дайджест утечек

Хотели как лучше…

В API для мобильных приложений «Росреестра» была обнаружена уязвимость, позволяющая без какой-либо аутентификации и авторизации, только по кадастровому номеру, получить персональные данные владельца объекта недвижимости.

Мы проверили уязвимость и выяснили, что специально сформированный запрос, содержащий кадастровый номер интересующего объекта недвижимости, к серверу mobile.rosreestr.ru возвращает:

  • ФИО
  • дату рождения
  • адрес
  • СНИЛС
  • паспорт (серия, номер, кем и когда выдан)
  • кадастровую стоимость
  • дату регистрации права собственности

После публикации информации об этой уязвимости в нашем Telegram-канале, она была устранена.

Финтех такой финтех

Хакерская группировка «Zаря» взломала украинскую финтех-компанию «MustPay» (mustpay.tech) и «слила» с ее серверов персональные данных клиентов банка «КОНКОРД» (concord.ua).

По нашей информации «слиты» данные около 200 тыс. человек:

  • ФИО
  • телефон
  • адрес эл. почты
  • индивидуальны налоговый номер (ІПН)
  • адрес
  • пол
  • результат проверки через украинское бюро кредитных историй (УБКІ)
  • дата заявки

Информация представлена в виде набора JSON-файлов, в которых содержатся, в том числе, результаты проверок паспортов (сканов) клиентов.

Данные были получены 07.02.2023.

Есть лишний билетик?

Был взломан сервис по продаже билетов на различные городские мероприятия kassy.ru. Мы получили данные на анализ и выяснили, что были «слиты» как зарегистрированные пользователи, так и заказы.

В файлах (разбиты по городам) заказов содержится суммарно 13,897,009 записей:

  • ФИО
  • адрес эл. почты (4,653,901 уникальных адресов)
  • телефон (4,868,630 уникальных номеров)
  • идентификатор и дата заказа

В таблице пользователей 3,003,894 строк:

  • ФИО
  • адрес эл. почты (3,003,891 уникальный адрес)
  • телефон (533,741 уникальный номер)
  • хешированный (MD5) пароль
  • пол
  • дата рождения (не у всех)
  • дата создания и обновления профиля (с 25.01.2018 по 09.04.2023)
  • идентификатор города

Анализы проанализировали

Хакерская группировка «XakNet Team» взломала ИТ-инфраструктуру украинской сети медицинских лабораторий «Синэво» (synevo.ua) и «слила» персональные данные клиентов/пациентов.

Мы получили «слитые» данные на анализ и можем подтвердить их достоверность.

Информация представлена в виде SQL-дампа и набора текстовых файлов. Актуальность данных — 10.01.2023.

В SQL-дампе находится таблица с заказами, которые оформлялись и оплачивались через сайт лаборатории, содержащая 935,332 строки:

  • ФИО
  • адрес эл. почты (226,910 уникальных адресов)
  • телефон (437,528 уникальных номеров)
  • пол
  • дата рождения
  • IP-адрес
  • номер скидочной карты (не для всех)
  • стоимость
  • ФИО врача (не для всех)

В текстовых файлах находится гораздо больше данных, вероятно, полученных из внутренней CRM-системы. Всего 3,190,791 строка, содержащая:

  • ФИО
  • адрес эл. почты (1,338,857 уникальных адресов)
  • телефон (3,190,448 уникальных номеров)
  • пол
  • дата рождения

Страховка не помогла

Хакеры из группировки «Free Civilian» «слили» в открытый доступ данные, взломанного ими ранее «Моторного (транспортного) страхового бюро Украины» (mtsbu.ua).

Информация представлена в виде 4-х SQL-дампов, содержащих данные по всем украинским автотранспортным средствам и их владельцам, а также полисам международной системы «Green card».

К нам на анализ попали полные дампы, но в свободном доступе находятся только фрагменты, ограниченные примерно 30 тыс. строк.

В дампе автовладельцев 10,462,913 строк:

  • ФИО (или название организации)
  • пол
  • серия/номер/дата истечения водительского удостоверения

В дампе автотранспортных средств 11,926,509 строк, за период с 30.01.2020 по 14.01.2022:

  • гос. номер
  • VIN
  • марка/модель/год выпуска/масса
  • адрес (регистрации и владельца)
  • дата постановки на учет

В еще одном дампе дампе автотранспортных средств 14,715,730 строк, за период с 14.10.2009 по 14.01.2021:

  • гос. номер
  • VIN
  • марка/модель/год выпуска/масса

В дампе «Green card» содержится 8,707,690 строк:

  • ФИО (или название организации)
  • адрес
  • дата рождения
  • страховая премия
  • дата начала/окончания полиса

Судя по информации из дампов, они были сделаны 14.01.2022.

Сапожники без сапог

Хакеры взломали компанию по управлению цифровыми рисками «BI.ZONE». Судя по опубликованной хакерами информации был выгружен SQL-дамп базы данных сайта bi.zone, под управлением CMS «Bitrix», содержащий, как зарегистрированных пользователей (имена, хешированные пароли, адреса эл. почты), так и лиды (имена, телефоны, адреса эл. почты, места работы).

Мы проанализировали несколько SQL-дампов из которых видно, что хакеры получили доступ к данным нескольких сайтов:

  • cyberpolygon.com
  • bi.zone
  • cyberacademy.bi.zone
  • touch.bi.zone
  • aftt.bi.zone

Все дампы датируются апрелем этого года и в них, помимо настоящих данных, содержится много тестовых записей.