Дайджест телеграм-канала «Утечки информации» за июнь 2021 года.

Киберпанк, который мы не заслужили

В феврале этого года мы писали о том, что сеть польской компании «CD Projekt RED» была взломана и хакеры украли исходные коды многих игр, в том числе и «Киберпанк 2077». Позже хакеры выставили исходники «Киберпанк 2077» на аукцион, который ничем не закончился (по заверению хакеров, сделка прошла вне аукциона).

На onion-сайте «Payload Bin», принадлежащем группировке «Babuk» (известна тем, что шантажировала департамент полиции Вашингтона) были выложены все исходники (включая «Киберпанк 2077»), украденные у «CD Projekt RED». Более 360 Гб данных.

Архив с исходным кодом игры «Киберпанк 2077», размером 96 Гб (161 Гб в распакованном виде), содержит 787,129 файлов. Все файлы в архиве датируются 05.02.2021.

Футбол, который мы заслужили

На продажу были выставлены исходные коды игры «FIFA 21» компании «Electronic Arts». В «Electronic Arts» признали утечку исходников «FIFA 21» и других проектов, включая коды игрового движка «Frostbite», внутренних инструментов и SDK компании. Всего похищено 780 Гб данных.

По предварительной информации, злоумышленники «просят» за эти данные около $28 млн.

Сейчас объявления о продаже появились от имени администрации одного из даркнет форумов. В качестве подтверждения предоставлены CPP-файлы из проекта «FIFA 21» и SSL-сертификат сервера FIFA22_XONE_BLZ_SERVER.client.int.eadp.ea.com.

Мы фиксировали, на теневых форумах, первые объявления о продаже исходников «FIFA 21» еще в самом начале мая этого года, но тогда продавец не предоставил никаких доказательств наличия у него заявленной информации. И сам продавец не обладал должной репутацией.

Ой, болит

Наша система DLBI обнаружила свободно доступный сервер Elasticsearch, в индексах которого содержались логи мобильного приложения для телемедицины «iBolit» (ibolit.pro).

В логах находились ФИО пациентов, номера их телефонов и адреса эл. почты, частичные номера банковских карт (первые 6 и последние 4 цифры) и даты их истечения и т.п.

Впервые этот сервер появился в открытом доступе 31.03.2021, но тогда он не содержал критичных данных.

Мы получили ответ от «iBolit» на наше оповещение:

Команда iBolit благодарна вам за обнаруженную «уязвимость», которая уже исправлена нашими техническими специалистами.

Сервер Elasticsearch использовался нами для проверки системы логирования и не предоставлял доступа к базе данных сервиса. Размещенные на нем данные содержали информацию по небольшой части пользователей только за последние две недели.

У Сбера опять все хорошо

Система DLBI обнаружила свободно доступный сервер Elasticsearch, в индексе которого содержались СМС-сообщения, предположительно отправленные с номера 900.

В момент обнаружения на сервере находилось 1,505,557 записей:

телефон получателя СМС
текст СМС (ФИО делавшего перевод, сумма снятия/перевода, баланс банковской карты и последние 4 цифры карты)
дата (c 29.05.2021 по 15.06.2021) отправки СМС
сумма (положительная при пополнении, отрицательная при снятии и пусто, если операция не связана с движением средств).

Судя по наличию СМС с текстом «Вход в СберБанк Онлайн…», можно предположить, что сервер содержит сообщения, которые предназначаются клиентам Сбербанка.

Сервер находится в открытом доступе с 12.06.2021 и расположен за пределами России. Данные на сервере динамически обновлялись — за время наблюдения появилось 51,169 новых записей.

Возможно, сервер содержал тестовые данные какой-то вредоносной программы, нацеленной на клиентов Сбербанка.

Определить владельца этого сервера мы не смогли, но оповестили Сбербанк через специальную форму на их вебсайте. Через какое-то время индексы Elasticsearch на сервере были стерты, но доступ к самому Elasticsearch не был заблокирован (т.е. сервер был свободно доступен). Сбербанк традиционно сделал заявление в СМИ, что у них все хорошо и клиенты никак не пострадали.