Проблема непреднамеренных утечек критичной информации (ключей доступа, паролей, ключей шифрования, API-ключей различных продуктов и т.п.) на сервис для хостинга IT-проектов и их совместной разработки GitHub, сейчас является одной из самых горячих тем обсуждения. 🔥
В конце прошлого года мы выпустили статью «Как предотвращать утечки конфиденциальных данных на GitHub» (https://www.devicelock.com/ru/blog/kak-predotvraschat-utechki-konfidentsialnyh-dannyh-na-github.html), в которой рассказали, как предотвращать непреднамеренные утечки посредством контроля загружаемых на GitHub данных. 👍
Университет штата Северная Каролина (NCSU), в период с 31 октября 2017 года по 20 апреля 2018 года, провел сканирование миллиардов файлов, размещенных в публичных репозиториях GitHub, на предмет наличия в них различных криптографических и API-ключей.
Всего, в более чем 100 тыс. репозиториях, NCSU удалось найти 575,456 ключей, из которых 201,642 были уникальные.
Полное исследование NCSU на английском языке тут: https://www.ndss-symposium.org/wp-content/uploads/2019/02/ndss2019_04B-3_Meli_paper.pdf
Обзор инцидентов, напрямую связанных с сервисом GitHub тут: https://www.devicelock.com/ru/blog/utechki-cherez-github.html
В конце прошлого года мы выпустили статью «Как предотвращать утечки конфиденциальных данных на GitHub» (https://www.devicelock.com/ru/blog/kak-predotvraschat-utechki-konfidentsialnyh-dannyh-na-github.html), в которой рассказали, как предотвращать непреднамеренные утечки посредством контроля загружаемых на GitHub данных. 👍
Университет штата Северная Каролина (NCSU), в период с 31 октября 2017 года по 20 апреля 2018 года, провел сканирование миллиардов файлов, размещенных в публичных репозиториях GitHub, на предмет наличия в них различных криптографических и API-ключей.
Всего, в более чем 100 тыс. репозиториях, NCSU удалось найти 575,456 ключей, из которых 201,642 были уникальные.
Полное исследование NCSU на английском языке тут: https://www.ndss-symposium.org/wp-content/uploads/2019/02/ndss2019_04B-3_Meli_paper.pdf
Обзор инцидентов, напрямую связанных с сервисом GitHub тут: https://www.devicelock.com/ru/blog/utechki-cherez-github.html
Киберпротект
DLP-система Кибер Протего – защита от утечки конфиденциальных данных
DLP-система Кибер Протего предотвращает утечку конфиденциальной информации, контролирует передачу данных и позволяет обнаруживать нарушения политики их хранения.
Не только в России финансовые данные находятся в открытом доступе – см. наш отчет по базе данных компании Финсервис: https://news.1rj.ru/str/dataleak/863
В открытом доступе обнаружили полностью открытую базу данных размером 2.1 Тб, содержащую 1,933,515,811 банковских транзакций за 2018 год из американского банка! 🔥🔥🔥
Все транзакции были категоризированы по тратам/доходам и явно представляли собой модель для машинного обучения.
В настоящий момент база данных уже недоступна и скоро будут подробности…
В открытом доступе обнаружили полностью открытую базу данных размером 2.1 Тб, содержащую 1,933,515,811 банковских транзакций за 2018 год из американского банка! 🔥🔥🔥
Все транзакции были категоризированы по тратам/доходам и явно представляли собой модель для машинного обучения.
В настоящий момент база данных уже недоступна и скоро будут подробности…
Telegram
Утечки информации
В открытом доступе была обнаружена база данных MongoDB с персональными данными заемщиков из Южного, Уральского и Приволжского федеральных округов. 🔥🔥🔥
По косвенным признакам был идентифицирован возможный владелец базы - Компания Финсервис (finservice.pro).…
По косвенным признакам был идентифицирован возможный владелец базы - Компания Финсервис (finservice.pro).…
Управление здравоохранения Липецкой области на портале госзакупок (zakupki.gov.ru), объявляя на этот год аукционы на "оказание медицинских услуг в неотложной форме", выложило персональные данные пациентов (ФИО, домашний адрес, диагноз, код по МКБ, профиль и тд.).
Всего обнаружено восемь закупок с открытыми личными данными пациентов начиная с 2018 года.
Всего обнаружено восемь закупок с открытыми личными данными пациентов начиная с 2018 года.
