Утечки информации

@dataleak Like 3

Знаем про утечки все! Авторские статьи про утечки данных.
Канал продукта DeviceLock DLP для борьбы с утечками данных: @devicelock_ru
Группа в ВК: https://vk.com/dataleakage
Channel's geo & Language
Russian, Russian


Contact author
Channel's geo
Russian
Channel language
Russian
Category
Technologies
Added to index
20.12.2017 17:24
Recent update
27.05.2019 02:35
17 806
members
~7.9k
avg post reach
~16.5k
daily reach
~3
posts per day
44.5%
ERR %
37.08
citation index
Forwards & channel mentions
256 mentions of channel
281 post mentions
165 forwards
Inside
27 May, 10:26
25 May, 10:52
25 May, 09:22
23 May, 15:52
МИР ОПК
22 May, 10:33
22 May, 09:52
20 May, 15:02
17 May, 21:52
Lolwhat
17 May, 18:53
17 May, 10:32
ANTICHAT Channel
16 May, 13:37
ANTICHAT Channel
16 May, 13:37
15 May, 18:42
15 May, 15:52
14 May, 10:02
SecurityLab
14 May, 09:51
TEFB
11 May, 16:15
Black Google
8 May, 10:09
TEFB
7 May, 09:22
TEFB
6 May, 12:43
ANTICHAT Channel
6 May, 10:54
29 Apr, 17:22
Эксплойт
29 Apr, 17:00
29 Apr, 10:02
28 Apr, 16:22
ANTICHAT Channel
28 Apr, 16:19
Channels quoted by @dataleak
DeviceLock RU
23 May, 11:35
DeviceLock RU
15 May, 15:40
SecurityLab
14 May, 09:51
Яндекс
12 May, 08:12
Яндекс
8 May, 10:07
DeviceLock RU
7 May, 14:33
Hacker's TOYS
29 Apr, 17:00
Эксплойт
29 Apr, 17:00
DeviceLock RU
23 Apr, 09:21
DeviceLock RU
16 Apr, 15:26
DeviceLock RU
16 Apr, 10:58
DeviceLock RU
11 Apr, 09:27
CyberYozh
4 Apr, 17:03
SWAP
4 Apr, 17:03
Эксплойт
4 Apr, 17:03
Лучшие IT каналы
4 Apr, 17:03
ITsec NEWS
4 Apr, 17:03
DeviceLock RU
27 Mar, 14:45
DeviceLock RU
26 Mar, 12:49
DeviceLock RU
20 Mar, 16:22
DeviceLock RU
12 Mar, 11:02
Эксплойт
7 Mar, 17:00
Форсайт
7 Mar, 17:00
Platinum
7 Mar, 17:00
Hacker's TOYS
7 Mar, 17:00
DeviceLock RU
7 Mar, 11:26
Эксплойт
2 Mar, 19:00
DeviceLock RU
27 Feb, 09:20
DeviceLock RU
19 Feb, 10:01
DeviceLock RU
12 Feb, 14:55
Cyber Security
12 Feb, 10:05
Cyber Security
12 Feb, 10:01
DeviceLock RU
7 Feb, 09:58
}{@kep
5 Feb, 19:00
CyberYozh
5 Feb, 19:00
DeviceLock RU
24 Jan, 18:33
CyberYozh
29 Dec 2018, 12:52
DeviceLock RU
22 Dec 2018, 14:50
DeviceLock RU
21 Dec 2018, 11:53
DeviceLock RU
15 Dec 2018, 10:10
Recent posts
Deleted
With mentions
Forwards
Хозяйке на заметку: обновился весьма полезный скрипт на питоне для поиска в Shodan открытых баз – LeakLooker: 👇

https://github.com/woj-ciech/LeakLooker

Во второй версии кроме баз Elasticsearch, CouchDB, MongoDB и Kibana добавлен поиск SMB, Gitlab, Rsync, Jenkins и Sonarqube. 👍


Про то, как исследователи обнаруживают открытые базы данных Elasticsearch и MongoDB читайте тут: 👇

https://www.devicelock.com/ru/blog/obnaruzhenie-otkrytyh-baz-dannyh-mongodb-i-elasticsearch.html
Read more
Мамкины хакеры из THack3forU подбросили список работающих URL с сайта межведомственного электронного взаимодействия (smev.gosuslugi.ru). Ничего интересного по ссылкам найти не удалось – обычные распоряжения правительства, образцы заявок на доступ, руководства пользователей и т.п. документы, не содержащие никакой критичной информации.

