дайджест утечек

Спорт – это жизнь

Источник, который уже «сливал» данные портала «Московская Электронная Школа», образовательного портала «GeekBrains» и многих других, выложил данные клиентов сети магазинов «Спортмастер» в двух файлах.

В первом текстовом файле — 1,655,406 строк (269,499 уникальных адресов эл. почты и 1,316,510 уникальных номеров мобильных и домашних телефонов), самая «свежая» запись датируется 31.08.2021. «Спортмастер» официально признал эту утечку.

Во втором файле содержится уже 99,909,000 строк в том же самом формате, что и в предыдущем файле:

  • ФИО
  • адрес эл. почты (13,4 млн уникальных адресов)
  • мобильный и домашний телефон (45,89 млн уникальных номеров)
  • адрес
  • дата рождения
  • пол

Данные из первого (меньшего) файла являются частью второго файла.

Самая «свежая» (единственная) запись в новом файле датируется 16.11.2022, но подавляющее большинство строк относятся к 2010-2013гг.

Защитник не защитил

В открытый доступ выложили данные части пользователей одного из сервисов mail.ru.

Всего 3,505,916 записей:

  • ID
  • адрес эл. почты на доменах mail.ru, bk.ru, inbox.ru и др. (3,409,693 уникальных адреса)
  • телефон (1,418,082 уникальных российских номера)
  • имя/фамилия
  • имя пользователя

Выборочная проверка случайных записей из этого дампа через форму восстановления доступа на сайте account.mail.ru показала, что зарегистрированные номера телефонов пользователей совпадают (в открытой их части) с тем, что указано в дампе.

Страховка не помогла

В открытый доступ попал частичный SQL-дамп вероятно базы данных сайта sogaz-life.ru, принадлежащего страховой компании «СОГАЗ-ЖИЗНЬ».

Дамп, полученный из CMS «Bitrix» (скорее всего 20.10.2022) содержит 49,999 зарегистрированных пользователей:

  • логин
  • ФИО
  • адрес эл. почты
  • телефон
  • адрес (не для всех)
  • пол
  • дата рождения
  • хешированный (MD5 с солью и SHA512-Crypt) пароль

Хакер, «сливший» этот фрагмент, утверждает, что в полном дампе около 700 тыс. строк.

Инвестиции — дело рискованное

В свободный доступ были выложены исходные коды предположительно сервиса для инвестиций на фондовом и валютном рынке «Газпромбанк Инвестиции» (gazprombank.investments).

В этих файлах (всего более 233 тыс. штук) были обнаружены текстовые выгрузки, содержащие персональные данные клиентов.

В самой крупной выгрузке находится 38,997 строк:

  • ФИО
  • телефон (34,590 уникальных номеров)
  • адрес эл. почты (34,623 уникальных адреса)
  • пол
  • дата рождения
  • серия/номер паспорта, кем и когда выдан, код подразделения
  • номер договора и его дата (с 12.05.2020 по 17.05.2021)
  • признак квалифицированного инвестора

В другой выгрузке содержатся данные этих же клиентов, но уже с адресом.

Данные актуальны на 17.05.2021.

«Газпромбанк Инвестиции» сделали официальное заявление:

Утечка данных через внешний взлом систем на сегодняшний день невозможна, поскольку все базы данных клиентов полностью изолированы от внешней сети. Также стоит отметить, что количество клиентов, указываемое в сообщении, более чем в 10 раз отличается от реального объема клиентской базы брокера.

Попробуем разобраться с написанным в заявлении:

  1. Судя по всему, утечка произошла не из «полностью изолированных от внешней сети» баз данных брокера, а из репозитория разработчика. Среди тысяч файлов с исходным кодом находились несколько текстовых файлов с персональными данными почти 39 тыс. человек.
  2. Достоверно утверждать, что обнаруженные персональные данные принадлежат именно клиентам брокера мы не можем. Однако, выборочная проверка случайных записей показывает, что в файлах находятся реальные данные граждан. Возможно для тестирования, разработчики системы использовали информацию из базы данных брокера или другой базы данных с реальными данными реальных людей.
  3. 01.02.2022 на официальном сайте «Газпромбанка» размещена (https://www.gazprombank.ru/press/6703187/) информация о количестве клиентов брокера в 2021 году: «Количество клиентов, заключивших договоры на брокерское обслуживание с помощью приложения «Газпромбанк Инвестиции» за год выросло с 7 954 до 95 120». Поскольку в утечке фигурируют данные (38,997 записей) за май 2021 года, то ни о каких отличиях в 10 раз не может быть и речи.