Несколько недель назад в поле нашего зрения попала открытая база данных MongoDB, размером около 14 Мб, принадлежащая торгово-розничной сети товаров для охоты, рыбалки и туризма "Байанай Центр" из Якутии.
После нашего оповещения базу тихо прикрыли.
В свободном доступе находились данные интернет заказов и постоянных клиентов-стрелков тира. Информация включала ФИО, даты рождения, адреса электронной почты, телефоны, номера членских карт, район проживания, стоимость заказов.
После нашего оповещения базу тихо прикрыли.
В свободном доступе находились данные интернет заказов и постоянных клиентов-стрелков тира. Информация включала ФИО, даты рождения, адреса электронной почты, телефоны, номера членских карт, район проживания, стоимость заказов.
Получили официальный ответ от CMD по поводу нашего оповещении об открытой базе Elasticsearch с логами (https://t.iss.one/dataleak/892): 👇
Хотим поблагодарить Вас, за оперативно переданную 01.04.2019 информацию о наличии уязвимости в базе данных логирования и хранения ошибок Elasticsearch.
На основании этой информации, нашими сотрудниками совместно с профильными специалистами был ограничен доступ к указанной базе. Ошибка передачи конфиденциальной информации в техническую базу исправлена.
В ходе разбора инцидента удалось выяснить, что появление в открытом доступе указанной базы с логами ошибок произошло по причине, связанной с человеческим фактором. Доступ к данным был оперативно закрыт 01.04.2019.
На данный момент внутренними и привлеченными внешними специалистами проводятся мероприятия для дополнительного аудита ИТ-инфраструктуры на предмет защиты данных.
Нашей организацией разработан специальный регламент работы с персональными данными и системой уровневой ответственности персонала.
Текущая программная инфраструктура предполагает использование базы Elasticsearch для хранения ошибок. Для повышения надежности работы некоторых систем будет осуществлена миграция соответствующих серверов в ЦОД нашего партнера, на сертифицированное программно-аппаратное окружение.
Благодарим Вас за своевременно предоставленную информацию.
👍
Хотим поблагодарить Вас, за оперативно переданную 01.04.2019 информацию о наличии уязвимости в базе данных логирования и хранения ошибок Elasticsearch.
На основании этой информации, нашими сотрудниками совместно с профильными специалистами был ограничен доступ к указанной базе. Ошибка передачи конфиденциальной информации в техническую базу исправлена.
В ходе разбора инцидента удалось выяснить, что появление в открытом доступе указанной базы с логами ошибок произошло по причине, связанной с человеческим фактором. Доступ к данным был оперативно закрыт 01.04.2019.
На данный момент внутренними и привлеченными внешними специалистами проводятся мероприятия для дополнительного аудита ИТ-инфраструктуры на предмет защиты данных.
Нашей организацией разработан специальный регламент работы с персональными данными и системой уровневой ответственности персонала.
Текущая программная инфраструктура предполагает использование базы Elasticsearch для хранения ошибок. Для повышения надежности работы некоторых систем будет осуществлена миграция соответствующих серверов в ЦОД нашего партнера, на сертифицированное программно-аппаратное окружение.
Благодарим Вас за своевременно предоставленную информацию.
👍
Telegram
Утечки информации
Анонс очередной находки: база данных Elasticsearch с логами внутренней медицинской IT-системы, предположительно сети лабораторий CMD (www.cmd-online.ru). 🔥🔥
Мы оповестили CMD сегодня в 10 утра (МСК) и примерно в 15-15:30 база стала недоступной.
Подробности…
Мы оповестили CMD сегодня в 10 утра (МСК) и примерно в 15-15:30 база стала недоступной.
Подробности…
Персональные данные граждан, отправивших вопросы на прямой эфир с временно исполняющим обязанности губернатора Забайкальского края, оказались в открытом доступе.
Помимо содержания самих вопросов, были доступны имена и фамилии граждан, телефоны, домашние адреса и адреса электронной почты.
Помимо содержания самих вопросов, были доступны имена и фамилии граждан, телефоны, домашние адреса и адреса электронной почты.
Уважаемые подписчики, важная новость! 🔥
Начиная с этого месяца, мы будем выпускать ежемесячный дайджест по наиболее интересным публикациям в этом канале. В дайджест будут включаться только значимые утечки.
