В свободном доступе на специализированных форумах появилась база данных госслужащих Украины за 2018 год. Всего в базе 1430497 записей, содержащих: ФИО, место жительства, должность и место работы.

На прошлой неделе мы писали, что в открытом доступе нашлась база данных избирателей Украины за 2014 год: https://news.1rj.ru/str/dataleak/821

Продолжаем следить за историей с кражей информации из сети компании Citrix.

✅ Первая часть тут: https://news.1rj.ru/str/dataleak/814
✅ Вторая часть тут: https://news.1rj.ru/str/dataleak/822

Компания Resecurity Inc продолжает сливать, не понятно откуда взявшиеся у них, «доказательства» причастности к инциденту иранских хакеров, а также некоторые подробности самого инцидента.

Во-первых, Resecurity опубликовали список IP-адресов, с которых работали хакеры:

178.131.21*.19* – Иран
5.115.23*.11* – Иран
5.52.14*.23* – Иран

И список прокси серверов, которые они использовали:

23.237.104.90 – Канада (VPN)
194.59.251.12 – США (VPN)
185.244.214.198 – Польша
138.201.142.113 – Германия
92.222.252.193 – Франция (29 ноября 2018)
51.15.240.100 – Франция (7 декабря 2018) x 3 раза
185.220.70.135 – Германия (7 декабря 2018) x 5 раз

Во-вторых, Resecurity утверждают, что у них есть список из 31,738 аккаунтов сотрудников Citrix, которые были атакованы (перебор слабых паролей) и именно через эти аккаунты хакеры и проникли в сеть.

Ну и самое удивительное – у Resecurity есть скриншоты RDP-сессий, на которых видно, как хакеры (так утверждается) копируют файлы с серверов Citrix на удаленные диски. 😱

31,738 аккаунтов сотрудников Citrix, через которые хакеры проникли в сеть.

Скриншоты RDP-сессий, на которых видно, как копируются файлы с серверов Citrix на удаленные диски.

Хакеры сдампили базы вебсайта Министерства иностранных дел и культа Коста-Рики: https://ghostbin.com/paste/bwd7k/raw

В самой большой базе (SEGWEB), можно найти 731 записей, содержащие адреса электронной почты (на правительственном домене go.cr), имена, номера телефонов и хешированные пароли.

Появилась база данных владельцев новых авто 2018 года выпуска по Москве и Московской области.

В базе 121808 записей. Файл формата MS Excel, размером 23 Мб, содержит: номера телефонов, даты регистрационных действий, номера, марки и модели автомобилей, года выпуска, серии и номера регистрационных документов, серии и номера ПТС, ФИО/названия юр. лиц владельцев, номера паспортов, адреса и т.п.

Крупный китайский онлайн магазин Gearbest оставил в открытом доступе базы данных Elasticsearch с миллионами записей, содержащих персональные данные покупателей, информацию о заказах и данные платежей. 🔥🔥🔥

Всего было найдено три базы:

✅ База данных заказов – содержит купленные товары, адреса доставки, адреса электронной почты, имена, IP-адреса, платежную информацию.

✅ База данных платежных документов – содержит номера заказов, типы платежей, платежную информацию, имена, IP-адреса.

✅ База данных покупателей – содержит имена, даты рождения, адреса, телефонные номера, адреса электронной почты, IP-адреса, паспорта, пароли.

Суммарно во всех трех базах обнаружено более 1.5 млн. записей. Более того, база «живая», т.е. она постоянно обновляется и туда добавляются новые записи. 🤦🏻‍♂️🤦‍♂️🙈

Про то, как исследователи обнаруживают открытые базы данных Elasticsearch и MongoDB читайте тут: https://www.devicelock.com/ru/blog/obnaruzhenie-otkrytyh-baz-dannyh-mongodb-i-elasticsearch.html

В утекшей базе данных заказов магазина Gearbest попадаются весьма интересные товары 😄

Американская компания Ennis-Flint, производитель краски, материалов и оборудования для нанесения дорожной разметки, пытается через суд запретить использование своей коммерческой информации бывшим директором по исследованиям.

Уволившись из Ennis-Flint, бывший директор по R&D Robert Greer, устроился на работу в компанию GP Innovations. По заявлениям Ennis-Flint, бывший сотрудник прихватил с собой формулы, спецификации, подробную информацию о материалах и прочую документацию, составляющую коммерческую тайну Ennis-Flint.

