Поиск в Google по «"Паспортные данные" "Сведения о членах постоянных участковых избирательных комиссий"»

Недавно биржа кроссовок и одежды StockX сообщила о взломе базы данных 6,8 млн. своих пользователей. Эти данные немедленно появились в продаже на нескольких «маркетах» в Даркнете.

Об инциденте стало известно 1 августа, когда клиенты StockX получили уведомления с просьбой сменить пароль из-за «обновления систем безопасности» (что разумеется было неправдой - так нелепо биржа попыталась скрыть факт взлома и утечки базы пользователей). 🤦🏻‍♂️

Мы специально ничего не писали про эту утечку – ждали пока данные «всплывут» на специализированных форумах. Дождались. 😎

Архив, размером 859 Мб содержит файл sole-trade размером 2.62 Гб с 6,847,162 строками, каждая из которых включает:

🌵 адрес электронной почты
🌵 хеш пароля и соль
🌵 имя/фамилию
🌵 дату регистрации в системе
🌵 дату последней активности
🌵 некоторые другие пользовательские параметры (валюта по умолчанию, язык и т.п.)

Поскольку пароли изначально преобразовывались с помощью «слабого» алгоритма MD5, то скоро появятся их текстовые (расшифрованные) версии. Вопрос времени. Взлом 7-ми символьного MD5-пароля, полностью состоящего из символов, доступных в стандартной американской раскладке клавиатуры, сегодня может происходить мгновенно, при наличии определенных вычислительных ресурсов. 🔥

Стоит отметить, что полная украденная база, которая в данный момент доступна за деньги, включает в себя также и данные по заказам (адреса доставки, стоимость покупок и т.п.). 👍

Произошла непонятная история с постом про утечку персональных данных через чат "Московская команда Навального". Пост просто исчез из канала!

Более того, XLSX-файл с персональными данными исчез из канала "Товарищ майор", где он был продублирован.

Как-то это все не очень хорошо выглядит и попахивает цензурой, которой как бы в Telegram нет. Будем считать, что это был сбой в работе мессенджера.🤣


Вынуждены повторить пост. 👇👇👇


В Telegram-чат сторонников А. Навального выложили Excel-файл с персональными данными этих самых сторонников (как они называют - "актив"). 🤦‍♂️🤦🏻‍♂️

Файл База.xlsx размером 242 Кб содержит 3198 записей:

🌵 ФИО
🌵 адрес
🌵 номер паспорта (не для всех записей)
🌵 телефон (не для всех записей)
🌵 дата рождения

Вот эта картинка была приложена к посту в этом канале, который удалили сотрудники Telegram, видимо по политическим мотивам.

В данном канале освещаются случаи утечек информации вне зависимости от политических предпочтений его владельцев. Это чисто техническая информация, не имеющая политической окраски.

К сожалению, сотрудники Telegram этого не понимают, раз занимаются подобными отвратительными делами.

Хакерская группировка KelvinSecTeam обнаружила и выложила в открытый доступ IP-адрес сервера с записями звонков в компанию «Реклама59», занимающуюся размещением рекламы на общественном транспорте в г. Пермь. 😂

Записи в формате MP3 находятся в подкаталоге /amo/, что явно указывает на используемую в компании «amoCRM». Все файлы датированы 2019 годом (с марта по август).

В поддиректории /cdr/ находится также свободно доступный «Asterisk CDR Viewer».


Кстати, эти же хакеры не так давно обнаружили ту же самую проблему (она остается до сих пор 🤦🏻‍♂️) с сервером службы «Али такси» (https://t.iss.one/dataleak/1049).

В начале июля система DeviceLock Data Breach Intelligence обнаружила сервер с открытым Elasticsearch, принадлежащий сервису бронирования российских курортов «Кузук» (kuzuk.ru).

Ранее мы уже неоднократно находили базы с данными туристических компаний: https://t.iss.one/dataleak/1134 («Алем-Тур») и https://t.iss.one/dataleak/1029 («Слетать.ру»). 👍

Отличительной чертой данного случая является то, что персональные данные туристов хранятся на сервере в Германии (площадка «Hetzner») и находятся в открытом доступе до сих пор. 🤣

Оповещение было выслано 02.07.2019, но никакой реакции не последовало. Этот сервер впервые появился в открытом доступе 30.09.2017, но потом исчез и «вернулся» уже 23.06.2019. 🤦🏻‍♂️

Свободно доступно более 61 тыс. записей, содержащих:

🌵 ФИО
🌵 телефон
🌵 адрес электронной почты
🌵 описания объекта бронирования
🌵 содержимое автоматических СМС сервиса (включает ФИО, номер телефона, номер заказа и т.п.)

"phone": 7983***,
"description": "<img src=\"/images/callButtons/tourist.png\" alt=\"\" title=\"Турист\" data-toggle=\"tooltip\">Ог*** Ю*** Андреевна (последний заказ - <a target=\"_blank\" href=\"/userorder/39022\">39022</a>, Гостевой дом 4 Сезона, Байкал). 7983***",
"search_field": "Ог*** Ю*** Андреевна (последний заказ - 39022, Гостевой дом 4 Сезона, Байкал). 7983***",
"last_message_date": "2016-06-15 12:19:55",
"messages": [
{
"type": "in",
"time": "2016-06-15 12:19:55",
"msg": "Этот абонент доступен для звонка."
},

(реальные данные заменены на *)

Судя по всему, сервер заброшен (данные не изменяются). Все записи относятся к промежутку между 2015 годом и началом (апрель) 2018 года.

