Таблетки от утечки
На теневой форум выставлена на продажу информация, полученная, по словам продавца, из базы данных интернет-аптеки zdravcity.ru.
Заявлено наличие в базе 8,936,738 уникальных номеров телефонов и 3,398,814 уникальных адресов электронной почты.
Мы смогли проанализировать информацию, содержащуюся в этой базе и обнаружили там точные данные известных нам людей, совершавших покупки в этой сети аптек.
Кроме того, продавец предоставил расширенную информацию из базы, в которой видны даты и суммы покупок, адреса аптек и т.п.
Мест нет
В открытый доступ был «слит» SQL-дамп базы данных украинского сервиса онлайн-бронирования столиков в ресторанах Киевa — RestOn.ua.
Дамп датируется 05.02.2023 и содержит 44,665 записей зарегистрированных пользователей:
- имя/фамилия
- телефон (14,065 уникальных номеров)
- адрес эл. почты (1,830 уникальных адресов)
- пол
- дата рождения
- логин
- хешированный (MD5) пароль
- IP-адрес
Кроме данных пользователей, в дампе находится информация (312,430 строк) о бронированиях:
- комментарий к бронированию
- дата бронирования
Сбежали, но недалеко
В продажу попал дамп интернет-магазина ru.puma.com, принадлежащего сбежавшему из России спортивному бренду «PUMA».
По нашей информации в SQL-дампе содержится около 327 тыс. записей зарегистрированных пользователей и покупателей:
- ФИО
- адрес эл. почты
- телефон
- адрес доставки
- дата рождения
- хешированный (SHA-256 с солью) пароль
- пол
Дамп датируется 16.05.2022.
За культуру торговли
Некоторое время назад на одном из форумов выставили на продажу данные сотрудников предположительно торговых сетей «Дикси» (dixy.ru) и «Бристоль» (bristol.ru).
Нам предоставили эти данные на анализ.
Оба SQL-дампа датируются 06.02.2023 и содержат практически идентичный набор данных:
- ФИО
- адрес эл. почты (большинство на доменах dixy.ru, bristol.ru и bristolcapital.ru)
- телефон (73 тыс. уникальных номеров)
- хешированный (bcrypt) пароль
- пол
- дата рождения
- логин
- дата устройства на работу и увольнения
- табельный номер
В первом дампе (с адресами на домене dixy.ru) 66,5 тыс. строк, во втором — 38 тыс.
Стратегический слив инициатив
В свободный доступ был выложен полный MySQL-дамп базы данных сайта «Агентства стратегических инициатив» (asi.ru).
Дамп датируется 14.08.2022. Таблица зарегистрированных пользователей содержит 44,933 строки:
- ФИО
- адрес эл. почты
- телефон
- логин
- хешированный (MD5 с солью) пароль
- адрес
- место работы/должность
Интересно, что чуть позже совершенно другой источник выложил на одном из форумов другой дамп, уже PostgreSQL-базы, предположительно все с того же сайта asi.ru.
В этом дампе 571,450 строк:
- ФИО
- адрес эл. почты
- телефон
По формату данных второй дамп похож на выгрузку из CRM-системы.
Логистика утечек
Источник, который уже «сливал» информацию «Почты России», образовательного портала «GeekBrains», службы доставки «Delivery Club» и многих других, утверждает, что он получил доступ к данным клиентов и сотрудников компании «СберЛогистика».
В выложенных в открытый доступ двух файлах содержится 671,474 и 691,548 строк (пользователи и сотрудники):
- ФИО
- телефон
- адрес эл. почты
- хешированный пароль (только для пользователей)
Судя по информации из файлов, данные были получены не ранее 03.02.2023.
Мы детально проанализировали «слитую» информацию и пришли к выводу, что скорее всего данные (клиентов) относятся к сервису shiptor.ru, которым владеет «СберЛогистика».
Выборочная проверка случайных записей из файла users.csv (клиенты) через форму восстановления пароля на сайте shiptor.ru показала, что зарегистрированные адреса эл. почты совпадают с теми, что указаны в файле.
Всего в выложенных в свободный доступ файлах, содержится
- 129,2 тыс. уникальных адресов эл. почты
- 668,6 тыс. уникальных номеров телефонов
сотрудников (выгрузка из службы каталогов LDAP в домене sblogistica) :
- 10,6 тыс. уникальных адресов эл. почты на доменах sblogistica.ru, sber-logistica.ru и shiptor.ru
- 10,9 тыс. уникальных номеров телефонов