По соглашению с компанией, во время работы на Ennis-Flint, Robert Greer не должен был подключать персональные устройства хранения информации (USB-флешки и т.п.) к своему служебному ноутбуку. Однако, в ходе следствия, выяснилось, что Greer скачал к себе на флешку около 4,000 документов с формулами и позже сохранил часть из них на своем личном ноутбуке и закачал в облачный сервис.

Криминалисты также смогли доказать, что Greer пытался сокрыть улики путем систематического удаления файлов с облачного хранилища и запуска специальных утилит уничтожения данных на ноутбуке.

В феврале 2019 года суд Северной Каролины вынес предварительное заключение по этому делу и запретил бывшему сотруднику хранить и использовать информацию Ennis-Flint.

Доподлинно не известно, какие технические средства используются в Ennis-Flint для контроля перемещения данных и используются ли таковые вообще, но задача предотвращения записи данных ограниченного доступа на внешние носители информации легко решается современными средствами – такими, как DeviceLock DLP (https://www.devicelock.com/ru/products/). Причем решается в полном объёме (с анализом содержимого в реальном времени в момент записи) уже лет десять минимум. 👍

Начальник отделения агентурно-оперативной работы полиции Перми и замначальника отдела по разработке программного обеспечения ГУ МВД России по Пермскому краю продавали персональные данные жителей. 🔥

Про двух этих полицейских стало известно во время расследования УФСБ по Пермскому краю в отношении трех пермяков, которые за 15 тыс. рублей в месяц предоставляли информацию о жителях Прикамья. На этом они заработали более 18 миллионов рублей.

В отношении всех участников преступной группы было возбуждено уголовное дело по статье «Неправомерный доступ к охраняемой информации» (ст. 272 УК РФ). Материалы уголовного дела переданы из ФСБ в краевой СУ СКР по Пермскому краю.

Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html

Очередная утечка из неправильно сконфигурированной базы данных Elasticsearch. На этот раз был обнаружен кластер Elasticsearch на американском сервере Amazon (AWS) размером 4.7 Гб, с 257,287 юридическими документами.

Точную принадлежность базы установить пока не удалось. Возможные владельцы данных — это американская компания Lex Machina (подразделение компании LexisNexis, занимающейся разработкой аналитического ПО для юристов) и индийская компания LexSphere (оказывает услуги юридического аутсорсинга американской LexVisio).

После уведомления всех возможных владельцев, база пропала из открытого доступа, но ни одна из компаний не ответила на уведомление и не признала владение базой.

Все судебные дела в базе относятся к периоду 2002-2010 гг. Около 40% документов имеют пометки «unpublished opinion» и «not designated for publication». Это специальное обозначение (можно перевести как «неопубликованное мнение») решений судов, которое используется в прецедентном праве для того, чтобы исключить цитирование данного решения в других делах.

Забавно, что журналисты, написавшие про обнаружение данной базы, приписали документам с отметками «unpublished opinion» статус не публичных (чуть ли не гриф «ограниченный доступ» 😄). Хотя на самом деле это просто юридический термин, имеющий значение для американских судов. 🤦‍♂️

Мы много пишем про обнаружение свободно доступных баз данных с персональными данными практически во всех странах мира, но новостей про российские базы данных, оставленные в открытом доступе почти нет (если не считать новость про «руку Кремля»: https://news.1rj.ru/str/dataleak/728).

Может сложиться неверное представление, что в России все замечательно и владельцы крупных российских онлайн-проектов подходят ответственно к хранению данных пользователей. Спешим развенчать данный миф на примере проекта DOC+. 😂

DOC+ (ООО «Новая Медицина») это российская медицинская компания, оказывающая услуги в области телемедицины, вызова врача на дом, хранения и обработки персональных медицинских данных.

Компания получила инвестиции от Яндекса и для хранения логов доступа клиентов к своему онлайн-сервису использует базу данных ClickHouse, также имеющую отношение к Яндексу (была создана и разрабатывается Яндексом).

К несчастью эта база ClickHouse свободно доступна, и кто угодно, зная IP-адрес может получить логи доступа. 😱

Из логов можно узнать информацию о местоположении некоторых пользователей, их IP-адреса, информацию об устройствах, с которых они подключались к сервису DOC+ и т.п.