Однако, для истеричных блогеров (https://t.me/dataleak/1051) это может быть неплохим кормом: 😂

http://smev.gosuslugi.ru/portal/api/files/get/000423
http://smev.gosuslugi.ru/portal/api/files/get/000424
http://smev.gosuslugi.ru/portal/api/files/get/000425
http://smev.gosuslugi.ru/portal/api/files/get/000426

(полный список можно скачать тут: https://t.me/ukraine_matrix/133)
Read more
Суд принял решение отправить под арест начальника отдела по расследованию дорожно-транспортных происшествий СУ УМВД России по г. Омску Алексея Липина.

По данным Следственного комитета, в отношении Алексея Липина заведено уголовное дело по ч.2, ч.3 ст. 290 УК РФ (получение взятки).

Липин передавал своему знакомому адвокату персональные данные омичей, пострадавших в ДТП, а самих потерпевших убеждал обратиться за оказанием юридической помощи именно к этому адвокату.
Read more
В Уфе начато расследование уголовного дела в отношении 31-летней сотрудницы банка.

Женщина скопировала данные клиентов и отправила их себе на почту. 🤦‍♂️🤦🏻‍♂️ Позже она передала эти данные сотруднику другого банка.

За разглашение сведений, составляющих банковскую тайну, бывшей сотруднице банка грозит наказание либо в виде штрафа, принудительных работ, либо, в самом крайнем случае - лишения свободы.

Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: 👇
https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html
Read more
Когда белки-истерички, не сильно разбирающиеся в теме, пытаются писать про утечки, получается не очень. 😂 За утечки принимаются свободно доступные данные, но полученные не через поисковик типа Google, а немного извращенным способом. В данном случае речь идет про пост в Telegram-канале «Сайберсекьюрити и Ко» под названием «ГосУслуги — документы в открытом доступе»: https://telegra.ph/Vnutrennie-dokumenty-portala-GosUslugi-okazalis-v-otkrytom-dostupe-05-23.

Что мы имеем по факту – 13-го мая якобы украинские хакеры (про них писалось тут https://t.me/dataleak/926) написали про данную «утечку»: https://telegra.ph/Atakovano-sajt-derzhposlug-RF-05-12.

Эти мамкины хакеры неоднократно попадались на том, что принимали за утечки свободно доступные (https://t.me/dataleak/975) и даже тестовые данные (https://t.me/dataleak/946). Уже никто из специалистов не «покупается» на их находки. Но в среде истеричных блогеров видимо они еще обладают определенным авторитетом. 🤦‍♂️
Read more
Читатель канала прислал дополнительную информацию по «утечке из Мегафона», которая на самом деле утечка из службы такси «Али такси» (https://play.google.com/store/apps/details?id=ru.alitaxi.app&hl=ru).

Сервер таксистов снова заработал и их колл-центр принимает звонки, за которыми можно наблюдать тут: 😂👍

http://5.59.141.13:8080/queue_callcenter.php
Приложения в Google Play – AliTaxi Али такси
AliTaxt — это решение на все случаи жизни для поездок в аэропорт или по городу. AliTaxi это служба такси по всей России и странам СНГ. Установите приложение и закажите первую поездку уже сегодня. Заказать поездку с AliTaxi очень просто. Вот как это работает: - Просто откройте приложение и выберете, куда нужно ехать. - Приложение определяет ваше местоположение, и водитель всегда знает, где вас встретить. - А вы сможете отслеживать его прибытие по карте. Нужен простой способ быстро добраться из пункта А в пункт Б? Закажите AliTaxi, наш самый доступный вариант для поездок.
Хакеры из KelvinSecTeam заявили, что они обнаружили записи звонков колл-центра оператора Мегафон.

