Провели свое собственное расследование того, как вычислили хакера, причастного к недавнему взлому Twitter.

И у нас кое-что не сходится... 😂

https://habr.com/ru/post/513402/

UPD. Все сошлось, после того, как в отчете спецагента США была обнаружена опечатка. 🤣

«Коммерсантъ» пишет, что злоумышленники выставили на продажу личные данные около 1 млн. водителей Москвы и Подмосковья:

На одном из форумов, специализирующихся на продаже баз данных и организации утечек информации, 24 июля выставлен на продажу архив с базой данных автомобилистов, обнаружил “Ъ”. В нем содержатся файлы Excel в целом примерно на 1 млн строк с личными данными водителей по Москве и Московской области, актуальными на конец 2019 года. Начальная цена — $1,5 тыс. Продавец также приложил скриншот таблицы. Из него следует, что в файле следующие строки: дата регистрации автомобиля, государственный регистрационный знак, марка, модель, год выпуска, фамилия, имя и отчество владельца, его телефон и дата рождения, регион регистрации, VIN-код, серия и номер свидетельства о регистрации и ПТС.

Мы неоднократно писали про эту базу, тут: https://t.iss.one/dataleak/1375 и тут: https://t.iss.one/dataleak/1349.

Эти данные давно продаются на черном рынке. Цена одного месяца колеблется от 3,5 до 10 тыс. рублей. 💰

Мы предполагаем (по характеру данных), что база получена из страховой компании, а не из ГИБДД. 😎

Кстати, в том объявлении о продаже, которое журналисты обнаружили на форуме XSS, уже написано, что база продана. 😱

Уважаемые читатели, по традиции мы предлагаем вам дайджест наиболее значимых утечек прошедшего месяца! 🔥

Очередной выпуск ежемесячного дайджеста наиболее интересных публикаций в июле 2020 г.

«Коммерсантъ» обнаружил в продаже базу данных голосовавших по поправкам к Конституции:

Корреспондент “Ъ” связался с продавцом, который заявил, что база «полностью свежая». В условиях повышенного спроса ему удалось продать уже 30 тыс. строк данных.

Это та же самая база, что распространялась в открытом доступе после расследования «Медузы», содержащая "расшифрованные" номера паспортов, используемые приложением, разработанным для членов участковых избирательных комиссий. 😂

Кому может понадобиться покупать базу, которая находится в свободном доступе (буквально в соседней теме на том же самом форуме – про это писали тут), мы не понимаем. 🤷‍♂️

Из продающейся базы удалено 6,763 номеров паспортов (по сравнению с той базой, что находится в паблике), которые, вероятно, относятся к недействительным.

«Британская стоматологическая ассоциация» («British Dental Association») подверглась атаке вируса-вымогателя и часть похищенных данных была выложена в открытый доступ.

Сайт ассоциации (bda.org) в данный момент показывает “заглушку”, сообщающую о неком киберинциденте.

30.07.2020 злоумышленники выложили 5,517 файлов (.doc, .xlsx, .msg и т.д.), содержащих данные сотрудников (включая трудовые договора, резюме и т.п. документы, относящиеся к кадровой службе).

Чуть позже злоумышленник сообщил, что ассоциация вышла на связь и удалил ссылку на скачивание данных. Однако, данные доступны для свободного скачивания на другом форуме.

В Надыме (ЯНАО), городской суд признал 22-летнего местного жителя виновным в продаже персональных данных клиентов компании «МТС».

Работая в офисе продаж дочерней компании ПАО «МТС», молодой человек воспользовался возможностью получать информацию об абонентах оператора связи, реализовав за 3 тыс. рублей персональные данные 26 абонентов. Проще говоря, сотрудник оператора занимался т.н. “мобильным пробивом”.

Он осужден по ч. 3 с. 183 УК РФ («незаконное разглашение сведений, составляющих коммерческую тайну, без согласия их владельца лицом, которому она стала известна по работе») и приговорен к 6 месяцам лишения свободы условно с установлением обязанностей, которые должен выполнять в течение года.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут.

Продолжим анализировать дампы, выложенные в открытый доступ хакерами «Shiny Hunters». До этого они уже "сливали" данные appen.com, scentbird.com, promo.com, dave.com, liveauctioneers.com, mathway.com, Tokopedia.com, chronicle.com и даже исходные коды Microsoft.

