Automation Anywhere находилась в открытом доступе.

Automation Anywhere это американская компания, выпускающая ПО (ботов) автоматизации различных бизнес-процессов. Они регулярно проводят мероприятие Imagine по всему миру.

База MongoDB размером 2Гб содержала данные посетителей с мероприятия 2018 года, проходившего в индийском Бангалоре.

Всего в открытом доступе находилось 6,751 записей, включающих: полные имена, корпоративные адреса электронной почты, названия компаний, должности, фотографии, краткие биографии, предпочтения в еде, стоимость участия и т.п.

База данных оставалась открытой до 5-го марта этого года.

Неизвестный из Министерства внутренней безопасности США (DHS) передал журналистам телеканала NBC 7 документы, подтверждающие, что американские спецслужбы создали секретную базу данных гражданских активистов, журналистов, адвокатов, занимающихся проблемами иммигрантов из Латинской Америки.

На каждого человека (в том числе и на граждан США), находящегося в этой базе, собрано подробное досье, включающее даже фотографии из социальных сетей.

В переданных документах содержатся скриншоты внутреннего портала на основе MS SharePoint, который используют такие ведомства, как: Customs and Border Protection (CBP) Immigration and Customs Enforcement (ICE), U.S. Border Patrol, Homeland Security Investigations, а также отделение ФБР в Сан-Диего.

Если человек из этой базы данных пересекает границу США, то его отправляют на дополнительную проверку.

По данным прокуратуры города Ульяновск, заместитель директора по безопасности школы № 57 незаконно получил доступ к сведениям, содержащим персональные данные учащихся, родителей и работников школ Ульяновска и удалил их. Эти действия повлекли срыв работоспособности структурных подразделений управления образования, использовавших файлы в своей служебной деятельности.

Более того, замдиректора нашел в интернете вредоносную программу и запустил её на служебном компьютере, чтобы скрыть следы преступления.

Сейчас бывшему заместителю директора школы предъявлено обвинение по ч.3 ст.272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации, повлекший ее уничтожение, совершённый лицом с использованием своего служебного положения), ч.2 ст.273 УК РФ (использование компьютерных программ, заведомо предназначенных для нейтрализации средств защиты компьютерной информации, совершённое лицом с использованием своего служебного положения), уголовное дело направлено в суд.

Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html

Компания Verifications.io оставила в открытом доступе базу данных с 809 млн. записями.

Verifications.io занимается проверкой (валидацией) адресов электронной почты для маркетинговых рассылок других компаний. Для осуществления свой деятельности Verifications.io использует базу данных MongoDB. Как оказалось, эта база не требовала аутентификации для доступа к ней и кто угодно, зная IP-адрес, мог подключиться и скачать данные.

Общий размер обнаруженной базы – 150Гб. В ней содержится 763 млн. уникальных адресов электронной почты. 🔥🔥

Помимо электронной почты там найдены: имена, телефонные номера, почтовый адреса, даты рождения, пол, доходы, ставки по ипотеке, аккаунты в социальных сетях Facebook, LinkedIn и Instagram, персональные кредитные рейтинги.

Кроме персональных данных физических лиц, в базе также содержится информация о компаниях: названия компаний, годовой оборот, адреса вебсайтов, номера факсов, индустриальные классификаторы.

В данный момент вебсайт Verifications.io не работает.

Про то, как исследователи обнаруживают открытые базы данных MongoDB читайте тут: https://www.devicelock.com/ru/blog/obnaruzhenie-otkrytyh-baz-dannyh-mongodb-i-elasticsearch.html

Компания Citrix в своем официальном блоге сообщает о том, что с ними связалось ФБР и сообщило о некой международной хакерской группировке, которая получила доступ к внутренним сетевым ресурсам Citrix.

Citrix начала внутреннее расследование и установила, что было неавторизованное скачивание бизнес-документации. При этом, какие именно документы были скачены, компания не знает. 🤦‍♂️

По утверждениям ФБР, для взлома хакеры использовали перебор слабых паролей по словарю, пытаясь проникнуть в сеть под любым аккаунтом, а потом уже использовали другие техники для повышения привилегий.

Никакой другой информации не сообщается.

Что-то подсказывает нам – надо ждать обвинения русских хакеров в этом инциденте. Или китайских. Если у ФБР дела с расследованием пойдут совсем плохо, то обвинят северокорейских киберпреступников. 😂😂😂

«Магазины» в Twitter, которые торгуют прототипами (версии устройств, предназначенные исключительно для разработчиков Apple) iOS-устройств (iPhone и iPad):

✅ twitter.com/AppleInternalsh
✅ twitter.com/jin_store
✅ twitter.com/laobaiTD

У таких прототипов отключены многие функции защиты в Secure Enclave Processor (SEP), что позволяет исследователям находить новые возможности для jailbreak и взламывать уже релизные версии устройств.

