Leaks Новости

xdoom

RAM
Пользователь
Регистрация
19.01.2019
Сообщения
107
Оценка реакций
104
Баллы
41
Совершенно в яблочко. Он самый)
 

Xrenovi4

Скидди
Premium
Регистрация
02.10.2018
Сообщения
101
Оценка реакций
152
Баллы
45
В открытом доступе обнаружена база данных размером 23 Гб, принадлежащая американской компании Catalina, занимающейся сбором и анализом данных покупателей для крупных торговых сетей.
 

Desoxyn

(L1) cache
PR-group
Регистрация
01.10.2018
Сообщения
505
Оценка реакций
466
Баллы
70
Парни, находясь в "творческом отпуске" на данный момент и поздравляя своих дам, я все же не смог не зайти и не опубликовать эту новость, а именно:


Компания Verifications.io оставила в открытом доступе базу данных с 809 млн. записями.
------------------------------------------
Verifications.io занимается проверкой (валидацией) адресов электронной почты для маркетинговых рассылок других компаний. Для осуществления свой деятельности Verifications.io использует базу данных MongoDB. Как оказалось, эта база не требовала аутентификации для доступа к ней и кто угодно, зная IP-адрес, мог подключиться и скачать данные.

Общий размер обнаруженной базы – 150Гб. В ней содержится 763 млн. уникальных адресов электронной почты.

Помимо электронной почты там найдены: имена, телефонные номера, почтовый адреса, даты рождения, пол, доходы, ставки по ипотеке, аккаунты в социальных сетях Facebook, LinkedIn и Instagram, персональные кредитные рейтинги.

Кроме персональных данных физических лиц, в базе также содержится информация о компаниях: названия компаний, годовой оборот, адреса вебсайтов, номера факсов, индустриальные классификаторы.

В данный момент вебсайт Verifications.io не работает.
---------------------------------------------
Эт помоему пиздец щас для некоторых майл маркетингов (кто понимает о чем я).
 

amstrot

RAID-массив
Пользователь
Регистрация
16.02.2019
Сообщения
52
Оценка реакций
26
Баллы
18
Парни, находясь в "творческом отпуске" на данный момент и поздравляя своих дам, я все же не смог не зайти и не опубликовать эту новость, а именно:


Компания Verifications.io оставила в открытом доступе базу данных с 809 млн. записями.
------------------------------------------
Verifications.io занимается проверкой (валидацией) адресов электронной почты для маркетинговых рассылок других компаний. Для осуществления свой деятельности Verifications.io использует базу данных MongoDB. Как оказалось, эта база не требовала аутентификации для доступа к ней и кто угодно, зная IP-адрес, мог подключиться и скачать данные.

Общий размер обнаруженной базы – 150Гб. В ней содержится 763 млн. уникальных адресов электронной почты.

Помимо электронной почты там найдены: имена, телефонные номера, почтовый адреса, даты рождения, пол, доходы, ставки по ипотеке, аккаунты в социальных сетях Facebook, LinkedIn и Instagram, персональные кредитные рейтинги.

Кроме персональных данных физических лиц, в базе также содержится информация о компаниях: названия компаний, годовой оборот, адреса вебсайтов, номера факсов, индустриальные классификаторы.

В данный момент вебсайт Verifications.io не работает.
---------------------------------------------
Эт помоему пиздец щас для некоторых майл маркетингов (кто понимает о чем я).
А качнуть где нибудь можно?
 

LuLu

CD-диск
Пользователь
Регистрация
13.02.2019
Сообщения
10
Оценка реакций
18
Баллы
3
Удалось обнаружить десятки корпоративных хранилищ Box.com, раскрывающих данные компаний Apple, Herbalife и т.д

Исследователи из Adversis обнаружили десятки корпоративных аккаунтов на сервисе облачного хранения файлов Box.com, которые содержали свободно доступную чувствительную корпоративную информацию и персональные данные клиентов.


Всего было найдено более 90 компаний, у которых на сервисе Box находились свободно доступные файлы со сканами паспортов, номерами социального страхования (SSN), номерами банковских счетов, паролями, списками сотрудников и т.п. Читать дальше →

Source: https://habr.com/ru/post/443376/?utm_campaign=443376
 

xxss

CD-диск
Пользователь
Регистрация
25.01.2019
Сообщения
12
Оценка реакций
1
Баллы
3
А где магнеты на все что тут публикуется?
 

JohnRipper

(L3) cache
Модератор
Регистрация
05.10.2018
Сообщения
177
Оценка реакций
199
Баллы
45
А где магнеты на все что тут публикуется?
Это новостной топик, по названию темы не понятно? Здесь публикуются новости о сливах.
Можешь поискать "магнеты" на сливы и опубликовать для всех нас.
 

xxss

CD-диск
Пользователь
Регистрация
25.01.2019
Сообщения
12
Оценка реакций
1
Баллы
3
Это новостной топик, по названию темы не понятно? Здесь публикуются новости о сливах.
Можешь поискать "магнеты" на сливы и опубликовать для всех нас.
частенько в новостях проскакивает магнет на слив.. даже на опеннет случалось.. что уж про xss говорить

когда выходят такие новости обычно нет некоего имени, идентифицирующего слитую базу, проблематично искать
получается ссылок в нете на новость дохрена, а на саму базу - 0

это все равно что писать новость про иксплоит, а ссылку на сам код не опубликовать
 

xdoom

RAM
Пользователь
Регистрация
19.01.2019
Сообщения
107
Оценка реакций
104
Баллы
41
Мы много пишем про обнаружение свободно доступных баз данных с персональными данными практически во всех странах мира, но новостей про российские базы данных, оставленные в открытом доступе почти нет (если не считать новость про «руку Кремля»: https://t.me/dataleak/728).

