дайджест утечек

Представляем очередной выпуск ежемесячного дайджеста наиболее интересных публикаций в июне 2020 г. в Telegram-канале «Утечки информации: авторские статьи про утечки данных. Сливы, интриги, расследования».

Заплатили налоги и спите спокойно?

В свободном доступе оказалась база налогоплательщиков Киргизии. Файл, содержащий 879,271 запись, изначально был выложен в середине апреля этого года на англоязычный форум и позже перевыложен тем же пользователем на русскоязычный форум. Всего в Киргизии около 4 млн. человек старше 18 лет.

В файле находятся данные как юридических, так и физических лиц:

  • ФИО/название юрлица
  • идентификационный номер налогоплательщика (ИНН)
  • адрес
  • дата рождения

Выборочная проверка через сайт Налоговой Службы Кыргызской Республики (salyk.kg/TaxPayer/Info) подтвердила достоверность данных.

Судя по описанию, данные получены в 2019 году через SQL-уязвимость на одном из официальных сайтов.

Самоделкины протекли

24-го апреля этого года система DLBI обнаружила свободно доступный Elasticsearch-сервер, в индексах которого содержались ответы (тикеты) службы технической поддержки платформы для handmade-мастеров «Ярмарка Мастеров» (livemaster.ru).

Всего в индексе находилось более 550 тыс. сообщений, содержащих:

  • имя/фамилия
  • адрес эл. почты
  • текст сообщения
  • дата/время
  • IP-адрес
  • User-Agent, тип браузера, ОС и т.п.

Мы немедленно оповестили владельца сервера и в тот же день доступ к данным был “тихо” закрыт.

По информации Shodan, данный сервер с этими индексами появился в свободном доступе 16.04.2020, а до этого эти индексы “всплывали” начиная с 29.07.2019, перемежаясь с другими (явно тестовыми) индексами.

Коронавирус не щадит никого

На продажу был выставлен MySQL-дамп базы данных, содержащей информацию о примерно 230 тыс. пациентах, которые сдавали тесты на COVID-19 в Индонезии. Файл размером 404 Мб продается за $300 и содержит сведения из больниц Джакарты и крупных городов провинций Бали и Западная Ява.

Дамп представляет собой резервную копию базы данных, оставленную в открытом доступе на сервере 139.180.222.182 (balierabaru.org). Данные в дампе актуальны на 06.05.2020:

  • полное имя
  • пол
  • гражданство (встречается не только Индонезия)
  • адрес
  • дата тестирования
  • результат ПЦР-теста
  • многое другое…

Взрыв из прошлого

На одном из форумов были выложены Excel-файлы (6 шт.) с данными пользователей предположительно портала по поиску работы SuperJob.ru. Заявляется, что данные относятся к 2016 году.

Файлы содержат:

  • ФИО
  • пол
  • дата рождения
  • телефон
  • адрес эл. почты
  • город
  • желаемая з/п

Суммарно во всех файлах 5,077,969 строк, некоторые строки содержат данные одних и тех же людей, но с разными номерами телефонов (после удаления таких дублей остается около 4,8 млн. строк).

Очевидно, что данная база оптимизирована (дополнена) под “прозвон”, т.к. присутствуют поля «Оператор», «Регион Телефона» и «Часовой Пояс».

Известно, что с начала 2017 года в узких кругах имеет хождение база данных «SuperJob» в формате Cronos. В ней примерно 5,8 млн. записей почти такого же формата.

Безопасность данных — это иностранный язык, все произносят её неправильно

«Коммерсантъ» пишет про то, что данные учащихся и сотрудников онлайн-школы английского языка Skyeng выставлены на продажу в интернете.

В Skyeng не подтвердили факт утечки или взлома. Нет оснований считать, что указанная в сообщении база имеет отношение к Skyeng, заявил управляющий партнер этой платформы Александр Ларьяновский.

Корреспондент “Ъ” обзвонил некоторых клиентов, чьи данные оказались в бесплатном «пробнике» базы, и подтвердил подлинность данных.

Базу с 5 млн. строк (именно строк, а не клиентов) продают за 80 тыс. рублей, а за 40 тыс. рублей продают выборку из этой базы с 270 тыс. строками, содержащими данные российских клиентов.

Хотел откосить от армии? Теперь твои данные в паблике!

В свободном доступе оказался огромный массив внутренней документации ООО «Медицинско-правовая компания», работающей под брендом «ПризываНет.ру».

В архивах содержится вся жизнь этой медицинской организации начиная с 2015 и заканчивая серединой 2020 года, в том числе бухгалтерия, персональные данные клиентов (включая сканы их медицинских документов, адреса, телефоны, ссылки на страницы в соцсетях и профили в мессенджерах, а также сведения об их банковских картах), списки сотрудников, внутренние регламенты и многое другое.

В архивах имеются сканы медицинских документов, датированные 2015 годом.

Помимо данных клиентов (ФИО, номер телефона, почтовый адрес, адрес эл. почты) в утекшей базе «ПризываНет.ру» содержится также и информация по платежам (первые 6 и последние 4 цифры номеров банковских карт, месяц и год истечения карт, коды авторизации, суммы платежей).

Кроме того, там есть и данные сотрудников компании: ФИО, адреса эл. почты, телефоны, логины в CRM-систему, страницы ВКонтакте и идентификаторы Telegram.