Только раз в месяц, никакого спама. Если нет времени читать все публикации на канале или захотите по итогам месяца освежить память - рекомендуем подписаться. 😎
Подписаться на дайджест можно по этой ссылке: 👇
https://www.devicelock.com/ru/subscribe.html
Начиная с этого месяца, мы будем выпускать ежемесячный дайджест по наиболее интересным публикациям в этом канале. В дайджест будут включаться только значимые утечки.
Только раз в месяц, никакого спама. Если нет времени читать все публикации на канале или захотите по итогам месяца освежить память - рекомендуем подписаться. 😎
Подписаться на дайджест можно по этой ссылке: 👇
https://www.devicelock.com/ru/subscribe.html
Киберпротект
Кибер Протего | Киберпротект
DLP система защиты информации в организации. Купить лицензию на dlp систему Кибер Протего на нашем сайте или по телефону +7 (495) 137-50-01
Маркетинговое агентство из Мексики Cultura Colectiva оставило в открытом доступе облачное хранилище файлов Amazon S3, со 146 Гб собранных данных пользователей социальной сети Facebook.
В свободном доступе находилось 540 млн записей, содержащих такую информацию по пользователеям Facebook, как: имена аккаунтов, идентификаторы Facebook, комментарии, лайки и т.д.
На самом деле ничего критичного, все данные собраны из открытого источника, куда попали по желанию самих пользователей, но шум в СМИ точно поднимется. 😱
Про то, как обнаруживают открытые облачные хранилища Amazon S3 можно почитать тут: https://www.devicelock.com/ru/blog/kak-obnaruzhivayut-otkrytye-oblachnye-hranilischa-amazon.html
И в дополнение к этой статье, ссылка на хороший словарь для поиска открытых хранилищ AWS: https://github.com/tomdev/teh_s3_bucketeers/blob/master/common_bucket_prefixes.txt
В свободном доступе находилось 540 млн записей, содержащих такую информацию по пользователеям Facebook, как: имена аккаунтов, идентификаторы Facebook, комментарии, лайки и т.д.
На самом деле ничего критичного, все данные собраны из открытого источника, куда попали по желанию самих пользователей, но шум в СМИ точно поднимется. 😱
Про то, как обнаруживают открытые облачные хранилища Amazon S3 можно почитать тут: https://www.devicelock.com/ru/blog/kak-obnaruzhivayut-otkrytye-oblachnye-hranilischa-amazon.html
И в дополнение к этой статье, ссылка на хороший словарь для поиска открытых хранилищ AWS: https://github.com/tomdev/teh_s3_bucketeers/blob/master/common_bucket_prefixes.txt
Киберпротект
Кибер Протего | Киберпротект
DLP-система Кибер Протего предотвращает утечку конфиденциальной информации, контролирует передачу данных и позволяет обнаруживать нарушения политики их хранения.
Продолжаем хайповую тему утечек данных из Facebook. В данном случае провинилось старое приложение, интегрированное с Facebook.
Мобильное приложение «At the Pool» хранило резервную копию своих данных в открытом облаке AWS. Приложение скорее всего уже заброшенно своими создателями, т.к. вебсайт не работает, а последнее обновление в Apple App Store было 4-го июня 2014 года.
В свободном доступе нашелся файл базы данных PostgreSQL с данными 22 тыс. пользователей. В базе содержатся такие поля, как: fb_user_id, fb_user, fb_friends, fb_email, fb_likes, fb_music, fb_movies, fb_books, fb_photos, fb_events, fb_groups, fb_checkins, fb_interests, password и т.п.
Мобильное приложение «At the Pool» хранило резервную копию своих данных в открытом облаке AWS. Приложение скорее всего уже заброшенно своими создателями, т.к. вебсайт не работает, а последнее обновление в Apple App Store было 4-го июня 2014 года.
В свободном доступе нашелся файл базы данных PostgreSQL с данными 22 тыс. пользователей. В базе содержатся такие поля, как: fb_user_id, fb_user, fb_friends, fb_email, fb_likes, fb_music, fb_movies, fb_books, fb_photos, fb_events, fb_groups, fb_checkins, fb_interests, password и т.п.
А вот пример того, почему важно быстро реагировать на оповещения исследователей безопасности, когда они сообщают компаниям об обнаружении открытых баз данных или других уязвимостей.