Крупная утечка файлов из СБУ, МВД и МИД Украины. 🔥🔥
Для скачивания доступен архив, размером 2.45 Гб: http://odesa.md/ (прямая ссылка: https://mega.nz/#!x44zwKIZ!LbCumq8ERBFUcyGxicfbGSjKWQsu9Nt5OPxp39HWdyg).
Внутри архива находятся файлы (более 16 тыс.) в формате MS Word, MS Excel, JPG, общим размером 2.6 Гб.
Большинство документов относятся к 2014-2016 гг., попадаются и более ранние.
Видно, что некоторые документы скачивались напрямую с компьютеров, вместе со всеми стандартными директориями (типа Desktop, “Мои документы” и т.п.) и даже установленными программами ("Производственный календарь 2017").
Разумеется, украинская служба безопасности (СБУ) уже успела сделать стандартное заявление «вы все врете», объявив все документы «фейками».
Для скачивания доступен архив, размером 2.45 Гб: http://odesa.md/ (прямая ссылка: https://mega.nz/#!x44zwKIZ!LbCumq8ERBFUcyGxicfbGSjKWQsu9Nt5OPxp39HWdyg).
Внутри архива находятся файлы (более 16 тыс.) в формате MS Word, MS Excel, JPG, общим размером 2.6 Гб.
Большинство документов относятся к 2014-2016 гг., попадаются и более ранние.
Видно, что некоторые документы скачивались напрямую с компьютеров, вместе со всеми стандартными директориями (типа Desktop, “Мои документы” и т.п.) и даже установленными программами ("Производственный календарь 2017").
Разумеется, украинская служба безопасности (СБУ) уже успела сделать стандартное заявление «вы все врете», объявив все документы «фейками».
В открытом доступе обнаружена база данных Elasticsearch российского информационного портала «ИНВЕСТИЦИОННЫЕ ПРОЕКТЫ» (investprojects.info).
На сайте проекта про эту базу пишут так: «Информация о планируемых и реализуемых стройках с проверенными контактами Инвесторов, проектировщиков, подрядчиков и т.д. Проекты с инвестициями от 100 млн. руб. Более 12 000 проектов на сегодня из них 8 000 с частными инвестициями. 30 проектов обновляем и 20 новых добавляем в день. 1 000 на ранней стадии реализации. Контакты 22 тыс инвесторов, 13 тыс подрядчиков/проектировщиков.»
Доступ к базе предполагался только для зарегистрированных пользователей, но закрыть Elasticsearch от посторонних глаз никто не догадался.
На сайте проекта про эту базу пишут так: «Информация о планируемых и реализуемых стройках с проверенными контактами Инвесторов, проектировщиков, подрядчиков и т.д. Проекты с инвестициями от 100 млн. руб. Более 12 000 проектов на сегодня из них 8 000 с частными инвестициями. 30 проектов обновляем и 20 новых добавляем в день. 1 000 на ранней стадии реализации. Контакты 22 тыс инвесторов, 13 тыс подрядчиков/проектировщиков.»
Доступ к базе предполагался только для зарегистрированных пользователей, но закрыть Elasticsearch от посторонних глаз никто не догадался.
Жители Ростовской области обнаружили на помойке документы с личными данными пациентов районной больницы.
Среди документов есть данные паспортов и свидетельств о рождении, а также медицинских полисов. Кроме того там есть отчетность центральной районной больницы Багаевского района.
Прокуратура Багаевского района Ростовской области возбудила административное дело.
Среди документов есть данные паспортов и свидетельств о рождении, а также медицинских полисов. Кроме того там есть отчетность центральной районной больницы Багаевского района.
Прокуратура Багаевского района Ростовской области возбудила административное дело.
Forwarded from DeviceLock RU
Сегодня в 17:00 (МСК) поговорим в прямом эфире про "Утечки персональных данных. Проблема защиты данных пациентов и врачей в телемедицинских проектах."
Основатель и технический директор DeviceLock Ашот Оганесян, обсудит с ведущим недавние случаи с телемедицинскими сервисами DOC+ и "Доктор рядом", про которые он писал в Telegram-канале "Утечки информации" (@dataleak).
Подключайтесь к трансляции:
https://evercare.ru/utechki-personalnykh-dannykh-problema-zashchity-da
Основатель и технический директор DeviceLock Ашот Оганесян, обсудит с ведущим недавние случаи с телемедицинскими сервисами DOC+ и "Доктор рядом", про которые он писал в Telegram-канале "Утечки информации" (@dataleak).
