дайджест утечек

Безопасники без безопасности

Снова был взломан форум компании-разработчика утилит и антивирусов «IObit» (forums.iobit.com).

Прошлый раз их взламывали в мае 2020 г., а до этого в 2017 и 2015 гг.

В отличии от майского инцидента, на этот раз в открытый доступ попал полный MySQL-дамп форума размером 753 Мб. Судя по информации из дампа, он был сделан 08.11.2020.

По нашей информации, дамп был свободно доступен по адресу forums.iobit.com/iobit.sql в момент, когда форум был взломан и распространял вирус-вымогатель «DeroHE».

В таблице «users» 84,317 строк, содержащих:

  • логин/имя пользователя
  • адрес эл. почты (1,9 тыс. в зоне .ru)
  • хешированный (MD5 и bcrypt с солью) пароль
  • дата рождения
  • IP-адрес
  • дата создания профиля и последней активности (самая “свежая” 08.11.2020)
  • идентификаторы и ключи доступа (токены) социальных сетей и мессенджеров (Facebook, ICQ, Skype и др.)

Опять Facebook

Мировые и отечественные СМИ возбужденно строчили “новости” про то, что в Telegram появился бот, который по номеру телефона выдает ссылку на профиль пользователя Facebook и наоборот.

Речь идет о боте @osintshopbot (в данный момент заблокирован), который построен на основе базы Facebook, содержащей более 560 млн. записей с номерами телефонов и привязанным к ним идентификаторам профилей пользователей Facebook. Данные получены в 2019 г. через одну из уязвимостей (уже закрытую) в этой соц. сети.

База разбита на страны и продается множеством продавцов (цены варьируются от $8 до 20 тыс.)

Данные по некоторым странам находятся в свободном доступе: Россия (9,996,405 строк), Германия (6,054,422), Бангладеш (3,816,348), Ливия (3,364,570), Казахстан (3,214,290) и несколько других.

Забавно то, что СМИ опубликовали скриншоты объявления заблокированного за мошенничество продавца. Пользователь форума с ником «e7859s» пытался продать под видом базы Facebook, базу «Wattpad».

Нездоровая утечка

В открытый доступ был выложен дамп сервера, содержащего документы нескольких московских медицинских (стоматологических) организаций – предположительно ООО «ЮНОВа» и ООО «Клиника Здоровье».

Всего выложено 120,085 файлов общим размером 248,38 Гб, в том числе договора, внутренние документы, списки пациентов, списки сотрудников и многое другое. Некоторые документы датируются 2004-2012 гг., но есть и 2019-2020 гг.

Предположительно сервер с открытым портом 3389 (MS RDP) был взломан через одну из известных уязвимостей (CVE-2019-0708), либо перебором паролей.