В понедельник компания DeviceLock сообщила о выявленной утечке данных клиентов-физлиц, подававших в свое время заявки на получение кредитной карты Бинбанка «Эlixir».

По заявителям доступны ФИО, паспортные данные, телефон и адрес проживания. Эти данные не находятся в открытом доступе, однако извлечь их можно методом подбора буквенно-цифровых сочетаний, поясняется в сообщении компании.

Как пояснил “Ъ” основатель DeviceLock Ашот Оганесян, скорее всего, имела место уязвимость API-механизма, через который сайт и мобильные приложения получают доступ к внутренней системе банка для передачи заявок на выпуск карт «Эlixir». По его словам, в настоящее время известно, что уже найдено более 1000 анкет.

https://www.kommersant.ru/doc/3945472

В конце марта была обнаружена открытая база данных Elasticsearch, с данными заказов интернет-магазина компании «БСК» - поставщика профессиональных продуктов строительного назначения (bsc.im).

В базе содержалось более 10 тыс. записей:

✅ имена покупателей
✅ адреса электронной почты
✅ адреса доставки (или самовывоза) товара
✅ суммы заказов (и стоимость доставки)
✅ типы платежей (наличные, карта)
✅ заказанные товары


В ответ на наше уведомление пришел ответ:

Большое спасибо. Недавно пришлось экстренно эвакуироваться из Яндекс облака и в спешке забыли закрыть порт.

Подробные персональные данные пользователей сайтов оплатагибдд.рф, paygibdd.ru, gos-oplata.ru, штрафов.net и oplata-fssp.ru неопределённое время находились в открытом доступе, сообщили D-Russia.ru в российской компании Devicelock, производителе средств защиты от утечек информации Devicelock DLP.

«В доступе оказались все подробности платежей: номер постановления о штрафе, государственный номерной знак автомобиля, номер исполнительного производства при платеже на сайте службы судебных приставов, первые и последние цифры банковских карт, через какой платёжный сервис произведена оплата и пр.», – говорит основатель и технический директор DeviceLock Ашот Оганесян.

Число записей о платежах Оганесян оценивает в сотни тысяч. Только в один случайно выбранный день апреля открытыми оказались сведения о 40 тысячах платежей.

http://d-russia.ru/v-otkrytom-dostupe-okazalis-podrobnye-dannye-o-sotnyah-tysyach-platezhej-grazhdan-v-gibdd-i-fssp.html

Немного подробностей про открытую базу с данными платежей в ГИБДД и ФССП (https://news.1rj.ru/str/dataleak/961). 🔥🔥🔥

Впервые база «засветилась» в Shodan 24.02.2019. Обнаружена нами она была поздно ночью 12.04.2019. Утром 13.04.2019 мы отправили оповещение по адресам support@gos-oplata.ru, support@oplata-fssp.ru, support@paygibdd.ru, но ответа не получили. Сервер тихо убрали из открытого доступа 13.04.2019 около 15:20-15:45 (МСК).

База содержала в себе логи (да-да, опять чувствительные данные утекают через логирование) информационной системы (ИС), а уже в логах и находилась вся подробная информация, о которой написано в статье выше.

Хорошая новость состоит в том, что логи хранились только, начиная с 28.02.2019, а не за все время работы ИС. В некоторых индексах данные были с 17.03.2019.

Вторая хорошая новость – данные платежных карт из платежных шлюзов не передавались в данную ИС, а потому и не сохранялись в ее логах. Поле cardnumber имело вид: 123456********1234.

Больше хороших новостей нет. 🤦‍♂️🤦🏻‍♂️🙈

Вебсайты оплатагибдд.рф, paygibdd.ru, gos-oplata.ru, штрафов.net, oplata-fssp.ru и сервер с открытой базой Elasticsearch

5-го апреля нами была обнаружена открытая база данных MongoDB содержащая информацию проекта «Биржа эвакуаторов». На сайте проекта all-evak.ru написано: “Проект объединяет максимальное количество эвакуаторов и диспетчерских служб по всей России”.