Подключайтесь к трансляции:
https://evercare.ru/utechki-personalnykh-dannykh-problema-zashchity-da
Evercare.ru
Подключайтесь к трансляции! Утечки персональных данных
С развитием информационных систем угрозы, исходящие от сотрудников организаций (инсайдеров), давно стали очень серьезными, а ущерб от их действий исчисляется десятками миллиардов долларов. Также угрозу представляет сообщество людей, целенаправленно занима
Группировка хакеров #Pryzraky выложила в свободный доступ базу данных логинов, адресов электронной почты и паролей клиентов итальянского производителя стрелкового оружия Chiappa Firearms.
Интересно то, что пароли от аккаунтов (https://www.chiappafirearms.com/login-user.php) хранятся в текстовом виде и лишь слегка модифицированы (перекодированы в Base64). 🤦♂️🤦🏻♂️
Всего утекло 255 учетных записей: https://www.hastebin.com/dodepuxuqi.nginx
Интересно то, что пароли от аккаунтов (https://www.chiappafirearms.com/login-user.php) хранятся в текстовом виде и лишь слегка модифицированы (перекодированы в Base64). 🤦♂️🤦🏻♂️
Всего утекло 255 учетных записей: https://www.hastebin.com/dodepuxuqi.nginx
Волгоградская межрайонная природоохранная прокуратура выявила нарушения в деятельности Комитета природных ресурсов, лесного хозяйства и экологии Волгоградской области. Было вынесено постановление о возбуждении административного производства.
Установлено, что в открытом доступе, на официальном сайте Комитета, был размещен план проведения проверок юридических лиц и индивидуальных предпринимателей на 2019 год. Документ, в котором содержались адреса регистрации физических лиц, был доступен для просмотра и скачивания любым пользователем Интернет.
Мировой суд назначил виновному сотруднику штраф 10 тыс. рублей.
Установлено, что в открытом доступе, на официальном сайте Комитета, был размещен план проведения проверок юридических лиц и индивидуальных предпринимателей на 2019 год. Документ, в котором содержались адреса регистрации физических лиц, был доступен для просмотра и скачивания любым пользователем Интернет.
Мировой суд назначил виновному сотруднику штраф 10 тыс. рублей.
Forwarded from DeviceLock RU
Запись вчерашней беседы про проблемы защиты медицинских и персональных данных: https://www.youtube.com/watch?v=a8UlusVy2qo
YouTube
Утечки персональных данных. Проблема защиты данных пациентов и врачей в телемедицинских проектах
В гостях в студии Evercare Ашот Оганесян - Co-founder, Board Member в Idsef Community и Co-founder & CTO в DeviceLock.
Ведущий программы - Олег Смирнов
Ведущий программы - Олег Смирнов
Китайское мобильное приложение для знакомств геев и лесбиянок Rela допустило утечку данных пользователей, оставив незащищенным сервер приложения с базой данных. 👩❤️👩👨❤️💋👨🌈
В базе данных находилось 5.3 млн. пользователей (имена, даты рождения, рост, вес, сексуальные предпочтения, национальность, геолокация) и более 20 млн. «моментов» (обновлений статусов и т.п.).
Кроме того, в среднем за день в системе фиксировалось от 240 млн. до 1 млрд. частных сообщений (от пользователя к пользователю). 🔥
В апреле стало известно, что другое мобильное приложение для гей-знакомств Grindr отдает сторонним компаниям ВИЧ-статус и дату тестирования, а также GPS-координаты пользователей: https://news.1rj.ru/str/dataleak/266
В базе данных находилось 5.3 млн. пользователей (имена, даты рождения, рост, вес, сексуальные предпочтения, национальность, геолокация) и более 20 млн. «моментов» (обновлений статусов и т.п.).
Кроме того, в среднем за день в системе фиксировалось от 240 млн. до 1 млрд. частных сообщений (от пользователя к пользователю). 🔥
В апреле стало известно, что другое мобильное приложение для гей-знакомств Grindr отдает сторонним компаниям ВИЧ-статус и дату тестирования, а также GPS-координаты пользователей: https://news.1rj.ru/str/dataleak/266
Telegram
Утечки информации
Мобильное приложение для гей-знакомств Grindr отдает сторонним компаниям ВИЧ-статус и дату тестирования, а также GPS-координаты пользователей.
