Обложка канала

Утечки информации. Страница 22

74529 @dataleak
Открыть

Авторские статьи про утечки данных. Информационная безопасность. Сливы, интриги, расследования.

  • Утечки информации

    В Ижевске (Удмуртия) завершено расследование уголовного дела в отношении 22-летнего местного жителя, который занимался "мобильным пробивом" - в мае 2021 г. на своем рабочем месте копировал персональные данные абонентов и затем передавал их третьим лицам за денежное вознаграждение. Его обвиняют по ч. 3 ст. 272 (неправомерный доступ к компьютерной информации, совершённый лицом с использованием своего служебного положения), ч. 2 ст. 137 (нарушение неприкосновенности частной жизни, совершенное лицом с использованием своего служебного положения), ч. 3 ст. 183 (незаконные получение и разглашение сведений, составляющих коммерческую тайну, без согласия их владельца лицом, которому она была доведена или стала известна по службе или работе) УК РФ. Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут.
    Обзор черного рынка “пробива” российских физлиц за 2021 год - Data Leakage & Breach Intelligence

    И снова время обновлять наш прошлогодний отчет по ценам черного рынка «пробива».

    Data Leakage & Breach Intelligence

  • Утечки информации

    На англоязычный теневой форум выложили дамп таблицы пользователей из базы данных сайта предположительно центра предоставления государственных и муниципальных услуг «Мои Документы» Воронежской области (mydocuments36.ru). В таблице 25,906 записей, содержащих: 🌵 ФИО 🌵 адрес эл. почты 🌵 логин 🌵 хешированный (bcrypt) пароль 🌵 дата создания профиля и последнего входа в систему (с 14.05.2014 по 08.05.2022) В конце прошлого года мы писали, что в открытый доступ попали исходные коды регионального портала госуслуг Пензенской области, а до этого была утечка данных из портала госуслуг Республики Татарстан. Кроме того, в конце 2019 г. "слили" данные из открытого сервера регионального мобильного приложения «Госуслуги Югры».

  • Утечки информации

    В Волгограде возбуждено уголовное дело в отношении 22-летнего местного жителя, подозреваемого в совершении преступления, предусмотренного ч.3 ст.272 (неправомерный доступ к компьютерной информации, совершённый лицом с использованием своего служебного положения) УК РФ. Установлено, что молодой человек получил доступ к персональным данным абонентов одного из операторов сотовой связи, с целью последующей передачи указанной информации третьим лицам за денежное вознаграждение. Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут.
    Поймать и наказать! Как в России ловят и наказывают за незаконную торговлю персональными данными. Часть 3. - Data Leakage & Breach Intelligence

    Почти год назад я делал подборку сообщений из СМИ про то, как в России ловят и наказывают за незаконную торговлю персональными данными. Пришло время обновить

    Data Leakage & Breach Intelligence

  • Реклама

  • Утечки информации

    Две недели назад система DLBI обнаружила свободно доступный сервер Elasticsearch с данными клиентов платформы автоматизации HR-процессов «Mirapolis» (mirapolis.ru). Мы оповестили сервис о проблеме, но никакого ответа от них не получили. Однако, доступ к серверу был закрыт. 😎

  • Утечки информации

    В г. Камызяк (Астраханская область) был осужден сотрудник ГИБДД, который в ноябре 2021 г., скачал со своего рабочего компьютера из базы данных информацию о женщине, проживающей в Волгограде и передал ее своему знакомому. Преступление было квалифицировано по ч. 1 ст. 286 УК РФ (превышение должностных полномочий, совершенное должностным лицом). Суд назначил наказание - штраф 40 тыс. руб., а также на два года лишил его права занимать должности в правоохранительных органах.

  • Утечки информации

    В Барнауле 25-летний бывший директор магазина сотовой связи занимался "мобильным пробивом" - через информационно-биллинговую систему сотового оператора получал детализации соединений по абонентских номеров. По данным следствия, в декабре 2021 г. неизвестный, через мессенджер, предложил обвиняемому предоставлять данные интересующих его абонентов. За такую информацию он предложил ему 500 руб. за один номер. Бывший директор согласился и передал данные заказчику по двум номерам. Обвинение предъявлено по ч.2 ст.138 (нарушение тайны переписки, телефонных переговоров и иных сообщений, совершенное лицом с использование своего служебного положения) и ч.3 ст.272 (неправомерный доступ к компьютерной информации, совершённый лицом с использованием своего служебного положения) УК РФ. Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут.
    Обзор черного рынка “пробива” российских физлиц за 2021 год - Data Leakage & Breach Intelligence

    И снова время обновлять наш прошлогодний отчет по ценам черного рынка «пробива».

