Данные членов филиала ассоциации выпускников программы повышения квалификации академии ФБР в Северной Каролине.

13-го апреля мы обнаружили открытую базу данных Elasticsearch, содержащую данные проекта Правительства Москвы - «Московское долголетие» (www.mos.ru/city/projects/dolgoletie/). 🤦‍♂️

В базе находилось более 75108 строк с информацией об участниках программы за период с 05.10.2018 до 15.02.2019 года включительно (из них 7160 строк за 2019 год):

✅ ФИО жителей Москвы
✅ логин в систему
✅ должность
✅ тип активности (например, «Английский язык», «Изобразительное искусство», «Скандинавская ходьба» и т.п.)
✅ место (название учреждения, адрес и GPS-координаты) занятий
✅ разбиение по группам активности (список ФИО с привязкой к группе)


В 22:36 (МСК) отослали оповещение в адрес техподдержки проекта (https://news.1rj.ru/str/dataleak/950) и на следующий день около 9:30 индекс (activity) с данными исчез из базы (сам сервер при этом продолжал быть доступным). К 11:00 сервер с базой данных исчез из открытого доступа. 😂 Сегодня в 12:20 был получен ответ от техподдержки: "Благодарим Вас за предоставленную информацию. Информация передана соответствующим специалистам и руководству."

По косвенным признакам было сделано предположение, что с середины февраля 2019 г. данный проект «переехал» на другой сервер, а обнаруженный сервер с данными был просто забыт.

Первый раз Shodan зафиксировал этот Elasticsearch в открытом доступе - 24.02.2019.

Информация из открытой базы данных проекта «Московское долголетие»

Информация об участниках программы «Московское долголетие»

Наверное, все знают истории про то, как один человек оставил заявку на кредитную карту (ипотеку, потребкредит и т.п.), а потом ему начинают названивать из других банков с подобными предложениями? 😂

Вот, например, «Бинбанк» собирал данные желающих открыть карту «Эlixir», а «умельцы» нашли способ как эти данные утащить прямо из заполненных форм на сайте банка.

Выяснилось, что заполненные формы с персональными данными доступны по URL вида:

http://app.binbank.ru/g/Nxxxxxxx

причем первый символ всегда цифра 2 или 7, остальные – латинские буквы, что значительно упростило задачу перебора.

Пример найденных перебором URL:

1️⃣ http://app.binbank.ru/g/2EmEqkcz
2️⃣ http://app.binbank.ru/g/7EAEaAEu

Среди прочего в формах содержится:

✅ ФИО
✅ паспортные данные (серия, номер, кем и когда выдан)
✅ телефон
✅ адрес проживания
✅ и т.п.

По нашим данным, уже нашли около 1000 форм. 🔥

Похоже, что «Бинбанк» прикрыл формы, через которые злоумышленники вытаскивали персональные данные граждан, оставлявших заявки на открытие карт «Эlixir» (https://news.1rj.ru/str/dataleak/957).

В понедельник компания DeviceLock сообщила о выявленной утечке данных клиентов-физлиц, подававших в свое время заявки на получение кредитной карты Бинбанка «Эlixir».

По заявителям доступны ФИО, паспортные данные, телефон и адрес проживания. Эти данные не находятся в открытом доступе, однако извлечь их можно методом подбора буквенно-цифровых сочетаний, поясняется в сообщении компании.

Как пояснил “Ъ” основатель DeviceLock Ашот Оганесян, скорее всего, имела место уязвимость API-механизма, через который сайт и мобильные приложения получают доступ к внутренней системе банка для передачи заявок на выпуск карт «Эlixir». По его словам, в настоящее время известно, что уже найдено более 1000 анкет.

https://www.kommersant.ru/doc/3945472

В конце марта была обнаружена открытая база данных Elasticsearch, с данными заказов интернет-магазина компании «БСК» - поставщика профессиональных продуктов строительного назначения (bsc.im).

В базе содержалось более 10 тыс. записей:

✅ имена покупателей
✅ адреса электронной почты
✅ адреса доставки (или самовывоза) товара
✅ суммы заказов (и стоимость доставки)
✅ типы платежей (наличные, карта)
✅ заказанные товары


В ответ на наше уведомление пришел ответ:

Большое спасибо. Недавно пришлось экстренно эвакуироваться из Яндекс облака и в спешке забыли закрыть порт.

Подробные персональные данные пользователей сайтов оплатагибдд.рф, paygibdd.ru, gos-oplata.ru, штрафов.net и oplata-fssp.ru неопределённое время находились в открытом доступе, сообщили D-Russia.ru в российской компании Devicelock, производителе средств защиты от утечек информации Devicelock DLP.

«В доступе оказались все подробности платежей: номер постановления о штрафе, государственный номерной знак автомобиля, номер исполнительного производства при платеже на сайте службы судебных приставов, первые и последние цифры банковских карт, через какой платёжный сервис произведена оплата и пр.», – говорит основатель и технический директор DeviceLock Ашот Оганесян.