На этот раз рассмотрим PostgreSQL-дамп базы пользователей платформы «ProctorU» (proctoru.com), обеспечивающей дистанционную сдачу студентами экзаменов. «ProctorU» известен тем, что фактически устанавливает на компьютеры сдающих экзамены шпионское ПО, мониторящее камеры, браузеры, файлы на дисках и т.п. 😱

Дамп, размером 261 Мб, содержит 444 275 строк:

🌵 имя/фамилия
🌵 логин
🌵 адрес эл. почты
🌵 домашний/рабочий/мобильный телефон
🌵 почтовый адрес (всего 58 из России)
🌵 дата создания/изменения профиля (самая свежая 26.06.2020)
🌵 хешированный (bcrypt с солью) пароль
🌵 признак гражданства ЕС
🌵 тип компьютера (PC, Mac)

В свободный доступ попала еще одна база, скачанная из недавно взломанного сервиса dataviper.io, исследователя Vinny Troia - логины и пароли пользователей сервиса бронирования ресторанов opentable.com.

В базе 20,801,059 строк, но всего около 12 млн. пар логин/пароль и при этом 0% уникальных пар. Т.е. в базе практически нет уникальных записей, которые бы не встречались ранее. 🤷‍♂️

Это может говорить либо о том, что база сфабрикована (путем добавления строк из других утечек), либо эта база уже попала в коллекцию утечек ранее в составе крупных "сборников" (таких, как «Collection #1» и др.). 😎

Сам сервис «OpenTable» в конце 2017 г. осуществил принудительный сброс паролей пользователей, но утечку не признал. 🤣

Очередной масштабный слив исходных кодов – на этот раз утекли исходники компании «Intel». 🔥🔥🔥

Вчера вечером в открытый доступ было выложено 16,9 Гб файлов, содержащих, в том числе, конфиденциальные документы «Intel» и исходные коды.

Это только первая часть масштабной утечки. Остальные части должны появится позже. 👍

Интересно, что часть документации и исходников изначально (в самой «Intel») хранились в запароленных ZIP-архивах и пароли, используемые в компании это “intel123” и “Intel123”. Однако, не ко всем архивам подходят эти пароли. 😎

Часть файлов датируется маем этого года. 😱

В мае «Shiny Hunters» выставили на продажу ($500) на «Empire Market» базу данных приложения для знакомств «Zoosk».

В мае 2016 г. база «Zoosk» уже “всплывала”, но оказалась фейком. Она была сфабрикована из утечки другого сервиса для знакомств – «Badoo» (в июне 2013 г. появилась база со 112 млн. пользователями этого сервиса). 😂

Несколько дней назад дамп (датирован 12.01.2020) появился в свободном доступе и на этот раз он действительно содержит данные зарегистрированных пользователей «Zoosk» - 29,186,508 строк:

🌵 имя/фамилия
🌵 адрес эл. почты
🌵 пол
🌵 дата рождения
🌵 дата создания/изменения профиля и последнего входа в систему (с 04.08.2007 по 12.01.2020)
🌵 страна (41,643 из России)
🌵 GPS-координаты
🌵 кого ищет (мужчину или женщину)
🌵 рост, тип тела, признак курения, наличие детей, домашние животные и многое другое

Немного "занимательных" цифр: 🤣

✅ 14,576,247 мужчин всего
✅ 11,002,226 женщин всего
✅ 12,655,409 ищут женщин
✅ 8,355,376 ищут мужчин
✅ 528,681 мужчин ищут мужчин
✅ 557,807 женщин ищут женщин

В Болгарии арестовали хакера «Instakilla», известного тем, что он взламывал сервер многопользовательской игры «Stalker-Online», ИБ-компании «Comodo», распространял (но не имел отношения к взлому) базу болгарской налоговой службы и многие другие базы, в основном взламывая форумы на движке «vBulletin».

На форуме «RaidForums» этот пользователь был забанен 03.08.2020 за мошенничество. 🤣

В конце 2016 г. произошла утечка более 93 млн. пользователей, включая хешированные (MD5) пароли, китайского видеохостинга Youku.com.

Мы проанализировали пары логин/пароль из этой утечки. Из 93,6 млн. пар почти 44% оказались уникальными и никогда ранее не встречались в других утечках.

Житель Екатеринбурга обнаружил на свалке несколько мешков с медицинскими документами, принадлежащие городской больнице № 40.

Большинство документов это акты сдачи-приемки работ, но среди них есть бумаги с персональными данными пациентов. Документы датированы 2002-2017 гг.

В открытый доступ выложены дампы пользователей двух форумов – «Cообщество QashqaiRussia» (qashqairussia.ru) и «Клуб Рено Дастер» (dusterclub.ru).

В первом дампе 10,403 строк, во втором - 12,479 строк, содержащие адреса эл. почты, хешированные (MD5) пароли и соль для хеширования.

Оба форума построены на движке «vBulletin».

В открытый доступ выложили дамп базы данных пользователей системы онлайн-бронирования трансферов «Кивитакси» (kiwitaxi.ru).