Файлы в wav-формате были свободно доступны через веб-браузер по URL: http://5.59.141.13:8080/rec_incoming_call-center/

По нашему мнению, это никакой не колл-центр Мегафона, а база звонков какой-то службы такси, что косвенно подтверждается не только содержимым звонков, но и набором PHP-страниц, находившихся на этом же сервере. 😎

Сервер 5.59.141.13 с открытым портом 8080 находился в свободном доступе с 24.10.2017. 😂
Read more
Forwarded from: DeviceLock RU
Авторская колонка в Форбс основателя и технического директора DeviceLock Ашота Оганесяна: 👇

https://www.forbes.ru/tehnologii/376499-bolezn-cifrovogo-mira-kak-zashchititsya-ot-utechek-personalnyh-dannyh


Каждую неделю появляются новости о том, что злоумышленники получили доступ к данным тысяч, а то и миллионов клиентов очередной компании. Есть ли прививка от этой напасти?
Уже больше месяца наблюдаем в свободном доступе сервер Elasticsearch с данными портала поиска и подключения к интернет-провайдерам - «InetMe» (www.inetme.ru). 😎

Shodan впервые зафиксировал этот Elasticsearch аж 01.01.2018! 🤦🏻‍♂️

На сервере находятся два значимых индекса: coverage (745643 документов) и logs (612123 документов сейчас, 541449 – больше месяца назад).

В coverage содержится информация о том, какой провайдер доступен по какому адресу в каком городе (список городов есть у них на сайте):

"_index": "coverage",
"_type": "addrs",
"_source": {
"providerId": "420",
"addr": "г. КАЗАНЬ,ул. ГУДОВАНЦЕВА,1"
}

А индекс logs (как обычно это бывает с логами 😂) представляет куда больший интерес – тут собраны все заявки на подключение к интернету, которые посетители портала оставляли через форму на сайте:

{
"_index": "logs",
"_type": "data",
"created": "2019-04-16T07:28:27",
"description": "Saving an email\nORDER_ID: 325388\nSUBJECT: \nBODY: ДИЛЕР *ИП Старковски*\r\nАдрес: Бурятия Респ г. Улан-Удэ ул. Ермаковская дом XXX кв XXX\r\nФИО: XXX XXX Эрдыниевна\r\nКонтактный телефон: +7-964-XXX-XX-XX \nДополн. телефон: \r\nУслуги: Для впечатлений\r\nКомментарий: \nFROM: null\nTO: XXX@gmail.com",
}

Всего около 3 тыс. таких заявок, начиная с 21.07.2018 и по сегодняшний день. 🙈
Read more
Вчера по СМИ прошла «новость» о том, что в открытый доступ попали данные почти 50 млн. пользователей Instagram, в основном известных людей, и блогеров, а также брендов. База данных с номерами телефонов и адресами электронной почты оказалась в свободном доступе на сервисе Amazon.

Наш любимый Роскомнадзор немедленно заявил, что направит в Instagram запрос по этой «утечке» данных. Ну конечно, других утечек (без кавычек) у нас тут нет! Надо заниматься псевдо-утечками публичных данных из профилей социальной сети. 🤦‍♂️🤦🏻‍♂️

Ну раз нашим СМИ и Роскомнадзору так нравятся «утечки», а заниматься реальными утечками им не интересно, то можем подкинуть им открытую базу с данными русскоязычных блогеров все того же Instagram. 😎

Свободно доступный сервер Elasticsearch с двумя индексами influencers_staging и influencers находится в открытом доступе минимум с 22.06.2018.


В каждом из индексов более 200 тыс. записей с информацией по Instagram-блогерам:

✅ ник
✅ имя профиля
✅ ссылка на картинку
✅ количество подписчиков
✅ статистика по аудитории (пол, возраст, география и т.п.)
✅ адрес электронной почты
✅ цены на рекламу
✅ статистика по просмотрам и лайкам
✅ и многое другое.


Сервер предположительно принадлежит маркетинговому агентству Zorka.Mobi.
Read more
🔥 https://habr.com/ru/post/452698/

Обещанные ранее (https://t.me/dataleak/1028) технические подробности утечки данных из сервиса «Слетать.ру», читайте в новой статье на Хабре. 👆

Вкратце:

✅ из свободно доступных индексов можно было получить тысячи (11,7 тыс. включая дубли) адресов электронной почты, некоторую платежную информацию (стоимость туров) и данные тур поездок (когда, куда, данные авиабилетов всех вписанных в тур путешественников и т.п.) в количестве около 1,8 тыс. записей, а также сотни логинов и паролей турагентств в текстовом виде.

