Утечки информации
123K subscribers
1.59K photos
1 video
1 file
2.42K links
Знаем про утечки все! Поиск утечек и мониторинг даркнета: dlbi.ru

Рекламы нет.

За вопросы "где взять базу?" и "сколько стоит реклама?" - бан.

Ничего не продаем и не раздаем!

Админ: @ashotog

Группа в ВК: https://vk.com/dataleakage
Download Telegram
Довольно специфическое (приверженцы теории заговора) издание «Project Veritas» опубликовало внутренние документы Google, украденные из компании инженером-разработчиком Zach Vorhies:
https://www.projectveritas.com/google-document-dump/.

Всего было украдено более 1000 внутренних документов и скриншотов.
Сервис подписки на билеты в кино «MoviePass» допустил утечку данных 58 тыс. своих клиентов. 🔥

Исследователи обнаружили открытый сервер с 161 млн. логов и как это часто бывает, в логах содержалась критичная информация:

🌵 номера карт «MoviePass», которые являются обычными дебетовыми картами MasterCard 🤦‍♂️
🌵 номера кредитных карт и даты их истечения 🤦🏻‍♂️
🌵 имена
🌵 адреса
🌵 адреса электронной почты
🌵 текстовые пароли от личных кабинетов пользователей


Мы неоднократно обнаруживали подобные утечки, когда в открытом доступе оказывались логи с чувствительными данными:

утечка данных клиентов «Inventive Retail Group» (IRG управляет сетями re:Store, Samsung, Sony Centre, Nike, Street Beat и др.): https://t.iss.one/dataleak/1089

утечка из транспортно-логистической компании «FESCO»: https://t.iss.one/dataleak/1081

утечка из медицинской IT-системы сети лабораторий «Центр молекулярной диагностики» (CMD): https://t.iss.one/dataleak/1023

утечка из сервиса по продаже электронных билетов «Радарио»: https://t.iss.one/dataleak/1012

утечка из сервиса по подбору туров «Слетать.ру»: https://t.iss.one/dataleak/1028
В свободный доступ выложили дамп базы данных приложения для видео-звонков «Dubsmash», размером 160 млн. записей. Базу впервые выставили на продажу в феврале 2019 года, приблизительная стоимость тогда была $3000. Сама утечка при этом произошла в 2018 году.

В базе доступны следующие поля:

"id", "password", "last_login", "is_superuser", "username", "email", "is_active", "is_staff", "date_joined", "language", "secret_key", "birthday", "signup_source", "country", "updated_at", "accepted_terms_version", "first_name", "last_name", "created_in_house", "last_active_at", "facebook_id", "has_public_profile", "profile_picture"

Значения в поле “password” представляют собой PBKDF2-хеши паролей пользователей приложения.

Несмотря на то, что пароли в базе вроде как хранились безопасно, на сегодняшний день свободно доступно 14 млн. расшифрованных паролей. 👍

Мы проанализировали 14,562,979 расшифрованных паролей «Dubsmash» и соответствующих им логинов (адресов электронной почты) и выяснили, что на 80% эти пары уникальны, т.е. ранее никогда не встречались в открытых утечках. Около 3 млн. пар «логин/пароль» из этой утечки уже ранее использовалось в других сервисах. 🤦🏻‍♂️
Вечером 20-го августа система DeviceLock Data Breach Intelligence обнаружила открытую базу данных MongoDB, принадлежащую IT-компании «Лама» (lama.ru), занимающуюся автоматизацией бухгалтерского и торгового учета на базе ПО «1С».

Забегая вперед скажем, что это уникальный случай в нашей долгой истории обнаружения утечек. Никогда еще мы не находили в свободном доступе работающих ключей доступа к банковским счетам компаний! 🔥🔥🔥

В базе данных находилась информация по платежам, включая частичные номера банковских карт:

"Cards" : [
{
"Pan" : "546938******5392",
"CardId" : "3021480",
"Status" : "Active",
"RebillId" : "327522914"
}

Кроме того, там были данные по пользователям системы, включающие:

🌵 имена
🌵 адреса электронной почты
🌵 телефоны
🌵 хешированные пароли и соль
🌵 даты рождения
🌵 идентификаторы мобильных устройств


Вся эта информация не выглядела критичной и более того, была очень похожа на набор тестовых данных.