В частности, эту чувствительную информацию, без согласия пользователей Grindr, получают компании Apptimize (занимается…
В частности, эту чувствительную информацию, без согласия пользователей Grindr, получают компании Apptimize (занимается…
Читатель канала сообщает, что «Файл с персональными данными выпускников московских ВУЗов за 2010-2018», про который мы писали вчера (https://news.1rj.ru/str/dataleak/883), это парсинг данных с сайта Российского университета транспорта (МИИТ). 👍
Перебором «Табельных номеров» можно получить до полумиллиона записей. Например: http://miit.ru/portal/page/portal/miit/pers?id_e_pi=666666
Перебором «Табельных номеров» можно получить до полумиллиона записей. Например: http://miit.ru/portal/page/portal/miit/pers?id_e_pi=666666
Telegram
Утечки информации
Файл с персональными данными выпускников московских ВУЗов за 2010-2018 «гуляет» в свободном доступе. 198652 записей, содержащих ФИО, даты рождения, названия ВУЗов, номера телефонов, названия кафедр и т.п.
Не такая уж и утечка, но просто информация к размышлению по поводу популярности в соцсетях. 😄
Всплыла небольшая открытая база данных MongoDB, использующаяся для продвижения в Instagram аккаунтов модельного агенства SIGMA (sigmafamily.ru, sigma-m.com):
{
"db" : "instaparse",
"collections" : NumberInt(10),
"views" : NumberInt(0),
"objects" : NumberInt(293170),
"avgObjSize" : 166.12929358392742,
"dataSize" : 48704125.0,
"storageSize" : 13754368.0,
"numExtents" : NumberInt(0),
"indexes" : NumberInt(10),
"indexSize" : 3604480.0,
"fsUsedSize" : 9352089600.0,
"fsTotalSize" : 15426048000.0,
"ok" : 1.0
}
Продвигаются аккануты:
✅ https://www.instagram.com/sigma_management/
✅ https://www.instagram.com/sigmakids_samara/
✅ https://www.instagram.com/sigma__krsk/
✅ https://www.instagram.com/sigma__ulanude/
✅ и более 70 других.
В базе 18 пользователей от чьего имени идет продвижение, из них на текущий момент только 3 активных. У всех пользователей одинаковый пароль (хранится в текстовом виде) от Instagram.
С октября 2018 сделано более 12 тыс. постов и 21 тыс. сторис.
Управлением явно занимаются аккаунты:
✅ https://www.instagram.com/Dumai_Golovoi/
✅ https://www.instagram.com/alexkozh/
Всплыла небольшая открытая база данных MongoDB, использующаяся для продвижения в Instagram аккаунтов модельного агенства SIGMA (sigmafamily.ru, sigma-m.com):
{
"db" : "instaparse",
"collections" : NumberInt(10),
"views" : NumberInt(0),
"objects" : NumberInt(293170),
"avgObjSize" : 166.12929358392742,
"dataSize" : 48704125.0,
"storageSize" : 13754368.0,
"numExtents" : NumberInt(0),
"indexes" : NumberInt(10),
"indexSize" : 3604480.0,
"fsUsedSize" : 9352089600.0,
"fsTotalSize" : 15426048000.0,
"ok" : 1.0
}
Продвигаются аккануты:
✅ https://www.instagram.com/sigma_management/
✅ https://www.instagram.com/sigmakids_samara/
✅ https://www.instagram.com/sigma__krsk/
✅ https://www.instagram.com/sigma__ulanude/
✅ и более 70 других.
В базе 18 пользователей от чьего имени идет продвижение, из них на текущий момент только 3 активных. У всех пользователей одинаковый пароль (хранится в текстовом виде) от Instagram.
С октября 2018 сделано более 12 тыс. постов и 21 тыс. сторис.
Управлением явно занимаются аккаунты:
✅ https://www.instagram.com/Dumai_Golovoi/
✅ https://www.instagram.com/alexkozh/
В открытом доступе обнаружена база данных Elasticsearch с заказами квестов «Клаустрофобия» (claustrophobia.com).
В базе более 1 млн. записей, часть из них содержит мобильные телефоны, адреса электронной почты, имена и т.п.
В том числе и фотографии участников квестов. Админ этого канала на одной из фотографий признал себя, хоть и со спины. 😱😂
Подробности будут завтра. 🔥
В базе более 1 млн. записей, часть из них содержит мобильные телефоны, адреса электронной почты, имена и т.п.
В том числе и фотографии участников квестов. Админ этого канала на одной из фотографий признал себя, хоть и со спины. 😱😂
Подробности будут завтра. 🔥
База заказов «Клаустрофобии» прикрылась. Мы оповестили их по электронной почте и через ФБ примерно в 9 утра по Москве.