Число записей о платежах Оганесян оценивает в сотни тысяч. Только в один случайно выбранный день апреля открытыми оказались сведения о 40 тысячах платежей.

http://d-russia.ru/v-otkrytom-dostupe-okazalis-podrobnye-dannye-o-sotnyah-tysyach-platezhej-grazhdan-v-gibdd-i-fssp.html

Немного подробностей про открытую базу с данными платежей в ГИБДД и ФССП (https://news.1rj.ru/str/dataleak/961). 🔥🔥🔥

Впервые база «засветилась» в Shodan 24.02.2019. Обнаружена нами она была поздно ночью 12.04.2019. Утром 13.04.2019 мы отправили оповещение по адресам support@gos-oplata.ru, support@oplata-fssp.ru, support@paygibdd.ru, но ответа не получили. Сервер тихо убрали из открытого доступа 13.04.2019 около 15:20-15:45 (МСК).

База содержала в себе логи (да-да, опять чувствительные данные утекают через логирование) информационной системы (ИС), а уже в логах и находилась вся подробная информация, о которой написано в статье выше.

Хорошая новость состоит в том, что логи хранились только, начиная с 28.02.2019, а не за все время работы ИС. В некоторых индексах данные были с 17.03.2019.

Вторая хорошая новость – данные платежных карт из платежных шлюзов не передавались в данную ИС, а потому и не сохранялись в ее логах. Поле cardnumber имело вид: 123456********1234.

Больше хороших новостей нет. 🤦‍♂️🤦🏻‍♂️🙈

Вебсайты оплатагибдд.рф, paygibdd.ru, gos-oplata.ru, штрафов.net, oplata-fssp.ru и сервер с открытой базой Elasticsearch

5-го апреля нами была обнаружена открытая база данных MongoDB содержащая информацию проекта «Биржа эвакуаторов». На сайте проекта all-evak.ru написано: “Проект объединяет максимальное количество эвакуаторов и диспетчерских служб по всей России”.

Мы сразу оповестили владельцев базы и 8-го числа получили ответ: “Спасибо большое за информацию о открытой базе. К сожалению, не уследили за тем, что порт открыт для внешнего доступа. На данный момент базу удалили.”

В базе содержались все данные по вызовам эвакуаторов по всей стране (еще были обнаружены данные по Казахстану):

✅ адрес и GPS-координаты откуда забирать автомобиль
✅ адрес и GPS-координаты куда везти автомобиль
✅ описание (например, “Lexus RX 350, колеса не блокированы”
✅ имя клиента (иногда имя и отчество)
✅ телефон клиента
✅ дата и время заказа

На момент обнаружения в базе было 1700 заказов, на момент закрытия – 2362.

Удивительно, но первая дата фиксации этой базы в открытом доступе поисковиком Shodan - 18.08.2017! 🤦‍♂️

13-го апреля мы обнаружили открытую базу данных PostgreSQL информационной системы «САУ-ГИС» (http://cbt.ru/product/soft/sau-gis.html).

Компания-разработчик ИС была немедленно проинформирована об инциденте (дважды!), однако база исчезла из открытого доступа только 15-го (видимо сказались выходные). 🙈

По нашей информации в базе содержались далеко не тестовые данные, а самая актуальная информация, включая данные за 2019 год.

Доступ к данным в этом экземпляре PostgreSQL даже не требовал никакого дополнительного ПО, т.к. на 9000 порту удобно расположилось WEB API: 🤦🏻‍♂️

http://95.174.xxx.xx:9000

В базе содержалось:

✅ пользователи ИС (ФИО, логины, пароли в открытом виде, номера телефонов)
✅ логи ИС (какой пользователь когда входил в систему)
✅ логины и пароли (в открытом виде) доступа к внутренним GEO-серверам
✅ метаинформация по внутренним документам (номера, названия, владелец, дата, т.п.)
✅ классификатор документов (ДСП и т.п.)
✅ адреса объектов в г. Таганрог
✅ многое другое.

В Саратове ждет суда бывшая сотрудница полиции, которую обвинили в получении взятки за предоставление ритуальной службе оперативной информации.

По данным следствия, с 18 марта по 28 декабря 2016 года помощник оперативного дежурного (по службе 02) УМВД по Саратову получила взятку 81 тысячу рублей.

Про возбуждение этого уголовного дела мы писали еще в апреле 2018: https://news.1rj.ru/str/dataleak/307

16.04 в 0:40 (МСК) мы оповестили компанию MST Lab (www.mstlab24.ru) о том, что в открытом доступе был найден сервер с Elasticsearch, в индексах которого содержались данные их продукта «MST Lab 24».

С сайта компании:
Сервис для повышения продаж и увеличения эффективности бизнеса. MST Lab 24 – это мобильные и web приложения для организации выездных сотрудников и их коллег в офисе.