Однако, в настройках системы обнаружился токен доступа к счетам компании в «Модуль Банке»: 🤦🏻‍♂️🤦‍♂️🙈

"ModulBankSettings" : {
"BankAccountId" : "a089dab8-f646-XXXXX",
"Url" : "
https://api.modulbank.ru/v1",
"Token" : "YzlmOTkXXXXX",
"RsaKey" : "<RSAKeyValue><Modulus>wfGV1+XXXXX</Modulus><Exponent>AQAB</Exponent><P>zuEMmXXXXXX</P><Q>7/5FCUHcXXXXX</Q><DP>jtYhfeKXXXXX</DP><DQ>TknxNWXXXXX</DQ><InverseQ>vKiFub3g2inRQJooXXXXX</InverseQ><D>J1E4lWuyXXXXX</D></RSAKeyValue>"
},

(реальные данные заменены нами на X)

Как выяснилось позже, это был реальный токен, предоставляющий доступ ко всем счетам компании. Любой, обнаруживший эту свободно доступную базу данных, мог сформировать POST-запрос к API банка, например: https://api.modulbank.ru/v1/account-info

В ответ возвращался JSON-файл с данными о балансах, номерах счетов (карточный счет и расчетный счет), ИНН, КПП, ОГРН. 😎

Мы немедленно оповестили компанию «Лама», но разумеется никакого ответа от них так и не получили. 🤣

Зато через службу безопасности «Модуль Банка» удалось очень быстро решить проблему – к 10-ти утра 21-го августа база уже была закрыта, а банковский токен перестал работать. 👍
Первого августа система DeviceLock Data Breach Intelligence обнаружила свободно доступный сервер с Elasticsearch, содержащим три индекса.

В одном из индексов находился список пользователей:

🌵 логин
🌵 имя
🌵 пароль в текстовом виде
🌵 признак активный или нет

В другом индексе содержались результаты токсикологических экспертиз:

"actual_date": "01.07.2019",
"category": "research",
"reg_num": "1/169",
"assign_reason": "ОКОН УМВД России по г. Пензе",
"assign_person": "XXX",
"offence_num": "КУСП № 11633",
"type": "Наркотики",
"received_by": "XXX",
"performed_by": "XXX",
"result": "Марихуана 2,15г",
"issued_date": "02.07.2019",
"issued_num": "14/4634"

(реальные данные заменены нами на X)

Данные предположительно принадлежат Экспертно-криминалистическому центру УМВД России по Пензенской области. 🙈

К сожалению, сервер до сих пор находится в свободном доступе, несмотря на наши оповещения.
Сейчас все СМИ хором пишут про то, что немецкая Mastercard допустила утечку данных своих клиентов. Некоторые даже пишут о взломе. На самом деле, каким образом данные попали в открытый доступ пока достоверно неизвестно, по одной из версий это стало возможным в результате халатности стороннего подрядчика. 🔥🔥🔥

Достоверно известно, что эти данные были собраны в рамках бонусной программы «Mastercard Priceless Specials».

В соответствии с законом GDPR, Mastercard уже официально уведомила регуляторов Бельгии и Германии об этой утечке.

Кроме того, в Mastercard заявили, что предприняли все меры по удалению данных из интернета. 😂🤣

Сразу скажем, что утекло два немного разных файла - в первом файле не содержалось полных номеров кредитных карт, а во втором файле они были (хорошо, что там не было дат истечения и CVC-кодов). 🤦‍♂️🙈🤦🏻‍♂️

Несмотря на заявления Mastercard о том, что они удалили данные из интернета, мы достаточно легко обнаружили их в свободном доступе. 😎

В файле "Kundenliste.csv", размером 14 Мб, находится 89,427 строк, содержащих:

🌵 первые 2 и последние 4 цифры номера карты

🌵 имя/фамилию

🌵 адрес (включая индекс и город)

🌵 дату рождения

🌵 адрес электронной почты

🌵 телефон (включая мобильный)

🌵 дату активации бонусной программы (самая «свежая» запись датируется 23.06.2019)

🌵 признаки: активный, подписка на рассылку и согласие на получение СМС

🌵полные номера дополнительных карт (попадаются карты Diners Club International и другие, которые мы не смогли идентифицировать по номеру)
Утечка 89,427 записей из бонусной программы «Mastercard Priceless Specials» в Германии.
12 августа неизвестные слили почти 700 Гб данных, принадлежащих Федеральной полиции Аргентины. Утечка получила название «LaGorraLeaks» (в Аргентине «la gorra» означает «полиция»). 🔥

Среди прочего – персональные и биометрические (отпечатки пальцев) данные полицейских, конфиденциальные документы, фотографии, записи разговоров (в форматах .mp3 и .wav), дампы электронной почты (файлы .pst, .msg и .mrk) и многое другое.

