Август 2020: самые крупные утечки информации
Несмотря на то, что август традиционно считается месяцем отпусков, хакеры не отдыхали и слили “на-гора” в открытый доступ огромный объём информации.
Рассмотрим самые интересные утечки информации.
Такси, такси, вези, вези
Слит дамп базы данных пользователей системы онлайн-бронирования трансферов в 102 странах мира “Кивитакси”.
В дампе 336079 строк, содержащих данные клиентов и сотрудников:
- ФИО
- телефон
- должность (для сотрудников сервиса и некоторых других записей)
- хэшированный (SHA2-512 и SHA1) пароль и соль для хеширования, почти 3 тыс. хешей “расшифровано” на текущий момент
- токен авторизации OAuth (для сотрудников сервиса)
Судя по формату дампа, он сделан из MongoDB. Скорее всего сервер с данными был оставлен в открытом доступе.
В апреле 2019 года, MongoDB-сервер с данными “Кивитакси” уже оказывался в свободном доступе. В то время этот сервис обслуживал только регион Сочи/Адлер и прилегающие города.
Таможня даёт добро
В даркнете появилась в продаже Таможенная база ВЭД России за 2018 год.
В базе, формата Cronos, 23 млн. записей и более 70 полей с данными. Нехило так.
Чуть позже, на одном из форумов по бесплатному обмену базами, появились эти же данные (судя по составу полей и размеру) в условно-открытом доступе.
Всего 22870294 строк, содержащих:
- данные декларации
- данные отправителя
- данные получателя
- данные товара
- стоимость
- дату
- и очень много всего остального
Ранее заявлялось что сотрудник таможенной службы, который выгружал данные о таможенном декларировании и системе управления профилями рисков из “Единой автоматизированной системы таможенных органов” был задержан. Но это наверняка не последний любитель подампить в погонах.
Да здравствует маркетинг!
Очередной лот, полученный из ElasticSearch сервера с более чем 235млн. профилей пользователей социальных сетей Instagram, TikTok и Youtube появился в открытом доступе. Как оказалось, инфа скурпулёзно собиралась маркетинговым агентством Deep Social.
Данные представляют собой парсинг профилей социальных сетей и содержат только ту информацию, которую оставили о себе сами пользователи. Подобные базы регулярно появляются в открытом доступе и никакими утечками они конечно не являются. Однако, сбор данных профилей пользователей, как правило запрещен лицензионными соглашениями социальных сетей.
Далее, был обнаружен обнаружен ещё один свободно доступный сервер ElasticSearch, в индексах которого содержались данные более 200 млн. пользователей микроблогинговых платформ Twitter и Weibo. Открытый сервер принадлежит китайской компании “CYYUN”, поставщику “больших данных”.
Для Twitter собрано 44,028,450 профилей, а для Weibo — 164575053. Хранение собранных данных обеспечивал кластер из 21 сервера.
Дальше – больше, ещё через день снова обнаружен свободно доступный сервер Elasticsearch, в индексах которого содержались данные, собранные очередной компанией-поставщиком “больших данных”. Речь идет о компании SalesTools, поставщике аналитической платформы для автоматизации продаж.
В открытом доступе оказались более чем 57 млн. профилей пользователей, собранных в основном из социальной сети LinkedIn и обогащенных дополнительной информацией из других источников.
На момент обнаружения, в индексе «salestools_data_2_people» находилось 57862000 строк:
- полное имя
- город, страна (50 тыс. из России)
- ссылка на профиль LinkedIn
- место работы, индустрия, должность, вебсайт
В индексе «salestools_prospector_2_prospects» находилось 19028622 строки, представляющих из себя обогащенные данные из предыдущего индекса:
- полное имя
- адрес эл. почты (10,8 млн. из них 2,9 млн. — подтвержденных)
- телефон (4,5 млн.)