Стоимость прототипов (примерно):

✅ iPhone 6 - $1300
✅ iPhone 8 Plus - $5000
✅ iPhone XR - $20000

Для использования данных устройств в режиме разработчика еще необходим специальный USB-кабель, который называется «kanzi» (ирония в том, что такое название имеет сорт бельгийских яблок). Стоимость такого кабеля около $2000.

Изначально эти устройства (и кабель «kanzi») были предназначены только для разработчиков Apple. Однако, благодаря усилиям инсайдеров из Foxcon, прототипы попадают на рынок электроники в китайском городе Шеньчжэнь, а оттуда уже расходятся по исследователям по всему миру.

Подробное расследование на англ. языке тут: https://motherboard.vice.com/en_us/article/gyakgw/the-prototype-dev-fused-iphones-that-hackers-use-to-research-apple-zero-days

Версии iOS-устройств для разработчиков, с отключенными функциями защиты.

На роутере Xiaomi Mi Router 3G, с открытым для всех FTP-сервером, зная его киевский IP-адрес (ищется в Shodan), можно найти базу данных избирателей Украины за 2014 год.

База в формате Cronos, содержит информацию о 35 млн. человек (35332133), включая ФИО, даты и места рождения, адреса проживания.

Данная база распространялась в начале 2018 года в виде торрент-раздачи, которая в настоящий момент не активна.

За информацию спасибо читателю канала ;)

История с «нападением» на Citrix (тут подробнее: https://news.1rj.ru/str/dataleak/814) получила небольшое, но интересное продолжение.

Некая компания Resecurity Inc (основана в 2017 году, до этого момента особо не известная) из Калифорнии распространила пресс релиз, в котором утверждает, что на Citrix напали иранские хакеры из группировки Iridium.

Разумеется, никаких доказательств не приводится. Поэтому мы считаем наш способ идентификации организатора атаки через голосование по прежнему актуальным: https://news.1rj.ru/str/dataleak/815 😂

Кроме «PR-атрибуции» Resecurity также говорит о конкретных объёмах похищенных данных. Утверждается, что было два скачивания данных из сети Citrix: 20-го декабря 2018 года было украдено 6 ТБ данных, а 4-го марта 2019 года хакеры украли 10 ТБ. Откуда эти цифры, как они получены, как вообще такое возможно, что Citrix об этом не знали, а в Resecurity знают – не сообщается. 👍


Еще в Resecurity оказывается знают, что именно скачали иранские хакеры – файлы с сетевых ресурсов, электронные письма и т.п., связаные с проектами в таких организациях, как ФБР, НАСА и даже Saudi Aramco (государственная нефтяная компания из Саудовской Аравии).

На этом подозрительно глубокие знания Resecurity об этом инциденте не заканчиваются. Коварные иранцы оказывается проникли в сеть Citrix 10 лет назад и с тех пор ждали удобного момента. 😱

У Iridium есть (разумеется мы об этом знаем от Resecurity) какая-то секретная технология обхода двухфакторной аутентификации, которую они и использовали для доступа к критичным сервисам и приложениям Citrix.

Будем следить за этой историей. Очень интересно… 😎

Исследователи обнаружили десятки корпоративных аккаунтов на сервисе облачного хранения файлов Box, которые содержали свободно доступную чувствительную корпоративную информацию и персональные данные клиентов.

Были обнаружены более 90 компаний, у которых на сервисе Box находились свободно доступные файлы со сканами паспортов, номерами социального страхования (SSN), номерами банковских счетов, паролями, списками сотрудников и т.п.

Для поиска использовался скрипт, перебирающий аккаунты на Box.com, с применением словаря английских слов и набором шаблонов. URL для расшаренных файлов на Box имеет вид: https://<company>.app.box.com/v/<file/folder>, сначала по словарю подбирается имя компании, затем подбирается имя файла или папки.

✅ Скрипт для перебора можно найти тут: https://github.com/Adversis/PandorasBox

✅ Словарь: https://github.com/Adversis/PandorasBox/blob/master/wordlist.txt

✅ Список (около 3 тыс.) некоторых аккаунтов на Box: https://gist.github.com/random-robbie/9b29cdfb017da53e92bad11cb47bbe68

Почти таким же способом обнаруживают открытые облачные хранилища Amazon, про это мы писали тут: https://www.devicelock.com/ru/blog/kak-obnaruzhivayut-otkrytye-oblachnye-hranilischa-amazon.html

Стоит отметить, что в отличии от случаев, когда на AWS оставляют открытыми целые репозитории (buckets), неправильно выставляя права доступа к ним, в случае с Box найденные файлы были намеренно расшарены для обмена и отсутствие неавторизованного доступа к ним должно было гарантироваться невозможностью узнать URL. 🤦🏻‍♂️

Компании, в чьих Box-аккаунтах были найдены чувствительные данные:

✅ Apple
✅ Система бронирования авиабилетов Amadeus
✅ Телеканал Discovery
✅ Американская PR-компания Edelman
✅ Herbalife
✅ Schneider Electric
✅ Собственно, сама компания Box

Современные DLP-системы умеют распознавать в потоке передаваемых данных документы, удостоверяющие личность. Причем перехватить попытку передачи такого документа за периметр можно даже в том случае, если речь идет об отправке по электронной почте скан-копии или печати документа на принтере.