Все файлы до сих пор находятся в свободном доступе в Dark Web, на .onion-ресурсе. 😎
В свободном доступе опубликовали персональные данные 703,000 человек, предположительно сотрудников ОАО «РЖД». 🔥🔥🔥🔥

Среди свободно доступных данных:

🌵 ФИО
🌵 дата рождения
🌵 адрес
🌵 номер СНИЛС
🌵 должность
🌵 фотография
🌵 телефон
🌵 адрес электронной почты (иногда на доменах NRR.RZD, DZV.ORG.RZD, ORW.RZD и т.п. внтуренних доменах РЖД)

Откуда произошла утечка - неизвестно, но на сайте есть надпись: "Спасибо ОАО РЖД за предоставленную информацию, путем бережного обращения с персональными данными своих сотрудников."

Пока никаких других подробностей нам неизвестно. Будем следить за развитием ситуации… 😎
По нашим прогнозам, данная «база РЖД» появится в открытом доступе в виде Excel-файла и/или в формате Кронос в течение одного-двух дней. 😎

Т.е. даже если Роскомнадзор прикроет доступ к сайту, на котором размещены страницы с персональными данными, то это никаким образом не повлияет на доступность уже утекших данных. 🤣
В конце марта этого года, мы сообщали об обнаруженной открытой базе данных MongoDB, принадлежащей компании «Utair Digital» - ИТ-подразделению авиакомпании «Utair»: https://t.iss.one/dataleak/869

Тогда мы предположили, что это тестовая база и допустили, что она может быть наполнена данными реальных клиентов авиакомпании. В последствии это предположение несколько раз косвенно подтверждалось.

Эта база данных находилась в свободном доступе с 21-го января по 20-е марта 2019 года (ее закрыли только после нашего оповещения). 🤦‍♂️

И вот несколько дней назад, на одной из площадок, где торгуют персональными данными, появилось предложение о продаже базы клиентов авиакомпаний за 2019 год. 🙈

Мы запросили кусок базы на проверку и получили от продавца небольшой JSON-файл, являющийся дампом MongoDB. По формату и содержимому предоставленные данные на 100% совпали с тем, что мы обнаружили в марте. 🤣

В данный момент в продаже на черном рынке находится 530 тыс. записей из базы «Utair Digital». В частности, это данные из таблицы «users» (на момент обнаружения в марте там было 530,098 записей), содержащие:

🌵 ФИО на русском и латиницей
🌵 серия номер документа (паспорт, загранпаспорт и т.п.)
🌵 дата рождения
🌵 пол
🌵 телефон
🌵 адрес электронной почты
🌵 номер в бонусной программе лояльности
🌵 количество накопленных миль и уровень в бонусной программе лояльности


Неизвестный продавец просит за эту базу 30 тыс. рублей, если покупать все целиком или от 1 до 2 рублей за одну запись при продаже «в мелкую розницу».

Плохо, что многие компании до сих пор медленно реагируют (а некоторые не реагируют совсем) на наши оповещения об обнаруженных открытых базах данных. Это часто приводит вот к таким последствиям, когда базу обнаруживают и скачивают злоумышленники, а потом выставляют ее на продажу. 🤦🏻‍♂️

Конечно всегда можно заявить, что это все неправда и данные не настоящие (любимое оправдание «это тестовые данные»), только стоит помнить – продавцы всегда предоставляют образцы перед продажей и те, кто покупает подобного рода базы всегда проверяют (как минимум прозванивают людей по списку) то, что им пытаются продать. 😎
База данных «Utair», которую выставили на продажу, находилась в свободном доступе с 21.01.19 по 20.03.19
Интересная статья на Хабре про то, как узнать паспортные данные физического лица по ФИО (если есть залоговое имущество) и ФИО с паспортными данными по VIN-номеру автомобиля (если он взят в кредит).