Но это не самое интересное. Самое интересное ниже: 👇

В логах также можно найти персональные данные сотрудников ООО «Новая Медицина», а именно: ФИО, даты рождения, пол, ИНН, адреса прописки и фактического места проживания, телефоны, должности, адреса электронной почты и многое другое. Судя по логам, вся эта информация изначально хранится в системе 1С:Предприятие 8.3. 🔥🔥

Более того, в логах содержатся токены (API_USER_TOKEN) пользователей сервиса, с помощью которых можно получить их личные данные. 🔥🔥🔥

База данных «живая», т.е. дополняется новыми логами. По нашей информации, DOC+ были уведомлены, но до сих пор не предприняли никаких действий по закрытию доступа к базе. 🤦‍♂️

Для обнаружения открытых баз данных ClickHouse удобно использовать поисковик Shodan.io в связке со специальным скриптом ClickDown.

Про то, как исследователи обнаруживают открытые базы данных читайте тут.

За информацию спасибо читателю канала!

Пример того, как в логах можно найти персональные данные сотрудников DOC+

Всего в открытом доступе найдено 474 таблицы ClickHouse, с логами проекта DOC+

Из логов можно узнать информацию о местоположении пользователей DOC+, их IP-адреса, информацию об устройствах и т.п. А используя токен (API_USER_TOKEN) пользователя можно получить его персональные данные.

Сервис DOC+ наконец прикрыл доступ к базе данных ClickHouse (про это писали вчера https://news.1rj.ru/str/dataleak/841). И по 9000 и по 8123 портам доступа нет.

Да, осталась открытая MongoDB на дефолтном порту, но там ничего "интересного" нет...

Неизвестный «слил» свежие (за 2019 год) «сливы» дампов с Cit0day.in:
https://cloud.mail.ru/public/65rB/bwd6Y9PDg

Общий размер 257 МБ, всего 860 файлов. Среди дампов есть комбинации email+hash, email+password и смешанные (для которых не все пароли удалось восстановить из хешей).

Официальный ответ Doc+ на вчерашнюю новость о случившейся утечке персональных данных (https://news.1rj.ru/str/dataleak/841):

Компания ООО "Новая Медицина" (DOC+) является оператором персональных данных, в связи с чем принимает все требуемые законодательством меры защиты. В компании внедрены современные средства защиты, прошедшие необходимые процедуры сертификации со стороны ФСБ, ФСТЭК. Выстроены внутренние процессы управления и контроля за состоянием защищенности информационных систем, в которых обрабатываются персональные данные. Политика защиты и обработки персональных данных доступна к изучению на нашем сайте.

DOC+ использует сервис ClickHouse для отладки функционала доработок клиентских продуктов. В ClickHouse загружаются данные из тестовой и продуктивной среды. Сервис ClickHouse функционирует на серверах компании, доступ к которым жестко регламентирован и ограничен. Появление данных из ClickHouse в открытом доступе произошло из-за ошибки, связанной с человеческим фактором. Доступ к данным был оперативно закрыт 17.03.19 сразу после публикации об уязвимости. В компании регулярно проводится анализ уязвимостей системы защиты персональных данных, и данная ошибка была бы обязательно обнаружена и исправлена. К сожалению, мы не успели это сделать до обнаружения ошибки другими специалистами.

В открытом доступе временно оказался незначительный объем данных, который не может привести к негативным последствиям для сотрудников и пользователей сервиса DOC+. На момент инцидента в ClickHouse были данные в основном из тестовой среды. Медицинские данные клиентов, оказавшиеся в открытом доступе, являются обезличенными, идентифицировать субъект персональных данных по ним можно было бы только при получении всей базы данных целиком. Анализ истории обращений к базе данных и исходящего трафика с наших серверов позволяет утверждать, что утечка могла коснуться <1% всей информации.

По факту инцидента ведутся внутренние разбирательства. Мы разрабатываем и уже начали внедрять дополнительные меры, ещё более ужесточающие защиту данных. Мы сожалеем о произошедшем инциденте, но ещё раз подчеркиваем отсутствие негативных последствий для наших клиентов. Ваша безопасность и конфиденциальность являются приоритетом всей команды DOC+ с первых дней работы компании.

🤦🏼‍♂️🤦🏻‍♀️🙈

В астраханской области неудачно попытались сжечь архив документов с судебными решениями. Документы разлетелись по степи.