Хакер 0x55Taylor выложил в свободный доступ два архива документов, полученных с сервера мексиканского посольства в Гватемале:

1️⃣ RandomShit.zip (16 Мб) – содержит дампы MySQL и списки пользователей (с хешами паролей) с домена sre.gob.mx (МИД Мексики).

2️⃣ files.zip (5.4 Гб) – содержит 4,870 файлов, в основном сканы различных документов (паспорта с визами, удостоверения личности, свидетельства о рождении, дипломатические письма, распечатки электронной почты, заявления на визу, счета на оплату и многое другое) в формате PDF, TIFF, PSD и JPG.

Мы проанализировали данную утечку:

✅ В распакованном виде все файлы из files.zip занимают 6.28 Гб.

✅ Большинство файлов (4213), содержащих сканы документов и фотографии людей датированы 2018 годом (сентябрь-декабрь).

✅ 555 файлов, содержащих сканы документов и фотографии людей создано в 2019 году (январь-апрель).

✅ 102 файла не содержали сканов документов или фотографий людей.

✅ Само содержимое документов относится к 2016-2019 гг. (по апрель включительно).

✅ С помощью технологии определения реального типа файла по его содержимому, встроенной в DeviceLock DLP, было найдено 36 PDF-файлов на самом деле являющихся DOC, BMP, XLS и XLSX-документами.

✅ Исходя из анализа содержимого документов можно утверждать, что взлом сервера и слив документов произошел между 11.04.2019 и 15.04.2019.

С сервера мексиканского посольства в Гватемале утекло несколько тысяч сканов документов. 😂

«Мамкины хакеры» из THack3forU (про них тут: https://t.iss.one/dataleak/926) снова вышли на связь и заявляют, что слили и уничтожили базу не много не мало, а «единой информационной системы в сфере закупок» (zakupki.gov.ru)! Более того, юные «дарования» заявляют, что опять «гос. данные РФ находятся не на территории РФ». 😱

На самом деле киберпреступники обнаружили открытую базу MongoDB, расположенную на сервере в Германии, в которую писались данные от одного из многочисленных парсеров сайта госзакупок (кто владелец этого парсера нам неизвестно, но он, судя по всему, не имеет никакого отношения к сайту госзакупок). Все данные, которые находились в базе, были взяты из открытых источников и находятся в свободном доступе на том самом сайте zakupki.gov.ru. Сама база с результатами парсинга называлась gosparser. 👍

Тот пример, что хакеры приводят («Как видим на сайте нет ни e-mail, ни ФИО, даже номер не тот») как доказательство наличия в базе того, чего нет на сайте, легко опровергается простым поиском в Гугл (https://zakupki.gov.ru/epz/contract/contractCard/common-info.html?reestrNumber=0333200008114000003). 🙈🤦‍♂️🤦🏻‍♂️

Базу они действительно стерли (сегодня в 11:53:49 МСК), предварительно скачав и выложив ее на один из файлообменников.

Информационный портал «ИНВЕСТИЦИОННЫЕ ПРОЕКТЫ» (investprojects.info) прикрыл доступ к открытой базе Elasticsearch, про которую мы писали 25-го марта (https://t.iss.one/dataleak/877).

19.04.2019 мы выслали им вторичное оповещение по электронной почте и вот наконец сервер "тихо" исчез из свободного доступа. 🤦🏻‍♂️

Весьма интересное исследование «Утечки персональных данных из регулируемых государством информационных систем. Часть 1. Удостоверяющие центры»: begtin.tech/pdleaks-p1-uc/

Автор пишет: «обзор 16 удостоверяющих центров из которых 9 государственные и во всех из них можно получить персональные данные в виде ФИО, места работы, email, ИНН и СНИЛС по физ. лицам через общедоступные реестры сертификатов. В общей сложности это около 63 тысяч записей о физ. лицах.»