Особенность DeviceLock DLP состоит в том, что оптическое распознавание символов (OCR) производится непосредственно на компьютере пользователя резидентным OCR-модулем в составе DLP-агента. Встроенный OCR позволяет извлекать текст из графических файлов и затем проверять его правилами, построенными на анализе содержимого передаваемых файлов и данных, непосредственно в момент совершения пользователем действий с этими файлами, без их передачи на сторонний OCR-сервер. Такая архитектура позволяет DeviceLock DLP быстро принимать решение о запрещении или разрешении пользовательской операции.

http://www.cnews.ru/articles/2019-03-12_dlpsistemy_nauchilis_predotvrashchat_krazhu_pasportov

Мобильное приложение для сторонников Дональда Трампа 63Red Safe допустило утечку данных пользователей. Приложение под iOS и Android предназначено для поиска безопасных мест (ресторанов, баров, магазинов и т.п.) для «консерваторов», которые носят символику «Make America Great Again» (MAGA).

В ходе независимого анализа приложения было обнаружено, что прямо в коде, в открытом виде, содержатся учетные записи для доступа к данным приложения.

Исследователю удалось извлечь данные 4466 пользователей: имена, адреса электронной почты и т.п.

В октябре прошлого года из приложения Donald Daters, предназначенного для знакомства сторонников американского президента Дональда Трампа, утекла вся база данных пользователей, включая имена, фотографии профилей, приватные сообщения и т.п.

Бывший сотрудник отдела технической защиты информации администрации города Курган, продавал персональные данные жителей города и области.

В силу своего служебного положения мужчина имел доступ к базе данных, куда вносятся сведения из УФМС, ЗАГС, избирательных комиссий, военкоматов, УФСИН, других и учреждений.

Бывший сотрудник создал свою собственную программно-информационную систему, содержащую адреса, ИНН, СНИЛС, водительские удостоверения, паспорта, информацию о наличии кредитов в банках и задолженности в сфере ЖКХ и т.п.

За денежное вознаграждение 1,5-2 тысячи рублей злоумышленник продавал ‘эти сведения третьим лицам – банкам и коллекторским агентствам. Покупатели переводили деньги на карту его родственников.

За нарушение неприкосновенности частной жизни суд назначил виновному наказание в виде штрафа в размере 200 тыс. рублей.

Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html

Еще один бывший сотрудник компании Tesla Motors (ее подразделения «Гигафабрика») заявил о слежке за коммуникациями сотрудников на заводе.

Про первого сотрудника, заявившего о тотальном прослушивании телефонов на «Гигафабрике» мы писали тут: https://news.1rj.ru/str/dataleak/517. Tesla Motors подала на него в суд, обвиняя в краже гигабайтов коммерческих секретов компании: https://news.1rj.ru/str/dataleak/426.

Теперь туже самую информацию подтверждает и второй уволенный из Теслы сотрудник.

В свободном доступе на специализированных форумах появилась база данных госслужащих Украины за 2018 год. Всего в базе 1430497 записей, содержащих: ФИО, место жительства, должность и место работы.

На прошлой неделе мы писали, что в открытом доступе нашлась база данных избирателей Украины за 2014 год: https://news.1rj.ru/str/dataleak/821

Продолжаем следить за историей с кражей информации из сети компании Citrix.

✅ Первая часть тут: https://news.1rj.ru/str/dataleak/814
✅ Вторая часть тут: https://news.1rj.ru/str/dataleak/822

Компания Resecurity Inc продолжает сливать, не понятно откуда взявшиеся у них, «доказательства» причастности к инциденту иранских хакеров, а также некоторые подробности самого инцидента.

Во-первых, Resecurity опубликовали список IP-адресов, с которых работали хакеры:

178.131.21*.19* – Иран
5.115.23*.11* – Иран
5.52.14*.23* – Иран

И список прокси серверов, которые они использовали:

23.237.104.90 – Канада (VPN)
194.59.251.12 – США (VPN)
185.244.214.198 – Польша
138.201.142.113 – Германия
92.222.252.193 – Франция (29 ноября 2018)
51.15.240.100 – Франция (7 декабря 2018) x 3 раза
185.220.70.135 – Германия (7 декабря 2018) x 5 раз

Во-вторых, Resecurity утверждают, что у них есть список из 31,738 аккаунтов сотрудников Citrix, которые были атакованы (перебор слабых паролей) и именно через эти аккаунты хакеры и проникли в сеть.

Ну и самое удивительное – у Resecurity есть скриншоты RDP-сессий, на которых видно, как хакеры (так утверждается) копируют файлы с серверов Citrix на удаленные диски. 😱

31,738 аккаунтов сотрудников Citrix, через которые хакеры проникли в сеть.