Мы сразу оповестили владельцев базы и 8-го числа получили ответ: “Спасибо большое за информацию о открытой базе. К сожалению, не уследили за тем, что порт открыт для внешнего доступа. На данный момент базу удалили.”

В базе содержались все данные по вызовам эвакуаторов по всей стране (еще были обнаружены данные по Казахстану):

✅ адрес и GPS-координаты откуда забирать автомобиль
✅ адрес и GPS-координаты куда везти автомобиль
✅ описание (например, “Lexus RX 350, колеса не блокированы”
✅ имя клиента (иногда имя и отчество)
✅ телефон клиента
✅ дата и время заказа

На момент обнаружения в базе было 1700 заказов, на момент закрытия – 2362.

Удивительно, но первая дата фиксации этой базы в открытом доступе поисковиком Shodan - 18.08.2017! 🤦‍♂️

13-го апреля мы обнаружили открытую базу данных PostgreSQL информационной системы «САУ-ГИС» (http://cbt.ru/product/soft/sau-gis.html).

Компания-разработчик ИС была немедленно проинформирована об инциденте (дважды!), однако база исчезла из открытого доступа только 15-го (видимо сказались выходные). 🙈

По нашей информации в базе содержались далеко не тестовые данные, а самая актуальная информация, включая данные за 2019 год.

Доступ к данным в этом экземпляре PostgreSQL даже не требовал никакого дополнительного ПО, т.к. на 9000 порту удобно расположилось WEB API: 🤦🏻‍♂️

http://95.174.xxx.xx:9000

В базе содержалось:

✅ пользователи ИС (ФИО, логины, пароли в открытом виде, номера телефонов)
✅ логи ИС (какой пользователь когда входил в систему)
✅ логины и пароли (в открытом виде) доступа к внутренним GEO-серверам
✅ метаинформация по внутренним документам (номера, названия, владелец, дата, т.п.)
✅ классификатор документов (ДСП и т.п.)
✅ адреса объектов в г. Таганрог
✅ многое другое.

В Саратове ждет суда бывшая сотрудница полиции, которую обвинили в получении взятки за предоставление ритуальной службе оперативной информации.

По данным следствия, с 18 марта по 28 декабря 2016 года помощник оперативного дежурного (по службе 02) УМВД по Саратову получила взятку 81 тысячу рублей.

Про возбуждение этого уголовного дела мы писали еще в апреле 2018: https://news.1rj.ru/str/dataleak/307

16.04 в 0:40 (МСК) мы оповестили компанию MST Lab (www.mstlab24.ru) о том, что в открытом доступе был найден сервер с Elasticsearch, в индексах которого содержались данные их продукта «MST Lab 24».

С сайта компании:
Сервис для повышения продаж и увеличения эффективности бизнеса. MST Lab 24 – это мобильные и web приложения для организации выездных сотрудников и их коллег в офисе.

В открытом доступе находились отчеты по стоимости различных продуктов питания в магазинах по всей России, содержащие ссылки (файлы физически расположены в облаке Amazon) на фотографии ценников, адреса магазинов, штрих-коды продуктов.

Помимо отчетов по продуктам, в индексах были обнаружены ФИО, адреса электронной почты, телефоны и должности сотрудников различных магазинов и компаний-поставщиков.

Сегодня сервер Elasticsearch «тихо» исчез из свободного доступа. 😎

Хакеры из группировки THack3forU опять заявляют о том, что они нашли и уничтожили очередную российскую базу данных. 🙈

На этот раз жертвой киберпреступников стал сервер floyd.pilot-gps.ru с открытой базой данных MongoDB мобильного приложения системы «ПИЛОТ» (платформа для контроля за коммерческим автопарком, www.skyelectronics.ru/pilot и www.pilot-gps.ru).

