В конце марта 2019 г. мы сообщали об обнаруженной открытой базе данных MongoDB, принадлежащей компании «Utair Digital» - ИТ-подразделению авиакомпании «Utair». 😎

Ровно год назад, в августе 2019 г., эта база появилась в продаже на одном из теневых форумов. 🙈

А вчера данная база, в виде полного дампа (query) MongoDB формата “Navicat MongoDB Data Transfer”, была выложена в свободный доступ на англоязычном форуме. 😱

Судя по информации из дампа, он был сделан 10.03.2019. Напомним, что сам MongoDB-сервер находился в открытом доступе с 21-го января по 20-е марта 2019 года и был закрыт только после нашего оповещения. 🤦‍♂️

В дампе 530,098 строк, содержащих:

🌵 ФИО на русском и латиницей
🌵 серия номер документа (паспорт, загранпаспорт и т.п.)
🌵 адрес (185,572 записей)
🌵 дата рождения
🌵 пол
🌵 телефон (478,228 записей)
🌵 адрес эл. почты (408,240 записей)
🌵 номер в программе лояльности
🌵 количество накопленных миль и уровень в программе лояльности

Несколько дней назад в свободном доступе появилась база данных с информацией о 55 тыс. владельцах карт российских банков. 🔥🔥🔥

РБК пишет, что им удалось установить источник утечки – латвийский маркетплейс «Joom» (joom.com).

В находящемся в открытом доступе Excel-файле 55,425 строк, содержащих:

🌵 первые 6 и последние 4 цифры платежной карты
🌵 тип карты (Visa, MasterCard, МИР)
🌵 банк-эмитент карты
🌵 дата истечения карты
🌵 имя на карте латиницей
🌵 имя/фамилия покупателя
🌵 мобильный телефон
🌵 адрес эл. почты
🌵 почтовый адрес

Помимо этой базы данных, мы выявили в продаже на черном рынке, базы аналогичного формата (совпадает все, вплоть до стиля написания почтового адреса), продающиеся (под видом «банковских баз») по цене от 5 руб. за строку. 😱

Данные в собранных нами образцах не пересекаются с информацией из свободно доступной базы с 55 тыс. строками. 😎

Все это может говорить о том, что масштаб утечки из «Joom» больше, а в открытый доступ попал только кусок этой базы. 👍

В марте мы писали, что петербуржские полицейские задержали 21-летнего молодого человека по подозрению в продаже фейковых аккаунтов для каршерингового сервиса «Делимобиль».

27 августа Роман Амелин признан судом виновным в неправомерном доступе к компьютерной информации с целью заработка. Ему назначен штраф в размере 50 тыс. рублей.

При этом, где Амелин взял данные о паспортах, правах и фото водителей, следствие установить не смогло, но известно, что с их помощью он зарегистрировал 10 поддельных аккаунтов в «Делимобиле» и продал каждый за 2,5 тыс. рублей. 😂

Неделю назад мы обнаружили сервер с данными 200 млн. пользователей Twitter и Weibo, 4 дня назад обнаружили сервер с данными 57 млн. пользователей LinkedIn. И вот опять...👇

25.08.2020 система DLBI обнаружила свободно доступный Elasticsearch, в индексах которого содержались данные более чем 150 млн. пользователей Facebook, LinkedIn и Instagram. 🔥

Сервер располагался в США, на площадке «Alibaba» и принадлежал китайской компании «Shenzhen Benniao Social Technology» (socialarks.com), которая предоставляет “лиды” из социальных сетей для китайских компаний, работающих на зарубежных рынках.

На сервере находилось 3 индекса:

🌵 «linkedin» - 66,117,839 профилей LinkedIn (имя, ссылка на профиль, эл. почта, страна, место работы, должность и т.п.)

🌵 «instagram_user_email_data» - 11,651,162 профилей Instagram (имя, ссылка на профиль, эл. почта, телефон, страна, данные по подписчикам и т.п.)

🌵 «facebook» - 81,551,567 профилей Facebook (имя, ссылка на профиль, эл. почта, телефон, страна, данные по подписчикам и т.п.)

В открытый доступ попали очередные данные российских владельцев платежных карт из утечки латвийского маркетплейса «Joom». Три дня назад мы написали про Excel-файл с 55,425 строками.

Сейчас в распространяемом Excel-файле 31,000 строк, причем данные отобраны только по одному банку - «ВТБ».

По нашей информации всего в утекшей базе «Joom» содержится более 800 тыс. строк из них более 550 тыс. содержат данные клиентов российских банков. Эта база продается за $3000. 👍

В открытый доступ был выложен полный MySQL-дамп базы российского агрегатора инстаграм товаров instamall.ru.

