Начало 2021: утечки информации. Инфа течёт, а не капает
К сожалению от идиотов не помогут никакие таблЭтки и инфа продолжает сливаться бурным потоком. Что новенького попало в паблик в 2021? Читай наш дайджест, мы тебе всё расскажем.
Не опять, а снова: РЖД
РЖД протекает не хуже клозетов в старых вагонах – из гальюна и прямо на рельсы. А вернее прямо в паблик. Мы уже писали о том, что в паблик попала вся база РЖД Бонус. Но на этом сливы не закончились и в паблике оказалась инфа всех систем видеонаблюдения поездов и составов. Теперь твой шеф знает о том как ты нажрался за корпоративный бюджет в вагоне ресторане.
О том как именно развалили сеть РЖД в целом и Сапсанов в частности, можно почитать здесь.
Ох этот Wallmart. Когда-то картон, а теперь и логины
18 января 2021 группа Shiny Hunters выложила в паблик дамп базы данных онлайн-магазина bonobos.com – дочерней компании «Walmart», занимающейся продажей мужской одежды, собственного бренда.
В базе содержится 1,852,892 строки: имена/фамилии, адреса эл. почты, IP-адреса, хешированные (SHA-256 и SHA-512 с солью) пароли, даты создания/обновления профилей пользователей.
Судя по информации из дампа, он был сделан 14.08.2020.
На текущий момент “расшифровано” около 130 тыс. паролей. При этом почти 60% пар эл. почты/пароль – уникальные и никогда ранее не встречались.
Ранее группа была замечена за сливами не только баз крупных проектов, но даже и исходников Microsoft.
Напоминаем, что тогда в паблик ушли 544мб исходников и текстовый файл с полным списком всех файлов, якобы полученных из приватного Git-репозитория Microsoft.
Список файлов содержал 608459 имён. Большинство имен файлов идентифицируются как известные библиотеки и прочие проекты с открытым кодом, что собственно не удивительно с учетом названия приватного репозитория – Open source, from Microsoft with love.
IObit снова разбит
Сливы IObit – уже давно не новость. На этот раз в паблик улетел форум компании-разработчика утилит и антивирусов «IObit» (forums.iobit.com).
Напоминаем, что в прошлый раз их “долбили” в мае 2020, а до этого в 2017 и 2015.
В отличии от майского инцидента, на этот раз в открытый доступ попал полный MySQL-дамп форума размером 753 Мб. Судя по информации из дампа, он был сделан 08.11.2020.
По нашей информации, дамп был свободно доступен по адресу forums.iobit.com/iobit.sql в момент, когда форум был взломан и распространял вирус-вымогатель «DeroHE».
В таблице «users» 84,317 строк, содержащих:
- логин/имя пользователя
- адрес эл. почты (1,9 тыс. в зоне .ru)
- хешированный (MD5 и bcrypt с солью) пароль
- дата рождения
- IP-адрес
- дата создания профиля и последней активности (самая “свежая” 08.11.2020)
- идентификаторы и ключи доступа (токены) социальных сетей и мессенджеров (Facebook, ICQ, Skype и др.)
Вот такой антивирус.
Хюндай? Пароль мне свой отдай
Плохие новости для автовладельцев Хюндай (ох, Корейцы, йзвините, Хёнде).
История началась с того, что на одном из теневых форумов появилось объявление о продаже базы, содержащей данные 1,3 млн. зарегистрированных пользователей сайта hyundai.ru.
«Мы были очень обеспокоены этой информацией и провели тщательное внутреннее расследование с привлечением соответствующих специалистов. Как результат мы должны констатировать, что утечки не было. Мы хотим заверить и обязательно проинформируем наших клиентов, потому что было много информации в СМИ», – сказал А. Калицев, управляющий директор «Хендэ Мотор СНГ».
Привлеченные специалисты оказались долбанавтами, а управляющий, мягко говоря, балаболом.
Увы и ах, к несчастью для «Хендэ Мотор СНГ», на другом теневом форуме появилось еще одно объявление о продаже того же самого SQL-дампа.
Продавец предоставил в качестве подтверждения фрагмент с записями из базы, по которому можно предположить, что данные годные.
Mindful знакомства со сливом
Тем временем ребята из Shiny Hunters тоже не сидели сложа руки и выложили в свободный доступ дамп базы данных зарегистрированных пользователей американского сервиса для знакомств Meetmindful.com. Всего более 2,2 млн. строк, содержащих:
- логин
- имя/фамилия
- адрес эл. почты
- хешированный (bcrypt с солью) пароль
- дата рождения
- пол
- адрес (около 650 из России)
- IP-адрес
- идентификатор и токен Facebook
Судя по информации, дампа сделан 26.01.2020. Ранее, «Shiny Hunters» также выкладывали базу данных приложения для знакомств «Zoosk».
Вот и познакомились.
Операция “Московский стоматолог”
В открытый доступ попал дамп сервера, содержащего документы нескольких московских стоматологических учреждений – предположительно ООО «ЮНОВа» и ООО «Клиника Здоровье».
