На роутере Xiaomi Mi Router 3G, с открытым для всех FTP-сервером, зная его киевский IP-адрес (ищется в Shodan), можно найти базу данных избирателей Украины за 2014 год.

База в формате Cronos, содержит информацию о 35 млн. человек (35332133), включая ФИО, даты и места рождения, адреса проживания.

Данная база распространялась в начале 2018 года в виде торрент-раздачи, которая в настоящий момент не активна.

За информацию спасибо читателю канала ;)

История с «нападением» на Citrix (тут подробнее: https://news.1rj.ru/str/dataleak/814) получила небольшое, но интересное продолжение.

Некая компания Resecurity Inc (основана в 2017 году, до этого момента особо не известная) из Калифорнии распространила пресс релиз, в котором утверждает, что на Citrix напали иранские хакеры из группировки Iridium.

Разумеется, никаких доказательств не приводится. Поэтому мы считаем наш способ идентификации организатора атаки через голосование по прежнему актуальным: https://news.1rj.ru/str/dataleak/815 😂

Кроме «PR-атрибуции» Resecurity также говорит о конкретных объёмах похищенных данных. Утверждается, что было два скачивания данных из сети Citrix: 20-го декабря 2018 года было украдено 6 ТБ данных, а 4-го марта 2019 года хакеры украли 10 ТБ. Откуда эти цифры, как они получены, как вообще такое возможно, что Citrix об этом не знали, а в Resecurity знают – не сообщается. 👍


Еще в Resecurity оказывается знают, что именно скачали иранские хакеры – файлы с сетевых ресурсов, электронные письма и т.п., связаные с проектами в таких организациях, как ФБР, НАСА и даже Saudi Aramco (государственная нефтяная компания из Саудовской Аравии).

На этом подозрительно глубокие знания Resecurity об этом инциденте не заканчиваются. Коварные иранцы оказывается проникли в сеть Citrix 10 лет назад и с тех пор ждали удобного момента. 😱

У Iridium есть (разумеется мы об этом знаем от Resecurity) какая-то секретная технология обхода двухфакторной аутентификации, которую они и использовали для доступа к критичным сервисам и приложениям Citrix.

Будем следить за этой историей. Очень интересно… 😎

Исследователи обнаружили десятки корпоративных аккаунтов на сервисе облачного хранения файлов Box, которые содержали свободно доступную чувствительную корпоративную информацию и персональные данные клиентов.

Были обнаружены более 90 компаний, у которых на сервисе Box находились свободно доступные файлы со сканами паспортов, номерами социального страхования (SSN), номерами банковских счетов, паролями, списками сотрудников и т.п.

Для поиска использовался скрипт, перебирающий аккаунты на Box.com, с применением словаря английских слов и набором шаблонов. URL для расшаренных файлов на Box имеет вид: https://<company>.app.box.com/v/<file/folder>, сначала по словарю подбирается имя компании, затем подбирается имя файла или папки.

✅ Скрипт для перебора можно найти тут: https://github.com/Adversis/PandorasBox

✅ Словарь: https://github.com/Adversis/PandorasBox/blob/master/wordlist.txt

✅ Список (около 3 тыс.) некоторых аккаунтов на Box: https://gist.github.com/random-robbie/9b29cdfb017da53e92bad11cb47bbe68

Почти таким же способом обнаруживают открытые облачные хранилища Amazon, про это мы писали тут: https://www.devicelock.com/ru/blog/kak-obnaruzhivayut-otkrytye-oblachnye-hranilischa-amazon.html

Стоит отметить, что в отличии от случаев, когда на AWS оставляют открытыми целые репозитории (buckets), неправильно выставляя права доступа к ним, в случае с Box найденные файлы были намеренно расшарены для обмена и отсутствие неавторизованного доступа к ним должно было гарантироваться невозможностью узнать URL. 🤦🏻‍♂️

Компании, в чьих Box-аккаунтах были найдены чувствительные данные:

✅ Apple
✅ Система бронирования авиабилетов Amadeus
✅ Телеканал Discovery
✅ Американская PR-компания Edelman
✅ Herbalife
✅ Schneider Electric
✅ Собственно, сама компания Box

Современные DLP-системы умеют распознавать в потоке передаваемых данных документы, удостоверяющие личность. Причем перехватить попытку передачи такого документа за периметр можно даже в том случае, если речь идет об отправке по электронной почте скан-копии или печати документа на принтере.


Особенность DeviceLock DLP состоит в том, что оптическое распознавание символов (OCR) производится непосредственно на компьютере пользователя резидентным OCR-модулем в составе DLP-агента. Встроенный OCR позволяет извлекать текст из графических файлов и затем проверять его правилами, построенными на анализе содержимого передаваемых файлов и данных, непосредственно в момент совершения пользователем действий с этими файлами, без их передачи на сторонний OCR-сервер. Такая архитектура позволяет DeviceLock DLP быстро принимать решение о запрещении или разрешении пользовательской операции.

http://www.cnews.ru/articles/2019-03-12_dlpsistemy_nauchilis_predotvrashchat_krazhu_pasportov

Мобильное приложение для сторонников Дональда Трампа 63Red Safe допустило утечку данных пользователей. Приложение под iOS и Android предназначено для поиска безопасных мест (ресторанов, баров, магазинов и т.п.) для «консерваторов», которые носят символику «Make America Great Again» (MAGA).