✅ из личных кабинетов турагентств можно было получить данные их клиентов, включая номера паспортов, загранпаспортов, даты рождения, ФИО, телефоны и адреса электронной почты.


Про кейс с «Радарио» мы уже писали тут, но не лишним будет повторить. 😎
Read more
Завтра (21-го мая) в рамках международного форума по практической безопасности «Positive Hack Days 9» состоится доклад Ашота Оганесяна, основателя и технического директора DeviceLock, на тему «Как обнаруживают открытые базы данных MongoDB и Elasticsearch с персональными данными»: 👇
https://www.phdays.com/ru/program/reports/compromising-publicly-available-databases/

Начало доклада запланировано на 12:30. 👍
Read more
Пример СМС от имени «Rinsurance» для проверки работоспособности ключа SMS.ru.
Утром 24 апреля система DeviceLock Data Breach Intelligence (подробнее тут) обнаружила базу данных MongoDB не требующую аутентификации для подключения.

В базе, с именем bso (БСО - бланк строгой отчетности), размером 107.2 Мб находилось более 274 тыс. записей, содержащих персональные данные клиентов страхового агентства «Reimers Insurance» (rinsurance.ru).

Основную часть обнаруженных данных составляла информация о владельцах, застрахованных автомобилей (всего 54824 записей, из них 4731 - Москва): 🔥🔥

✅ ФИО страхователя
✅ марка/модель автомобиля (например, «Mercedes-Benz ML350»)
✅ мобильный телефон страхователя
✅ адрес электронной почты страхователя
✅ адрес страхователя

Помимо данных клиентов в базе находилось:

✅ 245 пользователей системы (страховых агентов, продающих страховки): ФИО, дата рождения, департамент, номер договора, логин, хеш пароля и соль

✅ 15056 актов: ФИО страховых агентов, дата, номер договора, список БСО

✅ 89349 номеров страховых полисов (БСО): номер полиса (например, ЕЕЕ №038360XXXX), название страховой компании (например, ОАО "АльфаСтрахование"), имя/фамилия агента, размер страховой премии, ссылка на страхователя (см. выше) 🤦🏻‍♂️🤦‍♂️

✅ Большое количество внутренней информации (платежные ведомости, список сотрудников по департаментам, возвраты полисов, взаиморасчеты со страховыми компаниями и т.п.)


Кроме того, в открытом доступе были обнаружены ключи к amoCRM:

"amoKey" : "XXXXXX575f391597336990b008XXXXXX"

и к сервису SMS.ru:

"smsRUKey" : "XXXXXXA3-1306-B483-B185-D75EAEXXXXXX"

Ключ работающий, можно отправить любое СМС на любой номер телефона от имени абонента «Rinsurance». 👍


Мы оповестили компанию «Reimers Insurance» в 9:05 (МСК) и повторно связались с ними в 16:15 через компанию «amoCRM» (там нам подтвердили подлинность ключа продукта). Только после второго оповещения, примерно в 17:00 база была закрыта, а мы получили вот такое сообщение от страхового агенства: 😂

Это какая-то старая база на личном серваке нашего программиста. Нужно её скрыть конечно. Ещё раз благодарю.

Насчет «старая база» - 34712 полисов датированы 2018 и 2019 годом. 😎

По данным Shodan данный сервер впервые попал в открытый доступ 19.04.2019.
Read more
Как вам хорошо известно из наших постов, часто в открытых базах данных (особенно в индексах Elasticsearch) содержатся не только персональные и иные чувствительные данные, но и токены авторизации, ключи и логины/пароли к различным сервисам. 😎

Мы решили провести ретроспективный анализ всех найденных нами с начала этого года открытых баз, которые в данный момент уже не находятся в свободном доступе и где были обнаружены токены, логины/пароли и ключи.

Наша цель – узнать, а предпринимались ли владельцами этих баз реальные меры по защите данных (чаще всего это данные клиентов сервисов, допустивших утечку) или все дело ограничилось закрытием внешнего доступа к серверам.