Хакеры заявляют, что они удалили 400 Гб данных из этой базы. 😱

Мы впервые обнаружили данную базу данных 03.04.2019 и на тот момент в ней содержалось 95 Гб данных. Последний раз перед взломом, эту базу наша автоматизированная система мониторинга зафиксировала в открытом доступе 17.04.2019 и тогда в ней было 119 Гб информации. В данный момент в базе содержится 4.7 Гб. Исходя из этого мы можем подтвердить, что киберпреступники действительно уничтожили данные. 😂

В базе не содержалось и не содержится персональных данных, а только результаты работы системы мониторинга (цифровые идентификаторы устройств, временные метки, GPS-координаты и прочие числовые данные).

База находилась в открытом доступе как минимум с 12.01.2019.

Хочется в очередной раз напомнить компаниям о важности регулярного внешнего аудита и мониторинга своих ИС. 😎

Обращайтесь, поможем: 👇
www.devicelock.com/ru/company/offices.html


Недавно вышла статья, в которой описан «деанон» членов этой хакерской группировки: https://pikabu.ru/story/mamkinyi_khakeryi_na_strazhe_nezalezhnosti_6629474

«Мамкины» хакеры из THack3forU нашли очередную открытую базу MongoDB и стерли в ней данные

Медицинский центр по лечению от наркозависимости «Steps To Recovery» из штата Пенсильвания (США) оставил в открытом доступе данные пациентов за 2016-2018 гг. 🤦‍♂️

Исследователь безопасности xxdesmus (Justin Paine) 24-го марта обнаружил в открытом доступе сервер Elasticsearch с двумя индексами общим размером около 1.45 Гб, содержащими примерно 4.9 млн записей. 🔥

При детальном анализе выяснилось, что в индексах содержались данные 146,316 пациентов: имена, возраст, текущие и прошлые адреса проживания, телефоны, адреса электронной почты, имена членов семьи, стоимость лечения, коды лечения/диагностики (CPT-коды), а также в каком именно медицинском центре проводились те, или иные процедуры. Самое забавное, что в базе содержалась даже информация о политических взглядах пациентов. 😂

База данных «тихо» исчезла из свободного доступа 25-го марта, после письма хостинг провайдеру, на чьей площадке находился сервер с Elasticsearch. Медицинский центр на уведомления так и не ответил (типичное поведение, что у нас, что там).

Данные 146 тыс. американских пациентов, проходивших лечение от наркозависимости, отказались в свободном доступе.

Хакер 0x55Taylor выложил в свободный доступ два архива документов, полученных с сервера мексиканского посольства в Гватемале:

1️⃣ RandomShit.zip (16 Мб) – содержит дампы MySQL и списки пользователей (с хешами паролей) с домена sre.gob.mx (МИД Мексики).

2️⃣ files.zip (5.4 Гб) – содержит 4,870 файлов, в основном сканы различных документов (паспорта с визами, удостоверения личности, свидетельства о рождении, дипломатические письма, распечатки электронной почты, заявления на визу, счета на оплату и многое другое) в формате PDF, TIFF, PSD и JPG.

Мы проанализировали данную утечку:

✅ В распакованном виде все файлы из files.zip занимают 6.28 Гб.

✅ Большинство файлов (4213), содержащих сканы документов и фотографии людей датированы 2018 годом (сентябрь-декабрь).

✅ 555 файлов, содержащих сканы документов и фотографии людей создано в 2019 году (январь-апрель).

✅ 102 файла не содержали сканов документов или фотографий людей.

✅ Само содержимое документов относится к 2016-2019 гг. (по апрель включительно).

✅ С помощью технологии определения реального типа файла по его содержимому, встроенной в DeviceLock DLP, было найдено 36 PDF-файлов на самом деле являющихся DOC, BMP, XLS и XLSX-документами.