    Data Leakage & Breach Intelligence

  • Утечки информации

    Самарский районный суд приговорил к 9 и 5 годам лишения свободы бывшего начальника местного отдела полиции Алексея Борисова и его экс-подчиненного Кирилла Чупрова за взятки, полученные за передачу информации из базы данных МВД «Розыск-Магистраль». Кроме того, сотрудники полиции лишены званий и оштрафованы на 5,9 млн руб. Ранее мы писали про это дело тут и тут. Суд установил, что на протяжении 2020 года Борисов, занимая должность начальника отдела полиции №6 Самары, и его подчиненный Чупров за денежное вознаграждение передавали третьему лицу информацию из баз данных МВД,, которая была использована в "расследовании" отравления блогера Алексея Навального. В общей сложности они получили 596 тыс. руб. Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут.
    Утечки информации

    Суд Самары начал рассмотрение уголовного дела, возбужденного в отношении сотрудника отдела полиции № 6 по Самарскому району г. Самары Кирилла Чупрова. Предполагается, что Чупров предоставил информацию из базы данных «Розыск-Магистраль» о перемещениях нескольких сотрудников ФСБ, постороннему лицу, причастному к деятельности экстремистской организации А. Навального. Мы писали про это тут. Из материалов суда стало известно, что статью обвинения переквалифицировали на ст.290 ч.5 УК РФ (получение взятки группой лиц по предварительному сговору в крупном размере). В причастности к преступлению также подозревается руководитель Чупрова, бывший начальник дежурной части отдела полиции - Алексей Борисов. Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут.

    Telegram

  • Утечки информации

    Вчера в Telegram-помойках распространялся т.н. "документ", якобы утекший из «Альфа-Банка», в котором говорится о проблемах безопасности в связи с уходом из России компании «Thales». 😂 Не будем комментировать содержимое самого "документа" с орфографическими и синтаксическими ошибками. Остановимся на странице с подписями и печатью. 🤦‍♂️ Страница не имеет перфорации от брошюровщика, хотя весь остальной "документ" сделан в виде брошюры в переплете. 🤦‍♂️ Подписи топ-менеджеров и печать целиком вырезаны из настоящего документа, взятого с сайта банка. 🤦‍♂️ Заметно несовпадение шрифтов даты "документа" и текста под подписями, взятого из настоящего документа. 🤦‍♂️ Поскольку подпись в настоящем документе немного перекрывалась датой, создатели фейка просто отрезали вершину подписи. 🤦‍♂️ Формат написания даты (слово "года" после "21.06.2022" ) в "документе" намекает, что создатели фейка не очень в курсе правил, принятых в России. 🤣 В настоящем документе формат, разумеется, правильный.

  • Утечки информации

    В Ивановской области завершено расследование уголовного дела в отношении 20-летнего специалиста оператора мобильной связи, который обвиняется в совершении 3 эпизодов преступлений, предусмотренных ч. 2 ст.138 (нарушение тайны телефонных переговоров граждан, совершенное лицом с использованием своего служебного положения) и ч. 3 ст. 272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации). В ноябре 2021 г. обвиняемый получил из базы данных сведения о телефонных соединениях трех человек и впоследствии передал данную информацию сторонним лицам. Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут.
    Поймать и наказать! Как в России ловят и наказывают за незаконную торговлю персональными данными. Часть 3. - Data Leakage & Breach Intelligence

    Почти год назад я делал подборку сообщений из СМИ про то, как в России ловят и наказывают за незаконную торговлю персональными данными. Пришло время обновить

    Data Leakage & Breach Intelligence

  • Утечки информации

    На одном из форумов появилась база данных предположительно сервиса кадрового электронного документооборота «КЭДО» (kedo.esphere.ru), являющегося частью цифровой платформы «СберКорус» (esphere.ru). 🙈 В файле с данными пользователей 1,965 строк, содержащих: 🌵 ФИО 🌵 телефон 🌵 адрес эл. почты 🌵 дата рождения 🌵 пол 🌵 СНИЛС 🌵 ИНН 🌵 паспорт (серия, номер, кем и когда выдан) 🌵 адрес регистрации 🌵 дата создания профиля (с 01.04.2021 по 16.05.2022) Кроме того, в объявлении на форуме сказано о продаже "гигабайтов данных" других проектов «СберКорус» и даже прямого доступа к серверу. 😱 В качестве дополнительного подтверждения продавец предоставил исходные коды двух сервисов: поиска и бронирования ЖД билетов (RailwayTicketsService) и интеграции с единой системой идентификации и аутентификации портала Госуслуг (EsiaService).

  • Утечки информации

    На теневом форуме продают дамп базы данных зарегистрированных пользователей российского интернет-магазина техники allo-internet.ru. 👇 В дампе 111,077 строк: 🌵 имя/фамилия 🌵 логин 🌵 адрес эл. почты 🌵 хешированный (MD5 с солью) пароль 🌵 дата регистрации и последнего входа в профиль (с 08.12.2014 по 16.06.2022)

  • Утечки информации

    В Новосибирске передано в суд уголовное дело в отношении 21-летней сотрудницы оператора сотовой связи, которая в период с декабря 2020 г. по февраль 2021 г. занималась "мобильным пробивом". Специалист офиса оператора сотовой связи передавала третьим лицам персональные данные абонентов и другие сведения, связанные с оказанием им услуг связи. От заказчиков она получала по 300 руб. за данные одного абонента. Всего выявлено 15 таких эпизодов. 🤷‍♂️ Обвинение предъявлено по ст. 272 УК РФ (неправомерный доступ к компьютерной информации). Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут.
    Обзор черного рынка “пробива” российских физлиц за 2021 год - Data Leakage & Breach Intelligence

    И снова время обновлять наш прошлогодний отчет по ценам черного рынка «пробива».