В ходе независимого анализа приложения было обнаружено, что прямо в коде, в открытом виде, содержатся учетные записи для доступа к данным приложения.

Исследователю удалось извлечь данные 4466 пользователей: имена, адреса электронной почты и т.п.

В октябре прошлого года из приложения Donald Daters, предназначенного для знакомства сторонников американского президента Дональда Трампа, утекла вся база данных пользователей, включая имена, фотографии профилей, приватные сообщения и т.п.

Бывший сотрудник отдела технической защиты информации администрации города Курган, продавал персональные данные жителей города и области.

В силу своего служебного положения мужчина имел доступ к базе данных, куда вносятся сведения из УФМС, ЗАГС, избирательных комиссий, военкоматов, УФСИН, других и учреждений.

Бывший сотрудник создал свою собственную программно-информационную систему, содержащую адреса, ИНН, СНИЛС, водительские удостоверения, паспорта, информацию о наличии кредитов в банках и задолженности в сфере ЖКХ и т.п.

За денежное вознаграждение 1,5-2 тысячи рублей злоумышленник продавал ‘эти сведения третьим лицам – банкам и коллекторским агентствам. Покупатели переводили деньги на карту его родственников.

За нарушение неприкосновенности частной жизни суд назначил виновному наказание в виде штрафа в размере 200 тыс. рублей.

Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html

Еще один бывший сотрудник компании Tesla Motors (ее подразделения «Гигафабрика») заявил о слежке за коммуникациями сотрудников на заводе.

Про первого сотрудника, заявившего о тотальном прослушивании телефонов на «Гигафабрике» мы писали тут: https://news.1rj.ru/str/dataleak/517. Tesla Motors подала на него в суд, обвиняя в краже гигабайтов коммерческих секретов компании: https://news.1rj.ru/str/dataleak/426.

Теперь туже самую информацию подтверждает и второй уволенный из Теслы сотрудник.

В свободном доступе на специализированных форумах появилась база данных госслужащих Украины за 2018 год. Всего в базе 1430497 записей, содержащих: ФИО, место жительства, должность и место работы.

На прошлой неделе мы писали, что в открытом доступе нашлась база данных избирателей Украины за 2014 год: https://news.1rj.ru/str/dataleak/821

Продолжаем следить за историей с кражей информации из сети компании Citrix.

✅ Первая часть тут: https://news.1rj.ru/str/dataleak/814
✅ Вторая часть тут: https://news.1rj.ru/str/dataleak/822

Компания Resecurity Inc продолжает сливать, не понятно откуда взявшиеся у них, «доказательства» причастности к инциденту иранских хакеров, а также некоторые подробности самого инцидента.

Во-первых, Resecurity опубликовали список IP-адресов, с которых работали хакеры:

178.131.21*.19* – Иран
5.115.23*.11* – Иран
5.52.14*.23* – Иран

И список прокси серверов, которые они использовали:

23.237.104.90 – Канада (VPN)
194.59.251.12 – США (VPN)
185.244.214.198 – Польша
138.201.142.113 – Германия
92.222.252.193 – Франция (29 ноября 2018)
51.15.240.100 – Франция (7 декабря 2018) x 3 раза
185.220.70.135 – Германия (7 декабря 2018) x 5 раз

Во-вторых, Resecurity утверждают, что у них есть список из 31,738 аккаунтов сотрудников Citrix, которые были атакованы (перебор слабых паролей) и именно через эти аккаунты хакеры и проникли в сеть.

Ну и самое удивительное – у Resecurity есть скриншоты RDP-сессий, на которых видно, как хакеры (так утверждается) копируют файлы с серверов Citrix на удаленные диски. 😱

31,738 аккаунтов сотрудников Citrix, через которые хакеры проникли в сеть.

Скриншоты RDP-сессий, на которых видно, как копируются файлы с серверов Citrix на удаленные диски.

Хакеры сдампили базы вебсайта Министерства иностранных дел и культа Коста-Рики: https://ghostbin.com/paste/bwd7k/raw

В самой большой базе (SEGWEB), можно найти 731 записей, содержащие адреса электронной почты (на правительственном домене go.cr), имена, номера телефонов и хешированные пароли.

Появилась база данных владельцев новых авто 2018 года выпуска по Москве и Московской области.

В базе 121808 записей. Файл формата MS Excel, размером 23 Мб, содержит: номера телефонов, даты регистрационных действий, номера, марки и модели автомобилей, года выпуска, серии и номера регистрационных документов, серии и номера ПТС, ФИО/названия юр. лиц владельцев, номера паспортов, адреса и т.п.

