дайджест утечек

Право в «безопасности»

Хакер получил доступ к данным онлайн-платформы правовой помощи «СберПраво» (sberpravo.ru) и выложил в открытый доступ три файла, содержит:

  • ФИО
  • телефон (115 тыс. уникальных номеров)
  • адрес эл. почты (72 тыс. уникальных адресов)
  • дата рождения
  • дата создания записи (с 07.09.2020 по 08.02.2023)

Судя по информации из файлов, данные были получены не ранее 08.02.2023.

Большое «спасибо» за все

В открытый доступ попали данные, полученные предположительно из мобильного приложения бонусной программы «СберСпасибо» (spasibosberbank.ru).

В текстовых файлах содержится:

  • телефон (51,977,405 уникальных номеров)
  • адрес эл. почты (3,298,456 уникальных адресов)
  • хешированные (SHA1 без соли) номера банковских карт (основной карты и дополнительных)
  • дата рождения
  • дата создания и обновления записи (с 22.07.2015 по 22.01.2023)

Несмотря на то, что номера банковских карт хранятся в одном из этих файлов в виде хеша, из-за использования устаревшей функции хеширования SHA1, нет никаких проблем «восстановить» их реальные значения прямым перебором всех цифр.

Всего было «восстановлено» 96,676,846 номеров карт, из них:

  • более 51% — идентифицируются как карты VISA
  • 32% — Mastercard и Maestro
  • 16% — МИР
  • менее 1% — карты Priority Pass и American Express

Если бы «Сбер» подтвердил предположение о достоверности источника данных (подлинность самих данных не вызывает сомнения), то эта утечка официально встала бы в один ряд с нашумевшим в 2019 году инцидентом, когда из «Сбера» был похищен 5,7 Гб архив «с текстовыми документами, в которых хранятся записи о счетах и картах, об операциях по картам, остаток по счетам клиентов Банка, сгруппированные по территориальным банкам. Записи содержат также персональные данные клиентов, в том числе: фамилия имя отчество, паспортные данные, дату рождения, адрес места жительства, номер мобильного телефона, полный номер кредитной карты, место работы, остаток собственных средств» (цитата из документа суда, подробнее тут).

Предположения о достоверности источника данных в этой утечке строятся на том, что:

  • В опубликованных в свободном доступе файлах находятся записи с информацией по известным нам людям, активировавшим бонусную программу «СберСпасибо»: совпадают не только их номера телефонов и даты рождения, но и номера банковских карт, которые хранятся в этих файлах в хешированном виде.
  • Выборочная проверка номеров телефонов, содержащихся в этих файлах, через Систему быстрых платежей (СБП) подтверждает наличие счетов в «Сбере» (часто только в «Сбере»).
  • Выборочная проверка номеров банковских карт, «восстановленных» из хешей, содержащихся в этих файлах, через переводы с карты на карту, подтверждает, что эти карты выданы «Сбером». Часть карт — действительные и перевод на них возможен, но на некоторые карты перевод невозможен, т.к. эти карты уже не активны.
  • В опубликованных в свободном доступе файлах находятся не только записи с телефонами, датами рождения, количеством запусков мобильного приложение, хешированными номерами банковских карт, но и с ошибками выполнения запросов к серверу spasibosberbank.events.

Коммунальные данные

Хакеры из группировки Free Civilian взломали украинскую систему автоматизации коммунальных предприятий.

В SQL-дампе размером 18 Гб содержится информация по оплатам граждан за коммунальные услуги:

  • ФИО
  • телефон (10,702 уникальных номера)
  • адрес эл. почты (3,534 уникальных адреса)
  • адрес
  • дата рождения (не у всех)
  • показания счетчиков учета и суммы платежей

Иногда они возвращаются снова…

В конце 2019 года мы обнаружили свободно доступный сервер Elasticsearch сервиса управления автомойками «RocketWash» (rocketwash.me). Через несколько дней (07.12.2019) после нашего оповещения доступ к серверу был закрыт. Однако, за день до закрытия доступа, данные из этого сервера все-таки были скачаны и выложены на один из форумов.

Спустя почти 4 года, на нескольких форумах снова появились данные из сервера «RocketWash», причем уже датирующиеся 2022 и 2023 гг.