И все это можно сделать на официальном сайте Федеральной нотариальной палаты! 🤦‍♂️

https://habr.com/ru/post/465209/
В процессе аудита систем хранения данных наших немецких клиентов DeviceLock Data Breach Intelligence «случайно» обнаружила сразу три открытых сервера с Elasticsearch, в которых находились персональные данные клиентов трех немецких интернет-магазинов: gusti-leder.de, henri.de и trader-online.de.

Эти три магазина объединяет то, что все они работают на платформе Shopware (shopware.com/en/). 😂

У магазина gusti-leder.de в открытом доступе находилось более 160 тыс. записей, содержащих:

🌵 имя/фамилию
🌵 дату рождения (не у всех)
🌵 адрес электронной почты
🌵 адрес доставки (вся Европа, не только Германия)
🌵 телефон (не у всех)
🌵 состав и стоимость заказа
🌵 дата первого и последнего входа в аккаунт

У двух остальных магазинов все примерно точно также, только количество записей чуть меньше. 👍

На наше оповещение достаточно быстро отреагировал магазин gusti-leder.de - устранил утечку и поблагодарил нас за информацию. Два других магазина никак себя не проявили, более того – один из них не устранил проблему до сих пор. 🤦🏻‍♂️
Утечки информации
В процессе аудита систем хранения данных наших немецких клиентов DeviceLock Data Breach Intelligence «случайно» обнаружила сразу три открытых сервера с Elasticsearch, в которых находились персональные данные клиентов трех немецких интернет-магазинов: gusti…
21-го июля система DeviceLock Data Breach Intelligence обнаружила свободно доступную базу данных MongoDB, принадлежащую сервису для продвижения в Instagram«Instasoft» (instasoft.ru).

В небольшой базе размером около 5 Мб находилось чуть более 7 тыс. записей, содержащих:

🌵 логины аккаунтов Instagram - 237 записей
🌵 текстовые пароли к аккаунтам Instagram - 237 записей 🤦‍♂️🤦🏻‍♂️
🌵 IP-адреса и логины/пароли для прокси-серверов (видимо через них идет подключение к аккаунтам Instagram) - 237 записей
🌵 разнообразную статистику по аккаунтам Instagram
🌵 информацию по устройствам с которых выполнялись подключения к Instagram - всего 409 сессий подключения

Долгое время после оповещения данная база оставалась открытой. Впервые в свободный доступ она попала - 15.06.2019. 😎
Ребята из @hidemyname_ru создают полезнейший контент для своих подписчиков: пишут инструкции по безопасности в интернете, предупреждают об угрозах приватности и освещают события цензуры в рунете.
Уважаемые читатели, по традиции в конце месяца напоминаем вам про подписку на дайджест наиболее значимых утечек месяца! 🔥

Если нет времени читать все публикации на канале или захотите по итогам месяца освежить память - рекомендуем подписаться. Никакого спама. 😎

Подписаться на дайджест можно по этой ссылке: 👇
https://www.devicelock.com/ru/subscribe.html
Не хотели писать про эту утечку до тех пор, пока сами не посмотрим на утекшие данные, но видимо придется. 😎

Компания Imperva допустила утечку данных пользователей своего CDN-сервиса «Imperva Cloud Web Application Firewall» («Incapsula») для защиты от DDoS-атак.

Среди утекших данных: адреса электронной почты, хэшированные (с солью) пароли, API-токены и SSL-сертификаты.

Пострадали только пользователи, зарегистрировавшиеся до 15 сентября 2017 года. Такая точность в определении группы пострадавших пользователей может говорить о том, что злоумышленники заполучили какой-то старый бэкап или взломали старую базу данных.

Компания оповестила пользователей об инциденте и заставила их принудительно сменить пароли.
В самом начале лета DeviceLock Data Breach Intelligence обнаружил открытый сервер с Elasticsearch, содержащий несколько индексов с персональными данными водителей (около 9 тыс. записей):

🌵 ФИО
🌵 полные паспортные данные (серия, номер, кем и когда выдан)
🌵 номер водительского удостоверения
🌵 телефон

"lastname": "ХХХ",
"firstname": "ХХХ",
"patronymic": "Владимирович",
"passportNumber": "8708ХХХХХХ",
"fullinfo": "ХХХХ ХХХ Владимирович/8708ХХХХХХ/Отделением УФМС России по ХХХ/ХХ.ХХ.2009/1119ХХХХХХ/Тел: +7-(912)-ХХХХХХХ"

(реальные данные скрыты нами)

Кроме того, в индексах находились автомобильные номера, номера договоров на перевозку, названия юридических лиц, города откуда и куда доставляются грузы и т.п.