Мы проверили реестр сертификатов Министерства обороны РФ (sprquerycert.mil.ru). По запросу «@» (в адресе электронной почты), как предлагается в статье – ничего не находится, однако если делать поиск по «.ru», то находится 3280 записей с ФИО, подразделением, организацией, электронной почтой и т.п. информацией.

Вчера вечером мы выявили открытую базу данных MongoDB, принадлежащую белорусскому сервису «ilex» (ilex.by). С сайта компании: «ilex — это уникальная база информации для бухгалтеров, юристов, руководителей.»

Уведомление по электронной почте было отправлено в 21:45 (МСК), а сегодня утром (до 10:20) база «тихо» исчезла из свободного доступа.

В базе размером 255 Гб находились логи доступа пользователей к сервису. Из логов можно было получить записи (более 67 млн. строк с 07.02.2019 по 21.04.2019) с адресами электронной почты, названиями организаций, IP-адресами и токенами доступа (authentication token) к документам.

Получили ответ от «ilex»: «Большое спасибо за предоставленную информацию! Исправили.» 👍

А помните историю, как хакеры нашли и удалили открытую базу мобильного приложения системы «ПИЛОТ»? (https://t.iss.one/dataleak/969)

Так вот сервер floyd.pilot-gps.ru с базой MongoDB все-еще открыт, но следов (коллекции «Message» с посланием хакеров) нет. 🤦‍♂️🤦🏻‍♂️

Хакер 0x55Taylor, который выложил в свободный доступ документы мексиканского посольства в Гватемале, и ссылка на которые почти сразу была удалена, снова раздает их по новой ссылке: https://mega.nz/#F!Kd8yVCKZ!H0LE__VFPLMubpBpaff-yg

Мы делали подробный анализ этой утечки тут: https://t.iss.one/dataleak/973

Рады сообщить о выпуске обновления программного комплекса DeviceLock DLP 8.3, предназначенного для предотвращения инсайдерских утечек данных.

DeviceLock 8.3.76699 уже доступен для загрузки на официальном сайте. Дистрибутив DeviceLock DLP включает в себя триальную лицензию.


✅ В перечень контролируемых сетевых протоколов добавлен сервис видеоконференций "Zoom". Данная возможность является уникальной на рынке DLP-решений.

В рамках контроля приложения "Zoom" для исходящих сообщений и файлов реализованы функции блокировки или разрешения доступа, событийного протоколирования, тревожных оповещений, теневого копирования и контентного анализа. Для входящих сообщений и файлов реализованы функции блокировки, событийного протоколирования, тревожных оповещений, теневого копирования и поддержка контентного анализа для операций теневого копирования и обнаружения (Detection). Также реализованы функции блокировки, событийного протоколирования и тревожных оповещений для конференций / звонков.

✅ В перечень контролируемых сетевых протоколов добавлена новая категория "Поиск работы" ("Career Search").

В рамках контроля протокола "Поиск работы" реализованы функции блокировки или разрешения доступа, событийного протоколирования, тревожных оповещений, теневого копирования, контентного анализа поисковых запросов, отправляемых текстовых сообщений и файлов, загружаемых на контролируемые сервисы.

✅ Многократно увеличена скорость работы с журналами теневого копирования больших размеров на DeviceLock Enterprise Server, включая операции загрузки, фильтрации и просмотра журналов..

✅ Реализована полная поддержка ОС Windows Server 2019.

✅ Многие другие улучшения, в особенности в части контроля каналов сетевых коммуникаций, отчетов, вопросов совместимости с ПО третьих сторон - подробно в официальной новости.

Аналитики компании DeviceLock проанализировали 3,5 миллиарда скомпрометированных пар "логин-пароль", входивших в семь коллекций общим объемом 975 Гб, опубликованных хакерами с начала 2019 года. 🔥

В десятку самых популярных паролей вошли:

1️⃣ 123456
2️⃣ 123456789
3️⃣ qwerty
4️⃣ password
5️⃣ 12345
6️⃣ qwerty123
7️⃣ 1q2w3e
8️⃣ 12345678
9️⃣ 111111
1️⃣0️⃣ 1234567890.