Дамп создан 28.12.2019 и имеет размер 1,2Гб. Помимо всего прочего в нем содержится информация 1,465 зарегистрированных пользователей агрегатора:

🌵 логин (телефон/эл. почта)
🌵 хешированный пароль
🌵 дата регистрации и последней активности
🌵 телефон
🌵 адрес эл. почты
🌵 почтовый адрес

Кроме того, там же находится таблица с данными 167,468 Instagram-профилей различных магазинов:

🌵 имя пользователя
🌵 телефон
🌵 адрес эл. почты
🌵 ссылка из профиля
🌵 категория магазина
🌵 количество подписчиков

Обработали 1,1 млн. пар логин/пароль ресурса m4maths.com (онлайн подготовка к экзаменам по математике).

Почти 91% пар - уникальные и раньше не встречались в других утечках. 🔥

Известия пишут:

На форуме в DarkNet появилось объявление о продаже базы данных с информацией о счетах россиян в банке ВТБ, которая содержит до 50 млн записей.

База действительно появилась в продаже на одном из теневых форумов 14.08.2020. В предоставляемом продавцом образце данных содержатся: ФИО, номер мобильного телефона и номер паспорта.

Обычно такие базы не имеют отношения к утечкам из банков или других финансовых структур, а получаются из давно собранных баз физлиц (ФИО, телефон, паспортные данные), которые, путем запросов к системе быстрых платежей (СБП), обогащаются данными о привязке телефонного номера к тому или иному банку. 😎

И разумеется ни о каких 50 млн. строк с данными клиентов ВТБ не может быть и речи. В банке всего около 14 млн. клиентов (физлиц и юрлиц). В цифру 50 млн. можно было бы поверить, если бы речь шла о выпущенных за все время платежных картах (как было в свое время со Сбербанком), но в данном случае продавец утверждает, что в базе содержится информация о клиентах-физлицах. 😂

Вчерашняя статья «Коммерсантъ» про псевдо-утечку данных американских избирателей вызвала волну опровержений в США.

Все обнаруженные данные являются открытой информацией, которая собирается компаниями типа voterrecords.com. Есть ресурсы (michiganvoters.info), где открыто можно скачать базу избирателей Мичигана.

Забавно читать комментарии “экспертов”:

🤦‍♂️ В ГК InfoWatch “Ъ” подтвердили подлинность этой базы, уточнив, что она исходно «утекла» еще в конце 2019 года.

🤦‍♂️ Директор центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком» Владимир Дрюков предполагает, что сами хакеры, исходно завладевшие базами, уже «извлекли все коммерческие выгоды» до того, как выложить в открытый доступ.

🤦‍♂️ Ведущий аналитик направления «Информационная безопасность» IT-компании КРОК Анастасия Федорова указывает, что пост об утечке появился незадолго до президентских выборов в США, запланированных на 3 ноября. По ее мнению, судя по полноте информации, ее источником стала государственная система.

В открытом доступе появился список клиентов предположительно челябинского «Углеметбанка» (coalmetbank.ru).

В текстовом файле 12,040 строк, содержащих информацию по выданным кредитам за период с 2013 по 2019 гг.:

🌵 ФИО
🌵 дата рождения
🌵 место рождения
🌵 паспортные данные
🌵 адрес регистрации и фактического проживания
🌵 телефоны (домашний, мобильный)
🌵 адрес эл. почты
🌵 количество детей
🌵 место работы и должность
🌵 сумма и срок кредита
🌵 ежемесячный доход
🌵 дата обновления записи (06.06.2013- 30.12.2019)

Уважаемые читатели, по традиции мы предлагаем вам дайджест наиболее значимых утечек прошедшего месяца! 🔥

Очередной выпуск ежемесячного дайджеста наиболее интересных публикаций в августе 2020 г.

Посмотрели на утечку StreamCraft.net – одного из самых популярных в рунете Minecraft-проектов. 😎

В июле 2020 г. база данных (MariaDB), содержащая пользователей «StreamCraft» была сдамплена и в данный момент находится в открытом доступе. Всего 1,845,486 пользователей:

🌵 логин
🌵 адрес эл. почты
🌵 хешированный (около 580 тыс. MD5 и остальные bcrypt) пароль
🌵 IP-адрес
🌵 дата регистрации и последней игровой сессии (27.10.2013 - 06.07.2020)
🌵 идентификаторы ВКонтакте

Проект частично признал утечку, заставив игроков сменить свои пароли.

Из 580 тыс. MD5-хешированных паролей “взломано” 448 тыс. Мы проанализировали пары эл. почта/пароль и почти 76% из них оказались уникальные.👍

В Саратове сотрудник одной из крупных российских телекоммуникационных компаний, имея доступ к информационной системе оператора сотовой связи, в нарушение действующего законодательства РФ осуществлял копирование персональных данных клиентов компании и передавал их за денежное вознаграждение третьим лицам.

Проще говоря, он занимался т.н. “мобильным пробивом”.

В отношении указанного гражданина возбуждено уголовное дело по ч. 3 ст. 272 УК РФ (неправомерный доступ к компьютерной информации) и ч. 3 ст. 183 УК РФ (незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну).


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут.