В данном конкретном случае украинские киберпреступники заявляют о взломе некой базы, размером 7 Гб, российского сайта госуслуг «Красногвардейского района» (прямая цитата, что за район и где он – не уточняется)
Те же самые киберпреступники оставляют такие сообщения в украинских базах, до которых они успевают дотянуться первыми:
«Ваша база даних MongoDB не захищена! Будь хто, хто має ip цієї бази може підключитись до неї без автентифікації по 27017 порту! THack3forU дбає про безпеку рідної країни!»
В данном конкретном случае украинские киберпреступники заявляют о взломе некой базы, размером 7 Гб, российского сайта госуслуг «Красногвардейского района» (прямая цитата, что за район и где он – не уточняется)
Те же самые киберпреступники оставляют такие сообщения в украинских базах, до которых они успевают дотянуться первыми:
«Ваша база даних MongoDB не захищена! Будь хто, хто має ip цієї бази може підключитись до неї без автентифікації по 27017 порту! THack3forU дбає про безпеку рідної країни!»
Forwarded from Лучшие IT каналы
🔥 Подборка самых интересных каналов про IT, хакинг и безопасность.
CyberYozh - бесплатный курс по анонимности и безопасности в сети. Истории ошибок и арестов известных киберпреступников, тайные технологии защиты информации, ловушки для хакеров и многое другое.
@webware - хакинг от новичка до профи. Только свежая и эксклюзивная информация. Offensive, Defensive, Penetration test, CTF…
@swaproservice - Обратная сторона цифровой паутины. От основ безопасности до взлома человека. Пентестинг, защита от мошенников, истории реальных людей и просто полезное чтиво не оставят вас равнодушным.
@vschannel - канал Дмитрия Момота, известного в сети под псевдонимом VektorT13. Он пишет про уникализацию, антидетекты, методики отслеживания, анти-фрод системы, отпечатки браузера, железа и операционной системы.
@exploitex - хакинг для новичков и профи. Информационная безопасность, этичный хакинг, уязвимости, пентест и многое другое, что необходимо каждому хакеру.
@itsec_news - регулярные подборки новостей и интересных публикаций в сфере информационной безопасности.
CyberYozh - бесплатный курс по анонимности и безопасности в сети. Истории ошибок и арестов известных киберпреступников, тайные технологии защиты информации, ловушки для хакеров и многое другое.
@webware - хакинг от новичка до профи. Только свежая и эксклюзивная информация. Offensive, Defensive, Penetration test, CTF…
@swaproservice - Обратная сторона цифровой паутины. От основ безопасности до взлома человека. Пентестинг, защита от мошенников, истории реальных людей и просто полезное чтиво не оставят вас равнодушным.
@vschannel - канал Дмитрия Момота, известного в сети под псевдонимом VektorT13. Он пишет про уникализацию, антидетекты, методики отслеживания, анти-фрод системы, отпечатки браузера, железа и операционной системы.
@exploitex - хакинг для новичков и профи. Информационная безопасность, этичный хакинг, уязвимости, пентест и многое другое, что необходимо каждому хакеру.
@itsec_news - регулярные подборки новостей и интересных публикаций в сфере информационной безопасности.
Исследователь с канала @webpwn обнаружил в свободном доступе на GitHub учетную запись компании DeviceLock, которую мы использовали для доступа к FTP-серверу технической поддержки клиентов.
Выглядит конечно неприятно, но не более того. Этот FTP имеет статус общедоступного (на самом деле только для клиентов DeviceLock DLP) и предназначен для обмена внутренними логами продукта.
Логи DeviceLock DLP не содержат никаких персональных или иных чувствительных данных наших клиентов и служат исключительно для поиска и устранения неисправностей в коде продукта.
Самое «страшное», что утекло - это названия директорий с именами наших клиентов, которых мы кстати, никогда и не скрывали. Список клиентов можно посмотреть тут: https://www.devicelock.com/ru/company/testimonials.html
Выражаем признательность исследователю за своевременное оповещение.
Выглядит конечно неприятно, но не более того. Этот FTP имеет статус общедоступного (на самом деле только для клиентов DeviceLock DLP) и предназначен для обмена внутренними логами продукта.
Логи DeviceLock DLP не содержат никаких персональных или иных чувствительных данных наших клиентов и служат исключительно для поиска и устранения неисправностей в коде продукта.