Самыми популярными кириллическими паролями стали: я (единственный односимвольный пароль), пароль, йцукен (qwerty только на кириллице), а также персонально-сентиментальные любовь, привет, люблю, наташа, максим, андрей, солнышко. ❤️

По словам основателя и технического директора DeviceLock Ашота Оганесяна, растущее число и утечек как таковых, и использования слабых паролей, свидетельствует о том, что, несмотря на все образовательные усилия участников IT-отрасли, пользователи продолжают, в основном, легкомысленно относиться к выбору паролей.

"В корпоративных системах, где есть возможность установить жесткие требования к паролю, ситуация улучшается, - отмечает Оганесян. - Но там, где автоматизированного контроля нет, пользователи пишут ровно то, что у них в голове. А там - "привет, люблю, Наташа". При этом взлом, например, онлайн-кабинета в маловажном сервисе позволяет впоследствии быстро добраться и до более важных систем, включая электронную почту или мессенджер".

Полное исследование можно найти тут: 👇
https://www.devicelock.com/ru/blog/analiz-4-mlrd-parolej-chast-vtoraya.html

Кстати, не так давно нам прислали ссылку на весьма интересный проект www.leakcheck.net - сервис проверки почт на слитые пароли. Этот сервис чем-то похож на известный проект Have I Been Pwned, но в отличии от него leakcheck.net показывает слитые пароли. 👍

Сегодня поговорим про утечки с того света. 👻

Речь разумеется про загробный мир ИТ-проектов, которые умерли, но словно зомби продолжают жить – сливать персональные данные пользователей. 🙈

В статье описано два проекта – «Команда Путина» (putinteam.ru) и мобильное приложение «Roamer» (roamerapp.com/ru).

В обоих случаях нами были обнаружены открытые базы данных MongoDB с информацией пользователей проектов. 🤦‍♂️

Подробнее на Хабре: 👇
https://habr.com/ru/post/449252/

На специализированных ресурсах распространяется база данных ГИБДД с информацией по регистрационным действиям в Москве и МО за 2018 год (с января по ноябрь). В базе 1,136,601 записей. 🔥🔥

В базе доступны следующие поля:

✅ Телефон
✅ Дата операции
✅ ГРЗ
✅ Марка АМТС
✅ Модель АМТС
✅ Год выпуска
✅ VIN
✅ Двигатель
✅ Серия рег.док-та
✅ № рег.док-та
✅ Серия ПТС
✅ № ПТС
✅ Фамилия (Наименов. организации)
✅ Имя
✅ Отчество
✅ Дата рождения/регистрации ЮЛ
✅ № удостоверения личности
✅ Кем выдано удостоверение личности
✅ нас.пункт
✅ улица
✅ дом
✅ корпус
✅ кв.

Платежные документы для оплаты коммунальных услуг, содержащие персональные данные граждан, в числе которых ФИО, адрес проживания, сумма долга за оказанные коммунальные услуги, находились в открытом доступе для неопределенного круга лиц, в развернутом виде, на первом этаже дома в городе Кузнецк, Пензенской области.

В отношении директора теплоснабжающей организации АО «Гидромаш-Групп», прокуратурой было возбуждено дело об административном правонарушении по ч. 6 ст. 13.11 КоАП РФ («Нарушение законодательства Российской Федерации в области персональных данных»).

Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: 👇
https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html

Русская служба BBC выпустила большую статью про российский рынок «пробива». 🔥🔥🔥

«В России расцвел нелегальный рынок "онлайн-пробива", на котором можно за скромные деньги получить данные о перемещениях по городу по сигналу мобильного, детализацию телефонных разговоров или кодовое слово от банковской карты. Для эксперимента корреспондент Би-би-си купил актуальные персональные данные на себя и родственницу.»

Данный материал готовился с нашей помощью (консультации и комментарии) с декабря прошлого года. 😎

В ноябре 2018 года мы выпустили очередной обзор цен черного рынка на российские персональные данные (www.devicelock.com/ru/blog/tseny-chernogo-rynka.html), что и послужило идеей для расследования BBC.