Сначала те, кто предпринял реальные меры и сменил пароли/токены/ключи: 👍

✅ promopult.ru (https://t.me/dataleak/1037) – сменили пароли от «засвеченных» аккаунтов GetSale.io

✅ zvonok.com (https://t.me/dataleak/922) – прикрыли доступ к «засвеченным» аккаунтам пользователей и их звонкам

✅ barameo.ru (https://t.me/dataleak/1006) – прикрыли все «засвеченные» URL с персональными данными

✅ radario.ru (https://t.me/dataleak/1012) – прикрыли доступ к «засвеченным» билетам


Теперь те, кто просто закрыл доступ к своим серверам извне, оставив «засвеченные» пароли/токены/ключи неизменными: 🤦‍♂️🤦🏻‍♂️🙈

❗️ mann-ivanov-ferber.ru (https://t.me/dataleak/998) – токены на доступ к книгам работают, как работали.

❗️ isramedportal.ru (https://t.me/dataleak/1003) – логины/пароли юзеров работают, как работали.

❗️ sletat.ru (https://t.me/dataleak/1028) – логины/пароли турагентств работают, как работали и это не удивительно – руководство сервиса считает, что ничего в открытый доступ не попадало. 😂

❗️ rinsurance.ru (https://t.me/dataleak/1042) - ключ для сервиса SMS.RU по-прежнему работает, можно от имени rinsurance.ru рассылать СМС на любые номера телефонов.
Read more
На одной из улиц в г. Киров валяются сотни документов с персональными данными (копии паспортов, решения суда и т.п.) граждан.
Роскомнадзор сообщает, что в отношении городской больницы №3 г. Ижевска был составлен протокол об административном правонарушении.

При перевозке медицинских карт на утилизацию несколько из них выпало из автомобиля. 🚑

Это повлекло за собой риск неправомерного или случайного доступа к персональным данным третьими лицами.
В последнее время очень много шума в СМИ вокруг утечек персональных данных граждан через государственные информационные системы.

Чтобы далеко не ходить и глубоко не искать, воспользуемся простейшим поисковым запросом в Google:

site:torgi.gov.ru паспорт серия

Для удобства можно кликнуть тут 😄

Enjoy 😎
Read more
13-го мая наша автоматизированная система DeviceLock Data Breach Intelligence (подробнее тут) обнаружила открытый сервер Elasticsearch с двумя индексами, содержащими логи Filebeat:

1️⃣ filebeat-6.6.2-2019.05.12
2️⃣ filebeat-6.6.2-2019.05.13

В процессе анализа логов выяснилось, что сервер принадлежит сервису promopult.ru (seopult.ru) и в них содержатся адреса электронной почты:

http://127.0.0.1:80/welcome.html?goal=%2Fitem_point_seo.html%3Fitem_id%3D10118645%23mr&email=XXX%40mail.ru&utm_campaign=email-userpoints&utm_term=%C2%AB%D0%9E%D1%82%D1%87%D0%B5%D1%82%D1%8B%C2%BB\", host: \"promopult.ru\"

Помимо адресов электронной почты были также обнаружены пары логин/пароль к сервису GetSale (getsale.io):

https://getsale.io/?email=info%40XXX.ru&password=XXX

А также транзакции платежных систем:

https://secure.tinkoff.ru/acs/auth/finish.do;jsessionid=XXXX52AB787784E85A3EF7C5D9D4813?sendSms=&lang=ru&acctId=XXXXvZ5GEkUxT7cBNhMPDWStpJ0i&password=6661


Всего в открытом доступе оказалось:

✅ 7 пар логин/пароль для GetSale
✅ около 20 тыс. (возможно повторяющихся) адресов электронной почты, включая более 1.5 тыс. адресов, отписавшихся от рассылки (https://promopult.ru/subscribe.html?op=unsubscribe&mail=XXX@mail.ru&key=XXXX4f48b57a395bfe7184f33e4549da).
✅ около 10 платежных транзакций.

13.05.2019 мы оповестили сервис о проблеме, однако сервер был убран из свободного доступа только 15.05.2019 около 16:00 (МСК). 🤦🏻‍♂️ За это время «засветилось» 3 индекса с логами:

1️⃣ filebeat-6.6.2-2019.05.12
2️⃣ filebeat-6.6.2-2019.05.13
3️⃣ filebeat-6.6.2-2019.05.14

Каждый индекс в среднем содержал более 300 тыс. записей.

По данным Shodan данный сервер впервые попал в открытый доступ 23.03.2019. 🤦‍♂️
Read more
Обнаруженные сервера саудовского пиратского стримингового сервиса «beoutQ SPORTS».