Очередной «зомби» - умер, но продолжает сливать персональные данные пользователей. 😂 Про такие проекты мы писали тут: https://t.iss.one/dataleak/984

Вчера хакеры из THack3forU (про них тут https://t.iss.one/dataleak/926) взломали интернет-магазин сети аптек «НЕОФАРМ» (neopharm.ru).

Хакеры обнаружили свободно доступную базу данных MongoDB, находившуюся на том же самом IP-адресе, что и сайт магазина. 🤦🏻‍♂️ После чего они подменили описания и картинки в карточках товаров. 😂

В данный момент база данных уже закрыта, как и сам магазин (выводится сообщение «Site under construction.»). 😭

Данный сервер с MongoDB появился в открытом доступе 06.08.2019, а до этого периодически «мелькал», начиная с 11.04.2018. 🤦‍♂️

В июне 2017 года две бывшие сотрудницы филиала банка в Сахалинской области, оказывающего услуги по предоставлению потребительских кредитов, оформили на ничего не подозревающих граждан 2 кредитных договора и приобрели по ним три смартфона, которые позже сдали в ломбард. 🙈

Бывшие эксперты прямых продаж банка, в чьи обязанности входила работа с персональными данными клиентов и их фотографирование, сохранили себе копии документов двух граждан, обращавшихся за кредитом, но так его и не взявших, после чего оформили на них займы размером 100 и 47 тысяч рублей.

Санкции статьи (мошенничество, совершенного группой лиц по предварительному сговору), инкриминируемой обвиняемым, предусматривают до пяти лет лишения свободы.


Обзор случаев задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными в России: 👇

https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html

9-го августа мы написали про «дорки» для Google с помощью которых можно найти в открытом доступе персональные данные членов постоянных участковых избирательных комиссий: https://t.iss.one/dataleak/1202 😎

И вот уже «умельцы» собрали все эти данные в единую таблицу и выложили для свободного скачивания в виде Excel-файла. 👍

Всего получилось 105 записей, содержащих:

🌵 ФИО
🌵 дату и место рождения
🌵 серию и номер паспорт, кем и когда выдан
🌵 адрес
🌵 телефон (мобильный и домашний)

Помните мы писали (https://t.iss.one/dataleak/1204), что дамп базы пользователей биржи кроссовок и одежды StockX свободно доступен на специализированных форумах? 6,847,162 записей содержат в том числе и хешированный пароль.

Нам стало известно, что 1,3 млн. хешей уже расшифровано и пароли продаются за $300. 😎

Кроме того, в свободном доступе появился дамп MySQL (файл addresses.sql) с адресами доставки заказов StockX. Всего в дампе 5,824,189 строк.

После объединения обоих дампов получается единая база данных пользователей и их заказов, содержащая 9,742,434 записи (один пользователь может иметь более одного заказа, поэтому общий размер базы превышает 6,8 млн. строк). 🔥

Ребята из vpnMentor сообщают об очередном открытом сервере Elasticsearch. На этот раз им попался сервер с данными облачной системы контроля доступа в помещения «BioStar 2» (supremainc.com/en/platform/hybrid-security-platform-biostar-2.asp). Данная система используется во многих банках, полиции и оборонных компаниях по всему миру. 🔥

В индексах свободно доступного Elasticsearch, общим размером 23 Гб находилось 27,8 млн. записией, содержащих:

🌵 имена пользователей

🌵 пароли доступа в открытом/текстовом виде (очень много паролей вида “Password” и “abcd1234”) 🙈

🌵 данные отпечатков пальцев

🌵 логи доступа в помещения

🌵 данные сотрудников клиентов «BioStar 2» (включая уровни доступа)


От себя добавим, что этот сервер «BioStar 2» был доступен сразу по двум IP-адресам (13.114.40.52 и 54.250.184.74) и располагался на площадке Amazon в Японии. 😎

Также отметим, что по адресу 13.114.40.52 сервер Elasticsearch находился в открытом доступе с 21.01.2019. А по адресу 54.250.184.74 впервые «засветился» - 07.09.2017. 🤦‍♂️🤦🏻‍♂️

Пароли в системе контроля доступа в помещения «BioStar 2» хранятся в текстовом виде 🤦🏻‍♂️🤦‍♂️🙈

Банкам не нравится, когда кто-то говорит правду про то, как они допускают постоянные утечки персональных и банковских данных своих клиентов. 😎

Видимо осознав, что бороться с утечками они не могут, а наши отчеты (https://www.devicelock.com/ru/blog/tseny-chernogo-rynka-na-rossijskie-personalnye-dannye.html и https://www.devicelock.com/ru/blog/tseny-chernogo-rynka-na-rossijskie-personalnye-dannye-bazy-dannyh.html) их очень раздражают, обиженные банки решили тоже поиграть в «исследователей утечек».