"destinationAddress": "Шахты",
"sourceAddress": "Санкт-Петербург",
"planData": "2019-07-03T03:00:00",
"geo": "ЮГ",
"driver": "ХХХ ХХХ Александрович",
"driverPhone": "7918ХХХХХХХ",
"carrier": "ВСК",
"carrierContact": "8(879-34) ХХХХХ",
"stateNumber": "ВХХХКАХХ",
"all": "Шахты Санкт-Петербург ЮГ ХХХ ХХХ Александрович ВСК 7918ХХХХХХХ 8(879-34) ХХХХХ ВХХХКАХХ"

Установить владельца мы тогда не смогли и написали хостеру (Яндекс), на чьей площадке располагался данный сервер. Через день доступ к серверу был закрыт. 👍

Сервер впервые попал в свободный доступ 31.05.2019. Однако история на этом не закончилась. 👇

Позже мы обнаружили другой Elasticsearch-сервер (свободно доступный сразу по двум IP-адресам), содержащий точно такие же индексы с точно такими же данными, чуть большего размера (около 10 тыс. записей с персональными данными водителей). 🙈

На этот раз нам удалось установить предполагаемого владельца сервера - «ЛОРУС Эс Си Эм» (lorus-scm.com). На сайте этой компании написано: “один из ведущих 4PL провайдеров логистических услуг для крупных промышленных предприятий и ритейла, эксперт в области производственной логистики.

К сожалению, на наше оповещение компания никак не отреагировала и сервер с персональными данным до сих пор находится в свободном доступе (с 10.06.2019). 🤦‍♂️🤦🏻‍♂️


В мае мы обнаружили утечку из крупнейшей российской транспортно-логистической компании FESCO: https://t.iss.one/dataleak/1081
В свободном доступе появились персональные данные 46-ти сотрудников ООО «Сёрчинформ» (searchinform.ru) – производителя средств защиты от утечек информации. 🔥

Среди опубликованных данных:

🌵 ФИО
🌵 дата рождения
🌵 ИНН
🌵 серия и номер паспорта

Данные изначально были выложены в текстовом виде на pastebin.com, а сейчас уже появился и распространяется конверт в Cronos.

По нашей информации данные реальные и относятся к 2017-2018 году. Скорее всего это часть бухгалтерской отчетности для ФНС. 🙈


Совсем недавно мы обнаружили персональные данные 703 тыс. сотрудников РЖД: https://t.iss.one/dataleak/1231
22-го июля DeviceLock Data Breach Intelligence обнаружил открытый сервер с Elasticsearch, доступный по двум IP-адресам, с индексом «crm», в котором содержались персональные данные 458 человек:

🌵 ФИО
🌵 дата рождения
🌵 место рождения
🌵 полные паспортные данные (серия, номер, кем и когда выдан, код подразделения)
🌵 ИНН
🌵 телефон
🌵 адрес электронной почты
🌵 гражданство
🌵 второе гражданство

"displayName": "XXX XXX Михайлович",
"lastName": "XXX",
"firstName": "XXX",
"secondName": "Михайлович",
"birthDate": "1978-XX-XX,
"birthPlace": "москва",
"identityDocuments": [
{
"issuedDate": "2003-XX-XX",
"issuingAuthority": "Калининским РОВД Тверской области",
"number": "XXX",
"series": "2804",
"issuingAuthorityCode": "XXX-XXX"
}
],
"contacts": [
{
"phone": "+7(905)XXX",
"email": "
[email protected]"
}
],
"citizenship": "rf",
"INN": "78XXX",
"otherCitizenship": null

(реальные данные скрыты нами)

Было установлено, что сервер принадлежит сколковскому проекту «Farzoom» (farzoom.com), занимающемуся автоматизацией банковских бизнес-процессов.

В тот же день мы оповестили владельца, но сервер был убран из свободного доступа только спустя 6 дней. Стоит отметить, что впервые этот сервер «засветился» 29.12.2018. 🤦‍♂️🤦🏻‍♂️