    Data Leakage & Breach Intelligence

  • Утечки информации

    В начале месяца в открытый доступ был выложен фрагмент (более 105 тыс. записей) базы данных пользователей образовательного портала «GeekBrains» (gb.ru). Сейчас тот же источник "слил" второй фрагмент этой базы - 107,535 строк: имена, эл. почты (96,7 тыс.) и телефоны (87,1 тыс.).

  • Утечки информации

    С 2019 по 2020 г. трое сотрудников налоговых органов за деньги предоставляли (см. "государственный пробив") через посредника информацию об источниках дохода физлиц, счетах, открытых в кредитных организациях, адресах регистрации и имуществе, а также другие сведения для представителей детективного агентства. Злоумышленники передали заказчикам, включая иностранцев, охраняемые данные более 30 человек. Частных сыщиков и сотрудников налоговой службы задержали и против них возбуждены уголовные дела по статьям 290 (получение взятки) и 291.1 (посредничество во взяточничестве) УК РФ. Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут.
    Обзор черного рынка “пробива” российских физлиц за 2021 год - Data Leakage & Breach Intelligence

    И снова время обновлять наш прошлогодний отчет по ценам черного рынка «пробива».

    Data Leakage & Breach Intelligence

  • Утечки информации

    Хакеры сдампили очередной российский сайт и дамп его базы данных выставили на продажу. 😱 На этот раз появился файл с данными клиентов сайта «День Без Турникетов» (turniketov.net) - 146,683 строки, содержащие: 🌵 ФИО 🌵 телефон 🌵 адрес эл. почты 🌵 дата рождения 🌵 пол 🌵 паспортные данные 🌵 место работы/учебы 🌵 дата создания профиля (с 27.02.2018 по 16.06.2022) Проверка случайных записей из дампа через форму регистрации на сайте turniketov.net показывает, что адреса эл. почты уже существует в базе сайта. 😱

  • Реклама

  • Утечки информации

    В Копейске (Челябинская область) двоих сотрудников оператора сотовой связи ПАО «ВымпелКом»Билайн») осудили за продажу конфиденциальной информации о клиентах (см. "мобильный пробив"). Подсудимые фотографировали на свои смартфоны детализацию телефонных переговоров абонентов, персональные данные клиентов сотовой связи, сведения об абонентских контрактах номеров телефонов и продавали фотографии посторонним через мессенджер. Судом они признаны виновными в совершении преступлений, по ч.2 ст.138 (нарушение тайны телефонных переговоров), ч.3 ст.183 (незаконные получение и разглашение сведений, составляющих коммерческую тайну) и ч.3 ст.272 (неправомерный доступ к компьютерной информации) УК РФ. Им назначен судебный штраф в размере 100 тыс. руб. каждому. Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут.
    Обзор черного рынка “пробива” российских физлиц за 2021 год - Data Leakage & Breach Intelligence

    И снова время обновлять наш прошлогодний отчет по ценам черного рынка «пробива».

    Data Leakage & Breach Intelligence

  • Утечки информации

    Уважаемые читатели нашего канала, мы по традиции предлагаем вам дайджест наиболее интересных публикаций прошедшего месяца! 🔥 Очередной выпуск ежемесячного дайджеста самых значимых утечек, о которых мы писали в мае 2022 г.👇 База Гемотеста и школы СКОЛКОВО, слив администрации Львова и другое: https://dlbi.ru/leak-digest-may2022/
    Дайджест телеграм-канала «Утечки информации» за май 2022 года. - Data Leakage & Breach Intelligence

    На теневом форуме выставили на продажу базу данных клиентов медицинской лаборатории «Гемотест». В базе 31 млн строк, содержащих: ФИО, дату рождения, адрес,

    Data Leakage & Breach Intelligence

  • Утечки информации

    Несколько дней назад на одном из форумов появилось объявление о продаже базы данных и доступа к серверу onlinegibdd.ru - сервиса проверки штрафов, автотранспорта и водителей. К нам на анализ попало несколько SQL-дампов из этой утечки. 491,556 пользователей (физлица): 🌵 ФИО 🌵 телефон 🌵 адрес эл. почты 🌵 хешированный (двойной MD5) пароль 🌵 регион 🌵 идентификаторы соц. сетей (Facebook, ВКонтакте, Яндекс, Google, Twitter) 🌵 дата регистрации (с 11.11.2013 по 05.06.2022) 43,298 партнеров (юрлица): эл. почта, хешированный пароль, название компании, контактное лицо и т.п. Проверка случайных записей из дампов через функцию восстановления пароля на сайте onlinegibdd.ru показывает, что логины - действительные. 😱 Остальные дампы содержат данные по нарушениям, оплатам штрафов и т.д.