Откопали старый случай с нашим публичным FTP и учетной записью на GitHub, про который мы сами и написали (тут: https://t.iss.one/dataleak/908), разместили это все в Telegram-канале. 🤦🏻‍♂️🤦‍♂️

Получилось очень смешно. 🤣

Читатели канала сообщают об открытом сервере со статистикой использования почты пользователями саратовского интернет провайдера ООО «РЕНЕТ КОМ». 🙈

Данный сервер находится по элементарному поисковому запросу в Google “Отчет по почтовому трафику”. 👍

По каждому пользователю видно детальную статистику использования почтового протокола и списки адресов электронной почты.

Открытость государственных закупок это дело хорошее и полезное, но только не когда это касается персональных данных. 👇

На портале «Единая информационная система в сфере закупок» засветились паспортные данные (ФИО, серия, номер паспорта, кем и когда выдан, место регистрации) 97 человек – сотрудников ФЕДЕРАЛЬНОГО ГОСУДАРСТВЕННОГО БЮДЖЕТНОГО УЧРЕЖДЕНИЯ «ЖУКОВСКИЙ АВИАЦИОННО-СПАСАТЕЛЬНЫЙ ЦЕНТР МЧС РОССИИ»: https://zakupki.gov.ru/epz/order/notice/ep44/view/documents.html?regNumber=0348100081518000193

В разделе "Документы закупки" можно найти линк "Скан Договора" (https://zakupki.gov.ru/44fz/filestore/public/1.0/download/priz/file.html?uid=7D13064C405A0038E0530A86121F284A), где в "Приложении 1" и находятся персональные данные. 🤦🏻‍♂️

IDOR-уязвимость на сайте украинской страховой компании «Оранта» позволяет получить доступ к электронным страховым полисам. 🔥

Полисы компании доступны по ссылкам вида:

https://oranta.ua/policy/XXX/

где XXX это MD5-хеш от 7-значного номера полиса, в диапазоне 1000000 - 4000000.

Таким образом, простым перебором всех чисел из этого диапазона можно получить доступ к туристическим и автогражданским полисам, а также к «зеленым картам», которые в свою очередь содержат ФИО, даты рождения, номера паспортов, ИНН, адреса, номера телефонов, номера водительских удостоверений, данные транспортных средств (госномера, VIN и т.п.). 🤦🏻‍♂️🤦‍♂️

07.06.2019 страховая компания была уведомлена об этой уязвимости, но до сих пор ее не устранила. 🙈

Подробнее про это тут: https://telegra.ph/EHlektronnye-polisy-ukrainskoj-strahovoj-kompanii-v-otkrytom-dostupe-08-07

Читатель канала сообщил, что страховая компания «Оранта» закрыла IDOR-уязвимость.

На устранение уязвимости потребовалось 2.5 месяца. Скорее всего данные клиентов компании из полисов уже утекли.

Среди строительного и бытового мусора жители поселка Восток в Наро-Фоминском районе Московской области нашли документы Минфина - служебные записки с просьбой возместить расходы на организацию приемов иностранных делегаций или выплатить командировочные. 👍

Большинство документов содержали персональные данные сотрудников Минфина, на некоторых из них стояла подпись главы ведомства Антона Силуанова.

Минфин заявил, что за утилизацию документов отвечает подрядная компания и они будут «разбираться» с ней. 😂

Довольно специфическое (приверженцы теории заговора) издание «Project Veritas» опубликовало внутренние документы Google, украденные из компании инженером-разработчиком Zach Vorhies:
https://www.projectveritas.com/google-document-dump/.

Всего было украдено более 1000 внутренних документов и скриншотов.

Сервис подписки на билеты в кино «MoviePass» допустил утечку данных 58 тыс. своих клиентов. 🔥

Исследователи обнаружили открытый сервер с 161 млн. логов и как это часто бывает, в логах содержалась критичная информация:

🌵 номера карт «MoviePass», которые являются обычными дебетовыми картами MasterCard 🤦‍♂️
🌵 номера кредитных карт и даты их истечения 🤦🏻‍♂️
🌵 имена
🌵 адреса
🌵 адреса электронной почты
🌵 текстовые пароли от личных кабинетов пользователей


Мы неоднократно обнаруживали подобные утечки, когда в открытом доступе оказывались логи с чувствительными данными:

✅ утечка данных клиентов «Inventive Retail Group» (IRG управляет сетями re:Store, Samsung, Sony Centre, Nike, Street Beat и др.): https://t.iss.one/dataleak/1089

✅ утечка из транспортно-логистической компании «FESCO»: https://t.iss.one/dataleak/1081

✅ утечка из медицинской IT-системы сети лабораторий «Центр молекулярной диагностики» (CMD): https://t.iss.one/dataleak/1023

✅ утечка из сервиса по продаже электронных билетов «Радарио»: https://t.iss.one/dataleak/1012

✅ утечка из сервиса по подбору туров «Слетать.ру»: https://t.iss.one/dataleak/1028