Рекомендуем к прочтению! 👇
www.bbc.com/russian/features-48037582

21-го апреля мы обнаружили открытую MongoDB с данными мониторинга транспорта коммунальных хозяйств г. Минска (Белоруссия).

В базе, размером 4.9 Гб, содержится такая информация, как:

✅ регистрационный номер автомобиля
✅ название коммунального хозяйства
✅ GPS-координаты автомобиля (его местоположение)
✅ скорость движения автомобиля в каждой точке фиксации
✅ время фиксации

Данные актуальны на начало апреля 2019 года. База впервые попала в Shodan - 29.11.2018.

22.04.19 мы выслали уведомление коммунальному унитарному предприятию "Центр информационных технологий Мингорисполкома", но база до сих пор находится в свободном доступе. 🤦‍♂️

Буквально сразу после выхода статьи про брошенные проекты, которые сливают данные пользователей (тут: https://t.iss.one/dataleak/984), один из двух «зомби-проектов» прикрыл доступ к своей базе данных. 😂

База данных MongoDB проекта «Команда Путина» (putinteam.ru) находилась в открытом доступе с 29 ноября 2018 г. (по данным BinaryEdge). Наша система мониторинга обратила на нее внимание 19.04.2019 и тогда же мы выслали оповещения по всем возможным контактам, указанным на сайте проекта. Однако, никакой ответной реакции не последовало и вплоть до 25.04.2019 19:25 (МСК) база оставалась открытой. 🤦‍♂️

В базе содержалось:

✅ 1107 пользователей (адреса электронной почты, имена/фамилии, хешированные пароли, GPS-координаты, города проживания и фотографии), зарегистрировавшихся на сайте проекта.

✅ 118 подписчиков рассылки (адреса электронной почты).

Видеосюжет русской службы BBC про нелегальный рынок онлайн-пробива: 👇
https://www.youtube.com/watch?v=Zap4g4_MFiA

В дополнение к вчерашней статье: https://t.iss.one/dataleak/987

Уважаемые подписчики, напоминаем вам про подписку на дайджест наиболее значимых утечек месяца! 🔥

Только раз в месяц, никакого спама. Если нет времени читать все публикации на канале или захотите по итогам месяца освежить память - рекомендуем подписаться. 😎

Подписаться на дайджест можно по этой ссылке: 👇
https://www.devicelock.com/ru/subscribe.html

В начале апреля нами была обнаружена свободно доступная база MongoDB с данными зуботехнической лаборатории «CAD\CAM_LAB» (cadcamlabs.ru), входящей в группу компаний «3д стоматология» (ztl.su).

В базе содержались:

✅ ФИО, телефоны, названия компаний, хешированные пароли клиентов (стоматологических клиник) лаборатории
✅ тип работ (например, «ЗТЛ №6325, Клиника Медсервис, -, Верхняя челюсть, , Ма*** Юлия Витальевна, цвет: А3, зубная формула: 14»)
✅ ФИО и адрес электронной почты исполнителя
✅ ФИО пациента
✅ статус заказа
✅ комментарии к заказу
✅ стоимость

Всего более 17 тыс. записей.

База попала в открытый доступ 02.04.2019 и была практически сразу зафиксирована нашей автоматической системой.

На высланное нами оповещение никто не ответил, но через несколько дней сервер с MongoDB исчез из открытого доступа. 🤦🏻‍♂️


Напомним случаи обнаружения данных пациентов и медицинских организаций: 🚑

1️⃣ DOC+ (ООО «Новая Медицина»): https://t.iss.one/dataleak/841
2️⃣ Доктор рядом: https://t.iss.one/dataleak/855
3️⃣ Лаборатория CMD: https://t.iss.one/dataleak/892 и https://t.iss.one/dataleak/898
4️⃣ Станции скорой медицинской помощи: https://t.iss.one/dataleak/916
5️⃣ Лабораторная Информационная Система «Ариадна»: https://t.iss.one/dataleak/945