✅ Исходя из анализа содержимого документов можно утверждать, что взлом сервера и слив документов произошел между 11.04.2019 и 15.04.2019.

С сервера мексиканского посольства в Гватемале утекло несколько тысяч сканов документов. 😂

«Мамкины хакеры» из THack3forU (про них тут: https://news.1rj.ru/str/dataleak/926) снова вышли на связь и заявляют, что слили и уничтожили базу не много не мало, а «единой информационной системы в сфере закупок» (zakupki.gov.ru)! Более того, юные «дарования» заявляют, что опять «гос. данные РФ находятся не на территории РФ». 😱

На самом деле киберпреступники обнаружили открытую базу MongoDB, расположенную на сервере в Германии, в которую писались данные от одного из многочисленных парсеров сайта госзакупок (кто владелец этого парсера нам неизвестно, но он, судя по всему, не имеет никакого отношения к сайту госзакупок). Все данные, которые находились в базе, были взяты из открытых источников и находятся в свободном доступе на том самом сайте zakupki.gov.ru. Сама база с результатами парсинга называлась gosparser. 👍

Тот пример, что хакеры приводят («Как видим на сайте нет ни e-mail, ни ФИО, даже номер не тот») как доказательство наличия в базе того, чего нет на сайте, легко опровергается простым поиском в Гугл (http://zakupki.gov.ru/epz/contract/contractCard/common-info.html?reestrNumber=0333200008114000003). 🙈🤦‍♂️🤦🏻‍♂️

Базу они действительно стерли (сегодня в 11:53:49 МСК), предварительно скачав и выложив ее на один из файлообменников.

Информационный портал «ИНВЕСТИЦИОННЫЕ ПРОЕКТЫ» (investprojects.info) прикрыл доступ к открытой базе Elasticsearch, про которую мы писали 25-го марта (https://news.1rj.ru/str/dataleak/877).

19.04.2019 мы выслали им вторичное оповещение по электронной почте и вот наконец сервер "тихо" исчез из свободного доступа. 🤦🏻‍♂️

Весьма интересное исследование «Утечки персональных данных из регулируемых государством информационных систем. Часть 1. Удостоверяющие центры»: begtin.tech/pdleaks-p1-uc/

Автор пишет: «обзор 16 удостоверяющих центров из которых 9 государственные и во всех из них можно получить персональные данные в виде ФИО, места работы, email, ИНН и СНИЛС по физ. лицам через общедоступные реестры сертификатов. В общей сложности это около 63 тысяч записей о физ. лицах.»

Мы проверили реестр сертификатов Министерства обороны РФ (sprquerycert.mil.ru). По запросу «@» (в адресе электронной почты), как предлагается в статье – ничего не находится, однако если делать поиск по «.ru», то находится 3280 записей с ФИО, подразделением, организацией, электронной почтой и т.п. информацией.

Вчера вечером мы выявили открытую базу данных MongoDB, принадлежащую белорусскому сервису «ilex» (ilex.by). С сайта компании: «ilex — это уникальная база информации для бухгалтеров, юристов, руководителей.»

Уведомление по электронной почте было отправлено в 21:45 (МСК), а сегодня утром (до 10:20) база «тихо» исчезла из свободного доступа.

В базе размером 255 Гб находились логи доступа пользователей к сервису. Из логов можно было получить записи (более 67 млн. строк с 07.02.2019 по 21.04.2019) с адресами электронной почты, названиями организаций, IP-адресами и токенами доступа (authentication token) к документам.

Получили ответ от «ilex»: «Большое спасибо за предоставленную информацию! Исправили.» 👍

А помните историю, как хакеры нашли и удалили открытую базу мобильного приложения системы «ПИЛОТ»? (https://news.1rj.ru/str/dataleak/969)

Так вот сервер floyd.pilot-gps.ru с базой MongoDB все-еще открыт, но следов (коллекции «Message» с посланием хакеров) нет. 🤦‍♂️🤦🏻‍♂️