Известия пишут: 👇

В первых числах сентября клиенты Райффайзенбанка стали массово жаловаться в Facebook на звонки мошенников, использующих методы социальной инженерии. Одна из пользователей соцсети рассказала, что ей позвонили от имени службы безопасности кредитной организации с номера, который один в один совпадает с банковским.

Мошенник называл всю персональную и платежную информацию клиентки, в том числе — актуальные остатки по счетам, рассказала она. По ее словам, оператор вынудил назвать код из СМС, с помощью которого он, по-видимому, авторизовался в мобильном банке и вывел около 150 тыс. рублей.

Другой клиент Райффайзенбанка также рассказал о звонке от имени службы безопасности. Мошенник перечислил всю информацию о клиенте, в том числе — остаток на счете, который был актуален на предшествующий звонку день.

https://iz.ru/1056938/natalia-ilina/zheltyi-i-pushistyi-v-seti-prodaiut-bazu-27-tys-klientov-raiffaizena

Проанализировали утечку данных пользователей франкоязычного сайта знакомств «Newmeet» («Abcoeur»).

Из почти 1,4 млн. пар логин/пароль 78% оказались уникальными и ранее не встречались в других утечках. 👍

Полный дамп этого сайта знакомств, попавший в открытый доступ, содержит всю информацию (имя/фамилия, пол, дата рождения, адрес эл. почты, Facebook-идентификатор и многое другое) о зарегистрированных пользователях.

В конце мая писали, что в Саратове по подозрению в даче взятки сотруднику УФСБ задержан 23-летний менеджер по продажам одного из сотовых операторов.

Он имел доступ к базе данных клиентов и незаконно предоставил третьим лицам персональные данные клиентов.

Против молодого человека завели дело по ч. 3 ст. 30, ч. 3 ст. 291 УК РФ (покушение на дачу взятки должностному лицу в значительном размере за совершение заведомо незаконных действий и бездействия).

Во время предварительного следствия он признал вину и раскаялся. Суд оштрафовал саратовца на 250 тысяч рублей.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут.

В Саратове в отношении 19-летнего бывшего сотрудника компании сотовой связи возбуждено уголовное дело по ч. 2 ст. 138 УК РФ (нарушение тайны переписки, телефонных переговоров и иных сообщений).

По версии следствия, с 1 по 10 июля молодой человек, являясь специалистом офиса обслуживания и продаж одной из компаний сотовой связи, получил доступ к информации о входящих и исходящих телефонных соединениях двух абонентов. Это было сделано без их согласия или разрешения суда и с использованием служебного положения подозреваемого.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут.

В 2012 году бельгийская социальная сеть «Netlog» (теперь это twoo.com) допустила утечку примерно 50 млн. адресов эл. почты пользователей и их паролей в открытом (текстовом) виде. Интересно, что известно об этой утечке стало только в июле 2018 года.

Дамп логинов и паролей «Netlog», прекратившей свое существование в 2015 г., до сих пор не находится в свободном доступе. 😎

Мы проанализировали 53 млн. пар логин/пароль из этой утечки и выяснили, что 76% из них уникальные, т.е. ранее никогда не встречались в фиксируемых нами утечках. 👍

Помните в октябре прошлого года мы первыми обнаружили в продаже на черном рынке базу данных клиентов Сбербанка? 🔥🔥🔥🔥

Давайте восстановим хронологию тех событий: 👇

🌵 Сначала Сбербанк утверждал, что пострадали только 200 клиентов. 🤣 Чтобы понимать откуда взялась эта цифра – Сбербанк получил от нас (через журналистов «Коммерсантъ») “пробник” базы, который мы получили от продавца. И ничего другого на тот момент Сбербанк не видел и не знал.

🌵 Через несколько дней Г. Греф официально заявил: “От себя лично и всей команды Сбербанка хочу еще раз принести глубокие извинения 200 нашим клиентам за произошедшее и всем нашим клиентам за доставленные переживания.” 🤦‍♂️ В это самое время, в открытом доступе было уже 350 записей из этой утечки. 😂

🌵 Еще через два дня количество записей в открытом доступе достигло 2 тыс. 😱

🌵 Через 2 недели в паблике уже находилось 5,2 тыс. записей. 🙈

Напомним, что в этой базе было 81 поле (столбец). Это самая детальная банковская база, которая нам когда-либо попадалась при анализе утечек.

И вот сегодня стало известно, что в Красногорском городском суде вынесен приговор бывшему руководителю сектора в одном из бизнес-подразделений Сбербанка за кражу этих данных. 🔥

Утверждается, что Зеленин С.А. вручную (❗️) скопировал данные 5 тыс. владельцев карт (а в паблике 5,2 тыс. 🤣), перенес их на флешку и опубликовал в даркнете. 🤦‍♂️

Зеленина приговорили к реальному сроку — двум годам и десяти месяцам колонии-поселения и обязали выплатить в пользу Сбербанка более чем 25 млн. рублей.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут.

В дополнение к предыдущему посту про Сбербанк. 🔥