Август 2020: самые крупные утечки информации

Несмотря на то, что август традиционно считается месяцем отпусков, хакеры не отдыхали и слили “на-гора” в открытый доступ огромный объём информации.

Рассмотрим самые интересные утечки информации.

Такси, такси, вези, вези

Слит дамп базы данных пользователей системы онлайн-бронирования трансферов в 102 странах мира “Кивитакси”.

В дампе 336079 строк, содержащих данные клиентов и сотрудников:

• ФИО
• e-mail
• телефон
• должность (для сотрудников сервиса и некоторых других записей)
• хэшированный (SHA2-512 и SHA1) пароль и соль для хеширования, почти 3 тыс. хешей “расшифровано” на текущий момент
• токен авторизации OAuth (для сотрудников сервиса)

Судя по формату дампа, он сделан из MongoDB. Скорее всего сервер с данными был оставлен в открытом доступе.

В апреле 2019 года, MongoDB-сервер с данными “Кивитакси” уже оказывался в свободном доступе. В то время этот сервис обслуживал только регион Сочи/Адлер и прилегающие города. 

Таможня даёт добро

В даркнете появилась в продаже Таможенная база ВЭД России за 2018 год.

В базе, формата Cronos, 23 млн. записей и более 70 полей с данными. Нехило так.

Чуть позже, на одном из форумов по бесплатному обмену базами, появились эти же данные (судя по составу полей и размеру) в условно-открытом доступе.

Всего 22870294 строк, содержащих:

• данные декларации
• данные отправителя
• данные получателя
• данные товара
• стоимость
• дату
• и очень много всего остального

Ранее заявлялось что сотрудник таможенной службы, который выгружал данные о таможенном декларировании и системе управления профилями рисков из “Единой автоматизированной системы таможенных органов” был задержан. Но это наверняка не последний любитель подампить в погонах.

Да здравствует маркетинг!

Очередной лот, полученный из ElasticSearch сервера с более чем 235млн. профилей пользователей социальных сетей Instagram, TikTok и Youtube появился в открытом доступе. Как оказалось, инфа скурпулёзно собиралась маркетинговым агентством Deep Social.

Данные представляют собой парсинг профилей социальных сетей и содержат только ту информацию, которую оставили о себе сами пользователи. Подобные базы регулярно появляются в открытом доступе и никакими утечками они конечно не являются. Однако, сбор данных профилей пользователей, как правило запрещен лицензионными соглашениями социальных сетей.

Далее, был обнаружен обнаружен ещё один свободно доступный сервер ElasticSearch, в индексах которого содержались данные более 200 млн. пользователей микроблогинговых платформ Twitter и Weibo. Открытый сервер принадлежит китайской компании “CYYUN”, поставщику “больших данных”.

Для Twitter собрано 44,028,450 профилей, а для Weibo — 164575053. Хранение собранных данных обеспечивал кластер из 21 сервера.

Дальше – больше, ещё через день снова обнаружен свободно доступный сервер Elasticsearch, в индексах которого содержались данные, собранные очередной компанией-поставщиком “больших данных”. Речь идет о компании SalesTools, поставщике аналитической платформы для автоматизации продаж.

В открытом доступе оказались более чем 57 млн. профилей пользователей, собранных в основном из социальной сети LinkedIn и обогащенных дополнительной информацией из других источников.

На момент обнаружения, в индексе «salestools_data_2_people» находилось 57862000 строк:

• полное имя
• город, страна (50 тыс. из России)
• ссылка на профиль LinkedIn
• место работы, индустрия, должность, вебсайт

В индексе «salestools_prospector_2_prospects» находилось 19028622 строки, представляющих из себя обогащенные данные из предыдущего индекса:

• полное имя
• адрес эл. почты (10,8 млн. из них 2,9 млн. — подтвержденных)
• телефон (4,5 млн.)
• город, страна (99,7 тыс. из России)
• ссылка на профили в социальных сетях (в основном LinkedIn, но попадаются Facebook, Twitter, Xing)
• место работы, индустрия, должность, вебсайт, оборот компании, кол-во сотрудников
• дата создания и обновления записи (с 21.03.2016 по 04.06.2020)

В одном из индексов даже содержался логин и пароль администратора:

«_source»: {

«password»: «7+Vv*********qd!»,

«roles»: [

«superuser»

],

«full_name»: «Salestools Admin»,

«email»: «[email protected]»,

«metadata»: {

«intelligence»: 7

}

}

(реальные данные скрыты)

Через несколько часов после обнаружения открытого сервера, его нашел и уничтожил в нем данные “червь” «meow» («мяу»).

25.08.2020 обнаружен открытый ElasticSearch, в индексах которого содержались данные более чем 150 млн. пользователей Facebook, LinkedIn и Instagram.

Сервер располагался в США, на площадке Alibaba и принадлежал китайской компании Shenzhen Benniao Social Technology, которая предоставляет “лиды” из социальных сетей для китайских компаний, работающих на зарубежных рынках.

На сервере находилось 3 индекса:

• linkedin — 66117839 профилей LinkedIn (имя, ссылка на профиль, эл. почта, страна, место работы, должность и т.п.)
• instagram_user_email_data — 11651162 профилей Instagram (имя, ссылка на профиль, эл. почта, телефон, страна, данные по подписчикам и т.п.)
• facebook — 81551567 профилей Facebook (имя, ссылка на профиль, эл. почта, телефон, страна, данные по подписчикам и т.п.)

Латыши-коротыши

Несколько дней назад в свободном доступе появилась база данных с информацией о 55 тыс. владельцах карт российских банков.

Изданию РБК удалось установить источник утечки – латвийский маркетплейс Joom.

В находящемся в открытом доступе Excel-файле 55,425 строк, содержащих:

• первые 6 и последние 4 цифры платежной карты
• тип карты (Visa, MasterCard, МИР)
• банк-эмитент карты
• дата истечения карты
• имя на карте латиницей
• имя/фамилия покупателя
• мобильный телефон
• адрес эл. почты
• почтовый адрес

Помимо этой базы данных, мы выявили в продаже на черном рынке, базы аналогичного формата (совпадает все, вплоть до стиля написания почтового адреса), продающиеся (под видом банковских баз) по цене от 5 руб. за строку.

Данные в собранных нами образцах не пересекаются с информацией из свободно доступной базы с 55 тыс. строками.

Через пару дней открытый доступ попали очередные данные российских владельцев платежных карт из этой утечки — Excel-файл с 31,000 строк, причем данные были отобраны только по одному банку — ВТБ.

По нашей информации всего в утекшей базе Joom содержится более 800 тыс. строк из них более 550 тыс. содержат данные клиентов российских банков. Эта база продается за $3000.

А и Б долбили ВТБ

Также в августе газета “Известия” сообщила, что на форуме в даркнете появилось объявление о продаже базы данных с информацией о счетах россиян в банке ВТБ, которая содержит до 50 млн записей.

База действительно появилась в продаже на одном из теневых форумов 14.08.2020. В предоставляемом продавцом образце данных содержатся: ФИО, номер мобильного телефона и номер паспорта.

Обычно такие базы не имеют отношения к утечкам из банков или других финансовых структур, а получаются из давно собранных баз физлиц (ФИО, телефон, паспортные данные), которые, путем запросов к системе быстрых платежей (СБП), обогащаются данными о привязке телефонного номера к тому или иному банку.

И разумеется ни о каких 50 млн. строк с данными клиентов ВТБ не может быть и речи. В банке всего около 14 млн. клиентов (физлиц и юрлиц). В цифру 50 млн. можно было бы поверить, если бы речь шла о выпущенных за все время платежных картах (как было в свое время со Сбербанком), но в данном случае продавец утверждает, что в базе содержится информация о клиентах-физлицах.