Базка не маленькая. Всего выложено 120085 файлов общим “весом” 248гб, в том числе договора, внутренние документы, списки пациентов, списки сотрудников и многое другое. Некоторые документы датируются 2004-2012, но есть и 2019-2020.
Предположительно сервер с открытым портом 3389 (MS RDP) был взломан через одну из известных уязвимостей (CVE-2019-0708), либо перебором паролей.
Теперь мы знаем у кого вставные зубы.
Банкир тоже не без дыр
На одном из даркнет форумов на продажу был выставлен дамп базы данных, по словам продавца, ресурса «Банкирос» (bankiros.ru) – финансовый сервис с информацией по большинству банков и их продуктам по всей России.
Дамп сделан 02.02.2021 и содержит около 15 тыс. строк:
- имя/фамилия
- адрес эл. почты
- хешированный (bcrypt с солью) пароль
- дата создания и обновления профиля
Продают МинПромТорг
Пендосы тоже не сидят на месте. Так на одном из буржуйских теневых форумов появилось объявление о продаже SQLi-уязвимости и дампа базы данных сайта, со слов продавца, minpromtorg.gov.ru – «Министерство промышленности и торговли Российской Федерации».
Причем сначала продавец указал в объявлении название ресурса и дал ссылку на список баз к которым он получил доступ. Затем он удалил первое объявление и разместил другое, в котором убраны названия сайта и баз.
Продавец утверждает, что он выкачал таблицу «AUTH_USER» из базы «minpromtorg2» (всего в этой базе 463 таблицы), которая содержит 28,7 тыс. строк: адрес эл. почты и хешированный (MD5) пароль.
Уязвимость продается за $2,5 тыс., а дамп таблицы пользователей – $1,5 тыс.
А за хюндаем и ниссан
Вслед за компанией Hyundai на продажу были выставлены и дампы форумов Nissan, правда, уже не отечественного подразделения, а американского. Судя по тому, что сразу несколько продавцов выставили на продажу уязвимости и слитые данные «Nissan USA» (nissanusa.com), автоконцерн в очередной раз допустил утечку.
В 2017 году была утечка данных 1,13 миллиона клиентов «Nissan Canada». А в самом начале этого года в свободный доступ попали исходные коды различных мобильных приложений, диагностического ПО и веб-сервисов «Nissan USA».
В данный момент продавцы в даркнете предлагают административный доступ к панели управления сайтом и базу данных 23 тыс. зарегистрированных пользователей.
Вымогатель “Ведьмака”
Польский разработчик компьютерных игр «CD Projekt RED» подвергся атаке вируса-вымогателя и судя по всему были “слиты” исходные коды игр «Киберпанк 2077», «Ведьмак 3» и некоторых других. Кроме того, утекли внутренние документы компании.
Пока не известно какой именно вирус-вымогатель ответственен за этот инцидент.
В 2016 году уже был взломан форум forums.cdprojektred.com и тогда “слили” 1,87 млн. записей зарегистрированных пользователей: логины, адреса эл. почты, хешированные пароли (на текущий момент “расшифровано” 624 тыс.).
Projekt RED отказался платить и на форум «4chan» была выложена ссылка на скачивание 21,8 Гб архива с исходными кодами игры «Gwent: The Witcher Card Game».
Остальные украденные данные злоумышленники обещают скоро выставить на аукцион.
Аукцион по продаже исходных кодов и документов, украденных у «CD Projekt RED» сегодня был закрыт.
Ни одной ставки сделано не было (начальная заявленная цена – $1 млн., блиц-цена – $7 млн., шаг – $500 тыс.).
Продавец утверждает, что ему заплатили вне аукциона.
Яндекс – уяндекс
13 февраля 2021 только ленивые СМИ не написали, что служба безопасности Яндекса обнаружила внутреннюю утечку данных, из-за которой посторонние получили доступ к 4887 почтовым ящикам: “Это был один из трех системных администраторов, обладавших такими правами доступа, необходимыми для выполнения рабочих задач по обеспечению технической поддержки сервиса.”
О чем не пишут СМИ и не говорит компания – минимум с 2018 года на рынке “пробива” существовала услуга «100% зеркало Яндекс почты» или «100% взлом Яндекс почты».
Проверенные и годами работающие на этом рынке посредники предоставляли данную услугу по цене 20-50 т.р. на множестве площадок. Имеется значительное количество положительных отзывов от потребителей этой “услуги”.
100% гарантию не может дать ни один взлом (на протяжении такого длинного периода времени) и ни один метод социальной инженерии, а инсайдер – может (в данном случае доступ предоставлялся к любым почтовым ящикам Яндекса, кроме заблокированных).
Расшарили каршеринг
16 февраля сообщалось о том, что в свободный доступ попал частичный дамп литовского каршерингового сервиса «CityBee» (citybee.lt).
В частичном дампе 110,302 строки имя/фамилия, адрес эл. почты, хешированный (SHA-1 без соли) пароль.
Дамп датируется 27.02.2018. Компания уже официально признала утечку, узнав о ней вчера.
В полном дампе сервиса содержатся адреса, номера телефонов, данные водительских удостоверений и т.п. Он продается за $1000.
Как мы видим на рынке информации ничего не меняется и тот, кто ищет – тот всегда найдёт.