В дампе 336,079 строк, содержащих данные клиентов и сотрудников сервиса:

🌵 имя/фамилия
🌵 адрес эл. почты
🌵 телефон
🌵 должность (для сотрудников сервиса и некоторых других записей)
🌵 хэшированный (SHA2-512 и SHA1) пароль и соль для хеширования
🌵 токен авторизации OAuth (для сотрудников сервиса)

Судя по формату дампа, он сделан из MongoDB. Скорее всего сервер с данными был оставлен в открытом доступе. 🤦🏻‍♂️

В Олёкминском районе Якутии суд признал 24-летнего бывшего специалиста офиса обслуживания и продаж оператора сотовой связи виновным в нарушении тайны телефонных переговоров с использованием своего служебного положения (ч.2 ст.138 УК РФ).

В июле 2019 г. этот сотрудник, имея доступ к информации, со своего служебного компьютера без согласия абонента вошел в базу данных кампании и произвел детализацию его телефонных соединений за период с 1 июня по 1 июля 2019 г. Затем данные были переданы им за денежное вознаграждение третьему лицу (т.н. “мобильный пробив”).

Суда назначил наказание в виде обязательных работ сроком на 200 часов.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут.

Продолжаем анализировать дампы, выложенные в свободный доступ хакерами «Shiny Hunters».

Рассмотрим дамп базы данных пользователей американской E-Commerce платформы «Drizly» (drizly.com) - одной из крупнейших площадок по продаже алкогольных напитков в США и Канаде.

В дампе 2,479,145 строк, содержащих:

🌵 имя/фамилия
🌵 адрес эл. почты
🌵 дата рождения
🌵 платежный адрес и адрес доставки
🌵 телефон
🌵 дата создания профиля и последнего входа в систему (с 24.06.2013 по 02.07.2020)
🌵 идентификатор страны (1 – США, 2 – Канада)
🌵 IP-адрес
🌵 GPS-координаты
🌵 User-Agent, тип устройства (iPhone, Web, Android) и версия ОС
🌵 хэшированный (bcrypt и MD5) пароль и соль для хеширования (для bcrypt). 1,131,987 записей имеют пароли, хешированные “слабым” алгоритмом MD5


«Shiny Hunters» "сливали" данные Zoosk, proctoru.com, appen.com, scentbird.com, promo.com, dave.com, liveauctioneers.com, mathway.com, Tokopedia.com, chronicle.com и даже исходные коды Microsoft.

В свободный доступ попала очередная база данных, скачанная из недавно взломанного сервиса dataviper.io, исследователя Vinny Troia - зарегистрированные пользователи мобильного сервиса для чтения книг по подписке «Bookmate».

Утечка из самого сервиса «Bookmate» произошла в середине 2018 г.

В выложенной сейчас базе данных 8,026,860 строк (после удаление дублей - 8,026,781), содержащих:

🌵 логин
🌵 имя/фамилия
🌵 адрес эл. почты (3,827,982 записи)
🌵 дата рождения
🌵 IP-адрес
🌵 хешированный (SHA2-512) пароль
🌵 язык (3,289,118 записей с русским языком)

В г. Ковров (Владимирская область) судом вынесен приговор по уголовному делу в отношении сотрудницы АО «Мегафон Ритейл», обвиняемой в совершении преступления, предусмотренного ч.2 ст. 137 УК РФ (незаконное собирание и распространение сведений о частной жизни лица, составляющих его личную тайну, без его согласия, с использованием своего служебного положения).

В период с августа по 20 сентября 2019 года через мессенджер Telegram cпециалисту офиса продаж и обслуживания салона связи «Мегафон» г. Коврова поступило сообщение от неустановленного лица с просьбой о предоставлении ему информации о персональных данных абонентов АО «Мегафон Ритейл». Далее сотрудница, имея доступ к базам данных АО «Мегафон Ритейл», осуществила просмотр финансовых карточек клиентов, карточек клиентов, содержащих их паспортные данные (фамилия, имя, отчество, дата и месяц рождения, адрес регистрации, сведения о семейном положении, о детях, о ранее выданных паспортах, серию и номер паспорта), сфотографировала персональные данные на камеру своего телефона и передала их неустановленному лицу также через Telegram, за что получила денежное вознаграждение.

Проще говоря, сотрудница «Мегафон» занималась т.н. “мобильным пробивом”.

Приговором суда женщина признана виновной в совершении указанного преступления и ей назначено наказание в виде штрафа в размере 110 тыс. рублей.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут.

В свободный доступ выложено более 3 тыс. документов (MS Excel/Word, PDF и т.п.), принадлежащих норвежской нефтегазовой сервисной компании «Karmsund Maritime Group AS» («KaMOS»). 🔥

В открытом доступе находятся полные данные кредитных карт, инвойсы, списки клиентов, конфигурационные файлы (.rdp) для Remote Desktop Services и многое другое.

Некоторые файлы датированы началом августа 2020 г., что говорит о совсем свежем инциденте. 😎

Слив предположительно связан с сингапурским офисом – «Karmsund Maritime Singapore PTE Ltd» (karmsund.no/kamsing).