Самое «страшное», что утекло - это названия директорий с именами наших клиентов, которых мы кстати, никогда и не скрывали. Список клиентов можно посмотреть тут: https://www.devicelock.com/ru/company/testimonials.html
Выражаем признательность исследователю за своевременное оповещение.
А теперь вернемся к серьезным утечкам… 😎
Неизвестные «сдампили» базу данных компании FirstVDS (firstvds.ru), предоставляющей услуги хостинга на виртуальных выделенных серверах VDS или VPS. 🔥🔥🔥
Утекли данные клиентов, доступы к внутренним и клиентским серверам. 🤦♂️🤦🏻♂️🙈
Общий объем данных попавших в свободный доступ превышает 800 Мб. В распространяемом архиве находится 9 файлов формата .SQL:
✅ dedic_100_.sql
✅ domains.sql
✅ forum.roundabout.ru.sql
✅ item_502089.sql
✅ profile_124368.sql
✅ server_195.sql
✅ sysadmin_15.sql
✅ user.sql
✅ vds_66194.sql
Таблица users насчитывает 126745 строк, содержащих такие поля, как:
Таблица profile насчитывает 124616 строк, содержащих такие поля, как:
Также открытые пароли находятся в таблицах domains, sysadmin, vds, dedic. 😂
Мы проверили несколько контактов из этой утекшей базы – все они реальные. 👍
Неизвестные «сдампили» базу данных компании FirstVDS (firstvds.ru), предоставляющей услуги хостинга на виртуальных выделенных серверах VDS или VPS. 🔥🔥🔥
Утекли данные клиентов, доступы к внутренним и клиентским серверам. 🤦♂️🤦🏻♂️🙈
Общий объем данных попавших в свободный доступ превышает 800 Мб. В распространяемом архиве находится 9 файлов формата .SQL:
✅ dedic_100_.sql
✅ domains.sql
✅ forum.roundabout.ru.sql
✅ item_502089.sql
✅ profile_124368.sql
✅ server_195.sql
✅ sysadmin_15.sql
✅ user.sql
✅ vds_66194.sql
Таблица users насчитывает 126745 строк, содержащих такие поля, как:
id
, name
, isgroup
, account
, password
, realname
, email
, lang
, superuser
, disabled
, timezone
, support
, remotesupport
, remotelevel
, remoteid
, changepasswd
, note
, chief
, sendsms
, phone
, smstimefrom
, smstimeto
, avatar
Стоит отметить, что в этой таблице пароли хешированные. Таблица profile насчитывает 124616 строк, содержащих такие поля, как:
id
, name
, account
, ptype
, person
, vatnum
, kpp
, country
, zip
, city
, address
, ccountry
, czip
, ccity
, caddress
, phone
, fax
, email
, www
, locale
, hasinvoice
, billnumber
, invoicenumber
, billtempl
, invoicetempl
, paydesc
, contractnumber
, director
, jobtitle
, rdirector
, rjobtitle
, baseaction
, passport
, regdate
, maildocs
, id1c
, fastinvoice
, invoicedesc
, postcompany
, postcurrency
, reconciliationtempl
, ogrn
, bankname
, bik
, rs
, ks
, wrongaddress
, returnreason
Таблица server насчитывает 195 строк, содержащих такие поля, как: id
, name
, mgrname
, ip
, username
, password
, rlimit
, cpmodule
, config
, statdate
, datacenter
, active
, loading
, manualcontact
, url
, monitor
, prolong
, changeparam
, sendtask
, features
А в этой таблице пароли хранятся в открытом (текстовом) виде! 😱Также открытые пароли находятся в таблицах domains, sysadmin, vds, dedic. 😂
Мы проверили несколько контактов из этой утекшей базы – все они реальные. 👍
Анализ утекших данных FirstVDS показал, что примерный возраст данных - 7 лет.
В процессе анализа не удалось найти ни одну запись старше 2012 года.
Разумеется, это не делает данную утечку менее значимой, т.к. персональные данные клиентов (ФИО, даты рождения, номера паспортов, телефоны, адреса регистрации, адреса электронной почты и т.п.) имеют куда больший срок годности.
Однако, утекшие пароли возможно уже были изменены за прошедшие годы.