Автопроизводитель Toyota сообщает, что неизвестным злоумышленникам удалось получить доступ к серверам, на которых хранилась информация около 3,1 миллиона японских владельцев Toyota и Lexus.
Затронутые атакой серверы принадлежат компаниям-диллерам: Toyota Tokyo Sales Holdings Co., Ltd., Tokyo Toyopet Co., Ltd., Nets Toyota Tokyo Co., Tokyo Tokyo Motor Co., Ltd., and Toyota Tokyo Corolla Co., Ltd., Jamil Shoji Co., Ltd. (Lexus Nerima), Lexus Koishikawa Sales Co., Ltd. и Toyota West Tokyo Corolla Co., Ltd.
Никаких других подробностей Toyota не раскрывает.
Затронутые атакой серверы принадлежат компаниям-диллерам: Toyota Tokyo Sales Holdings Co., Ltd., Tokyo Toyopet Co., Ltd., Nets Toyota Tokyo Co., Tokyo Tokyo Motor Co., Ltd., and Toyota Tokyo Corolla Co., Ltd., Jamil Shoji Co., Ltd. (Lexus Nerima), Lexus Koishikawa Sales Co., Ltd. и Toyota West Tokyo Corolla Co., Ltd.
Никаких других подробностей Toyota не раскрывает.
База данных Elasticsearch с двумя индексами phobia-master (3.2 Гб) и phobia-sandbox (2.9 Мб), предположительно принадлежащая «Клаустрафобии» (claustrophobia.com), была найдена в открытом доступе. 🙈
Кто угодно, зная IP-адрес, мог беспрепятственно получить доступ к данным через обычный браузер и даже полностью скачать всю базу. 🤦♂️
Судя по данным поисковика Shodan, база впервые была обнаружена 03.02.2019 03:09:00. Доступ к ней был закрыт 31.03.2019, после нашего уведомления (по электронной почте и через Facebook), в промежутке между 12:00 и 16:30 (МСК).
В базе содержались данные (всего чуть более 1 млн. записей) по заказам:
✅ Дата заказа
✅ Дата и время квеста
✅ Название квеста
✅ Место (страна и город) квеста
✅ Имя, телефон и адрес электронной почты человека, делавшего заказ
✅ Стоимость (включая предоплату, скидки и промокоды), валюта платежа и тип оплаты (наличные, карта)
✅ Время прохождения квеста
✅ Количество игроков
✅ Ссылка на совместную фотографию участников квеста
В базе была информация по квестам из многих стран, за период с 2013 по 2019 гг:
✅ Россия
✅ Украина
✅ Белоруссия
✅ Эстония
✅ Германия
✅ Испания
✅ Франция
✅ Голландия
✅ Италия
✅ и т.д.
Например, из Германии было более 10 тыс. записей.
Подлинность базы подтверждается как минимум тем, что админ данного канала увидел информацию про квест (и фотографию!), в котором он принимал участие в 2014 году. 😂👍
Кто угодно, зная IP-адрес, мог беспрепятственно получить доступ к данным через обычный браузер и даже полностью скачать всю базу. 🤦♂️
Судя по данным поисковика Shodan, база впервые была обнаружена 03.02.2019 03:09:00. Доступ к ней был закрыт 31.03.2019, после нашего уведомления (по электронной почте и через Facebook), в промежутке между 12:00 и 16:30 (МСК).
В базе содержались данные (всего чуть более 1 млн. записей) по заказам:
✅ Дата заказа
✅ Дата и время квеста
✅ Название квеста
✅ Место (страна и город) квеста
✅ Имя, телефон и адрес электронной почты человека, делавшего заказ
✅ Стоимость (включая предоплату, скидки и промокоды), валюта платежа и тип оплаты (наличные, карта)
✅ Время прохождения квеста
✅ Количество игроков
✅ Ссылка на совместную фотографию участников квеста
В базе была информация по квестам из многих стран, за период с 2013 по 2019 гг:
✅ Россия
✅ Украина
✅ Белоруссия
✅ Эстония
✅ Германия
✅ Испания
✅ Франция
✅ Голландия
✅ Италия
✅ и т.д.
Например, из Германии было более 10 тыс. записей.
Подлинность базы подтверждается как минимум тем, что админ данного канала увидел информацию про квест (и фотографию!), в котором он принимал участие в 2014 году. 😂👍