- город, страна (99,7 тыс. из России)
- ссылка на профили в социальных сетях (в основном LinkedIn, но попадаются Facebook, Twitter, Xing)
- место работы, индустрия, должность, вебсайт, оборот компании, кол-во сотрудников
- дата создания и обновления записи (с 21.03.2016 по 04.06.2020)
В одном из индексов даже содержался логин и пароль администратора:
«_source»: {
«password»: «7+Vv*********qd!»,
«roles»: [
«superuser»
],
«full_name»: «Salestools Admin»,
«email»: «[email protected]»,
«metadata»: {
«intelligence»: 7
}
}
(реальные данные скрыты)
Через несколько часов после обнаружения открытого сервера, его нашел и уничтожил в нем данные “червь” «meow» («мяу»).
25.08.2020 обнаружен открытый ElasticSearch, в индексах которого содержались данные более чем 150 млн. пользователей Facebook, LinkedIn и Instagram.
Сервер располагался в США, на площадке Alibaba и принадлежал китайской компании Shenzhen Benniao Social Technology, которая предоставляет “лиды” из социальных сетей для китайских компаний, работающих на зарубежных рынках.
На сервере находилось 3 индекса:
- linkedin — 66117839 профилей LinkedIn (имя, ссылка на профиль, эл. почта, страна, место работы, должность и т.п.)
- instagram_user_email_data — 11651162 профилей Instagram (имя, ссылка на профиль, эл. почта, телефон, страна, данные по подписчикам и т.п.)
- facebook — 81551567 профилей Facebook (имя, ссылка на профиль, эл. почта, телефон, страна, данные по подписчикам и т.п.)
Латыши-коротыши
Несколько дней назад в свободном доступе появилась база данных с информацией о 55 тыс. владельцах карт российских банков.
Изданию РБК удалось установить источник утечки – латвийский маркетплейс Joom.
В находящемся в открытом доступе Excel-файле 55,425 строк, содержащих:
- первые 6 и последние 4 цифры платежной карты
- тип карты (Visa, MasterCard, МИР)
- банк-эмитент карты
- дата истечения карты
- имя на карте латиницей
- имя/фамилия покупателя
- мобильный телефон
- адрес эл. почты
- почтовый адрес
Помимо этой базы данных, мы выявили в продаже на черном рынке, базы аналогичного формата (совпадает все, вплоть до стиля написания почтового адреса), продающиеся (под видом банковских баз) по цене от 5 руб. за строку.
Данные в собранных нами образцах не пересекаются с информацией из свободно доступной базы с 55 тыс. строками.
Через пару дней открытый доступ попали очередные данные российских владельцев платежных карт из этой утечки — Excel-файл с 31,000 строк, причем данные были отобраны только по одному банку — ВТБ.
По нашей информации всего в утекшей базе Joom содержится более 800 тыс. строк из них более 550 тыс. содержат данные клиентов российских банков. Эта база продается за $3000.
А и Б долбили ВТБ
Также в августе газета “Известия” сообщила, что на форуме в даркнете появилось объявление о продаже базы данных с информацией о счетах россиян в банке ВТБ, которая содержит до 50 млн записей.
База действительно появилась в продаже на одном из теневых форумов 14.08.2020. В предоставляемом продавцом образце данных содержатся: ФИО, номер мобильного телефона и номер паспорта.
Обычно такие базы не имеют отношения к утечкам из банков или других финансовых структур, а получаются из давно собранных баз физлиц (ФИО, телефон, паспортные данные), которые, путем запросов к системе быстрых платежей (СБП), обогащаются данными о привязке телефонного номера к тому или иному банку.
И разумеется ни о каких 50 млн. строк с данными клиентов ВТБ не может быть и речи. В банке всего около 14 млн. клиентов (физлиц и юрлиц). В цифру 50 млн. можно было бы поверить, если бы речь шла о выпущенных за все время платежных картах (как было в свое время со Сбербанком), но в данном случае продавец утверждает, что в базе содержится информация о клиентах-физлицах.