Крупный китайский онлайн магазин Gearbest оставил в открытом доступе базы данных Elasticsearch с миллионами записей, содержащих персональные данные покупателей, информацию о заказах и данные платежей. 🔥🔥🔥

Всего было найдено три базы:

✅ База данных заказов – содержит купленные товары, адреса доставки, адреса электронной почты, имена, IP-адреса, платежную информацию.

✅ База данных платежных документов – содержит номера заказов, типы платежей, платежную информацию, имена, IP-адреса.

✅ База данных покупателей – содержит имена, даты рождения, адреса, телефонные номера, адреса электронной почты, IP-адреса, паспорта, пароли.

Суммарно во всех трех базах обнаружено более 1.5 млн. записей. Более того, база «живая», т.е. она постоянно обновляется и туда добавляются новые записи. 🤦🏻‍♂️🤦‍♂️🙈

Про то, как исследователи обнаруживают открытые базы данных Elasticsearch и MongoDB читайте тут: https://www.devicelock.com/ru/blog/obnaruzhenie-otkrytyh-baz-dannyh-mongodb-i-elasticsearch.html

В утекшей базе данных заказов магазина Gearbest попадаются весьма интересные товары 😄

Американская компания Ennis-Flint, производитель краски, материалов и оборудования для нанесения дорожной разметки, пытается через суд запретить использование своей коммерческой информации бывшим директором по исследованиям.

Уволившись из Ennis-Flint, бывший директор по R&D Robert Greer, устроился на работу в компанию GP Innovations. По заявлениям Ennis-Flint, бывший сотрудник прихватил с собой формулы, спецификации, подробную информацию о материалах и прочую документацию, составляющую коммерческую тайну Ennis-Flint.

По соглашению с компанией, во время работы на Ennis-Flint, Robert Greer не должен был подключать персональные устройства хранения информации (USB-флешки и т.п.) к своему служебному ноутбуку. Однако, в ходе следствия, выяснилось, что Greer скачал к себе на флешку около 4,000 документов с формулами и позже сохранил часть из них на своем личном ноутбуке и закачал в облачный сервис.

Криминалисты также смогли доказать, что Greer пытался сокрыть улики путем систематического удаления файлов с облачного хранилища и запуска специальных утилит уничтожения данных на ноутбуке.

В феврале 2019 года суд Северной Каролины вынес предварительное заключение по этому делу и запретил бывшему сотруднику хранить и использовать информацию Ennis-Flint.

Доподлинно не известно, какие технические средства используются в Ennis-Flint для контроля перемещения данных и используются ли таковые вообще, но задача предотвращения записи данных ограниченного доступа на внешние носители информации легко решается современными средствами – такими, как DeviceLock DLP (https://www.devicelock.com/ru/products/). Причем решается в полном объёме (с анализом содержимого в реальном времени в момент записи) уже лет десять минимум. 👍

Начальник отделения агентурно-оперативной работы полиции Перми и замначальника отдела по разработке программного обеспечения ГУ МВД России по Пермскому краю продавали персональные данные жителей. 🔥

Про двух этих полицейских стало известно во время расследования УФСБ по Пермскому краю в отношении трех пермяков, которые за 15 тыс. рублей в месяц предоставляли информацию о жителях Прикамья. На этом они заработали более 18 миллионов рублей.

В отношении всех участников преступной группы было возбуждено уголовное дело по статье «Неправомерный доступ к охраняемой информации» (ст. 272 УК РФ). Материалы уголовного дела переданы из ФСБ в краевой СУ СКР по Пермскому краю.

Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html

Очередная утечка из неправильно сконфигурированной базы данных Elasticsearch. На этот раз был обнаружен кластер Elasticsearch на американском сервере Amazon (AWS) размером 4.7 Гб, с 257,287 юридическими документами.

Точную принадлежность базы установить пока не удалось. Возможные владельцы данных — это американская компания Lex Machina (подразделение компании LexisNexis, занимающейся разработкой аналитического ПО для юристов) и индийская компания LexSphere (оказывает услуги юридического аутсорсинга американской LexVisio).

После уведомления всех возможных владельцев, база пропала из открытого доступа, но ни одна из компаний не ответила на уведомление и не признала владение базой.

Все судебные дела в базе относятся к периоду 2002-2010 гг. Около 40% документов имеют пометки «unpublished opinion» и «not designated for publication». Это специальное обозначение (можно перевести как «неопубликованное мнение») решений судов, которое используется в прецедентном праве для того, чтобы исключить цитирование данного решения в других делах.

Забавно, что журналисты, написавшие про обнаружение данной базы, приписали документам с отметками «unpublished opinion» статус не публичных (чуть ли не гриф «ограниченный доступ» 😄). Хотя на самом деле это просто юридический термин, имеющий значение для американских судов. 🤦‍♂️