В процессе анализа не удалось найти ни одну запись старше 2012 года.
Разумеется, это не делает данную утечку менее значимой, т.к. персональные данные клиентов (ФИО, даты рождения, номера паспортов, телефоны, адреса регистрации, адреса электронной почты и т.п.) имеют куда больший срок годности.
Однако, утекшие пароли возможно уже были изменены за прошедшие годы.
А вот официальный ответ основателя и генерального директора FirstVDS Алексея Чекушкина:
Да, мы знаем об этой новости. Выложенная база датируется ещё 2012 годом — все пользователи, данные которых оказались в открытом доступе, были предупреждены ещё в те времена и тогда же сменили пароли к серверам и аккаунтам. Никого из действующих пользователей FirstVDS проблема не затрагивает, поэтому волноваться не о чем.
Да, мы знаем об этой новости. Выложенная база датируется ещё 2012 годом — все пользователи, данные которых оказались в открытом доступе, были предупреждены ещё в те времена и тогда же сменили пароли к серверам и аккаунтам. Никого из действующих пользователей FirstVDS проблема не затрагивает, поэтому волноваться не о чем.
В открытом доступе обнаружена незащищенная база данных MongoDB, в которой хранятся данные московских станций скорой медицинской помощи (ССМП). База называется «ssmp» и имеет размер 17.3 Гб. 🔥🔥🔥
В базе содержится:
✅ дата/время вызова
✅ ФИО членов бригады скорой помощи (включая водителя)
✅ госномер автомобиля бригады скорой помощи
✅ статус автомобиля бригады скорой помощи (например, “прибытие на вызов”)
✅ адрес вызова
✅ ФИО, дата рождения, пол пациента
✅ описание состояния пациента (например, “температура >39, плохо снижается, взрослый”)
✅ ФИО вызывавшего скорую помощь
✅ контактный телефон
✅ и многое другое…
Информация в базе похожа на логи (ОПЯТЬ логи!) какой-то системы мониторинга/отслеживания процесса выполнения задачи.
Самое печальное, что отсутствие аутентификации на этот раз не является единственной проблемой в данном инциденте. 😱
1️⃣ Во-первых, данную базу обнаружили украинские киберпреступники из группировки THack3forU, про которых мы упоминали тут: https://t.iss.one/dataleak/906
2️⃣ Во-вторых, киберпреступники выложили эту базу и ее IP-адрес в открытый доступ и теперь все данные «гуляют» по интернету. 😂
3️⃣ В-третьих, сервер базы данных с персональными и медицинскими данным российских граждан располагается в Германии, на площадке хостинговой компании Hetzner Online GmbH. 🤦♂️🤦🏻♂️
В базе содержится:
✅ дата/время вызова
✅ ФИО членов бригады скорой помощи (включая водителя)
✅ госномер автомобиля бригады скорой помощи
✅ статус автомобиля бригады скорой помощи (например, “прибытие на вызов”)
✅ адрес вызова
✅ ФИО, дата рождения, пол пациента
✅ описание состояния пациента (например, “температура >39, плохо снижается, взрослый”)
✅ ФИО вызывавшего скорую помощь
✅ контактный телефон
✅ и многое другое…
Информация в базе похожа на логи (ОПЯТЬ логи!) какой-то системы мониторинга/отслеживания процесса выполнения задачи.
Самое печальное, что отсутствие аутентификации на этот раз не является единственной проблемой в данном инциденте. 😱
1️⃣ Во-первых, данную базу обнаружили украинские киберпреступники из группировки THack3forU, про которых мы упоминали тут: https://t.iss.one/dataleak/906
2️⃣ Во-вторых, киберпреступники выложили эту базу и ее IP-адрес в открытый доступ и теперь все данные «гуляют» по интернету. 😂
3️⃣ В-третьих, сервер базы данных с персональными и медицинскими данным российских граждан располагается в Германии, на площадке хостинговой компании Hetzner Online GmbH. 🤦♂️🤦🏻♂️
Telegram
Утечки информации
А вот пример того, почему важно быстро реагировать на оповещения исследователей безопасности, когда они сообщают компаниям об обнаружении открытых баз данных или других уязвимостей.
В данном конкретном случае украинские киберпреступники заявляют о взломе…
В данном конкретном случае украинские киберпреступники заявляют о взломе…