В открытом доступе находились отчеты по стоимости различных продуктов питания в магазинах по всей России, содержащие ссылки (файлы физически расположены в облаке Amazon) на фотографии ценников, адреса магазинов, штрих-коды продуктов.

Помимо отчетов по продуктам, в индексах были обнаружены ФИО, адреса электронной почты, телефоны и должности сотрудников различных магазинов и компаний-поставщиков.

Сегодня сервер Elasticsearch «тихо» исчез из свободного доступа. 😎

Хакеры из группировки THack3forU опять заявляют о том, что они нашли и уничтожили очередную российскую базу данных. 🙈

На этот раз жертвой киберпреступников стал сервер floyd.pilot-gps.ru с открытой базой данных MongoDB мобильного приложения системы «ПИЛОТ» (платформа для контроля за коммерческим автопарком, www.skyelectronics.ru/pilot и www.pilot-gps.ru).

Хакеры заявляют, что они удалили 400 Гб данных из этой базы. 😱

Мы впервые обнаружили данную базу данных 03.04.2019 и на тот момент в ней содержалось 95 Гб данных. Последний раз перед взломом, эту базу наша автоматизированная система мониторинга зафиксировала в открытом доступе 17.04.2019 и тогда в ней было 119 Гб информации. В данный момент в базе содержится 4.7 Гб. Исходя из этого мы можем подтвердить, что киберпреступники действительно уничтожили данные. 😂

В базе не содержалось и не содержится персональных данных, а только результаты работы системы мониторинга (цифровые идентификаторы устройств, временные метки, GPS-координаты и прочие числовые данные).

База находилась в открытом доступе как минимум с 12.01.2019.

Хочется в очередной раз напомнить компаниям о важности регулярного внешнего аудита и мониторинга своих ИС. 😎

Обращайтесь, поможем: 👇
www.devicelock.com/ru/company/offices.html


Недавно вышла статья, в которой описан «деанон» членов этой хакерской группировки: https://pikabu.ru/story/mamkinyi_khakeryi_na_strazhe_nezalezhnosti_6629474

«Мамкины» хакеры из THack3forU нашли очередную открытую базу MongoDB и стерли в ней данные

Медицинский центр по лечению от наркозависимости «Steps To Recovery» из штата Пенсильвания (США) оставил в открытом доступе данные пациентов за 2016-2018 гг. 🤦‍♂️

Исследователь безопасности xxdesmus (Justin Paine) 24-го марта обнаружил в открытом доступе сервер Elasticsearch с двумя индексами общим размером около 1.45 Гб, содержащими примерно 4.9 млн записей. 🔥

При детальном анализе выяснилось, что в индексах содержались данные 146,316 пациентов: имена, возраст, текущие и прошлые адреса проживания, телефоны, адреса электронной почты, имена членов семьи, стоимость лечения, коды лечения/диагностики (CPT-коды), а также в каком именно медицинском центре проводились те, или иные процедуры. Самое забавное, что в базе содержалась даже информация о политических взглядах пациентов. 😂

База данных «тихо» исчезла из свободного доступа 25-го марта, после письма хостинг провайдеру, на чьей площадке находился сервер с Elasticsearch. Медицинский центр на уведомления так и не ответил (типичное поведение, что у нас, что там).

Данные 146 тыс. американских пациентов, проходивших лечение от наркозависимости, отказались в свободном доступе.

Хакер 0x55Taylor выложил в свободный доступ два архива документов, полученных с сервера мексиканского посольства в Гватемале:

1️⃣ RandomShit.zip (16 Мб) – содержит дампы MySQL и списки пользователей (с хешами паролей) с домена sre.gob.mx (МИД Мексики).

2️⃣ files.zip (5.4 Гб) – содержит 4,870 файлов, в основном сканы различных документов (паспорта с визами, удостоверения личности, свидетельства о рождении, дипломатические письма, распечатки электронной почты, заявления на визу, счета на оплату и многое другое) в формате PDF, TIFF, PSD и JPG.

Мы проанализировали данную утечку:

✅ В распакованном виде все файлы из files.zip занимают 6.28 Гб.

✅ Большинство файлов (4213), содержащих сканы документов и фотографии людей датированы 2018 годом (сентябрь-декабрь).

✅ 555 файлов, содержащих сканы документов и фотографии людей создано в 2019 году (январь-апрель).

✅ 102 файла не содержали сканов документов или фотографий людей.

✅ Само содержимое документов относится к 2016-2019 гг. (по апрель включительно).

✅ С помощью технологии определения реального типа файла по его содержимому, встроенной в DeviceLock DLP, было найдено 36 PDF-файлов на самом деле являющихся DOC, BMP, XLS и XLSX-документами.

✅ Исходя из анализа содержимого документов можно утверждать, что взлом сервера и слив документов произошел между 11.04.2019 и 15.04.2019.

С сервера мексиканского посольства в Гватемале утекло несколько тысяч сканов документов. 😂