Может сложиться неверное представление, что в России все замечательно и владельцы крупных российских онлайн-проектов подходят ответственно к хранению данных пользователей. Спешим развенчать данный миф на примере проекта DOC+.

DOC+ (ООО «Новая Медицина») это российская медицинская компания, оказывающая услуги в области телемедицины, вызова врача на дом, хранения и обработки персональных медицинских данных.

Компания получила инвестиции от Яндекса и для хранения логов доступа клиентов к своему онлайн-сервису использует базу данных ClickHouse, также имеющую отношение к Яндексу (была создана и разрабатывается Яндексом).

К несчастью эта база ClickHouse свободно доступна, и кто угодно, зная IP-адрес может получить логи доступа.

Из логов можно узнать информацию о местоположении некоторых пользователей, их IP-адреса, информацию об устройствах, с которых они подключались к сервису DOC+ и т.п.

Но это не самое интересное. Самое интересное ниже:

В логах также можно найти персональные данные сотрудников ООО «Новая Медицина», а именно: ФИО, даты рождения, пол, ИНН, адреса прописки и фактического места проживания, телефоны, должности, адреса электронной почты и многое другое. Судя по логам, вся эта информация изначально хранится в системе 1С:Предприятие 8.3.

Более того, в логах содержатся токены (API_USER_TOKEN) пользователей сервиса, с помощью которых можно получить их личные данные.

База данных «живая», т.е. дополняется новыми логами. По нашей информации, DOC+ были уведомлены, но до сих пор не предприняли никаких действий по закрытию доступа к базе. ️

Для обнаружения открытых баз данных ClickHouse удобно использовать поисковик Shodan.io в связке со специальным скриптом ClickDown (https://github.com/fdhadzh/clickdown).

Про то, как исследователи обнаруживают открытые базы данных читайте тут (https://www.devicelock.com/ru/blog/obnaruzhenie-otkrytyh-baz-dannyh-mongodb-i-elasticsearch.html).

2999

3000

3001

Всего в открытом доступе найдено 474 таблицы ClickHouse, с логами проекта DOC+. Из логов можно узнать информацию о местоположении пользователей DOC+, их IP-адреса, информацию об устройствах и т.п. А используя токен (API_USER_TOKEN) пользователя можно получить его персональные данные.

Источник: t.me/dataleak
 

dimars08

HDD-drive
Пользователь
Регистрация
10.02.2019
Сообщения
33
Оценка реакций
10
Баллы
8
Китайский Пригожин лучше нашего.

Buzzfeed выпустил расследование о китайских тролях на реддите. Они занимаются примерно тем же, что и боты в Ольгино. Единственная, но очень интересная, отличительная особенность - тролли пушат не только контент связанный с политикой партии, но и к примеру новые релизы Huawei и прочие Китайские продукты. То есть, конечно, пропаганда это плохо, но только вдумайся: аналогичный Российский контент строится вокруг действие государства. Наши тролли не рекламируют, к примеру, телеграм. А более тоталитарное государство своими накрутками приносит пользу народу в виде увеличения продаж бизнеса, а следовательно и роста доходов населения.
 

Izmailovskiy

CD-диск
Пользователь
Регистрация
15.03.2019
Сообщения
18
Оценка реакций
14
Баллы
3
Гностикплейерс выложил еще 6 баз данных на продажу в Дрим Маркете: https://www.zdnet.com/article/round-4-hacker-returns-and-puts-26mil-user-records-for-sale-on-the-dark-web/

GameSalad (game dev platform)1.5 Mil2019/02฿0.0785email, password (SHA1/SHA256), username, IP address
Estante Virtual (Brazilian book shop)5.45 Mil2019/02฿0.2618name, username, password (SHA1), address, email, phone number
Coubic (scheduling software)1.5 Mil2019/02฿0.157name, email, password (SHA256)
LifeBear (Japanese scheduling app)3.86 Mil2019/02฿0.2618email, password (MD5), username, event details, app settings
Bukalapak (Indonesian e-commerce site)13 Mil2017/07฿0.34username, name, email, password hash (SHA512+salt), shopping details, IP adress, other
YouthManual.com (Indonesian youth student and career site)1.12 Mil2019/02฿0.144name,email, password hash (SHA1+salt), hobbies, education, other
CompanyDB sizeBreach datePriceContent
 

Izmailovskiy

CD-диск
Пользователь
Регистрация
15.03.2019
Сообщения
18
Оценка реакций
14
Баллы
3
На рейдсфоруме слили ссылку на маилру облако с базами за 2019 год с Cit0day. Xrenovi4 , наверное кто то в обиде
 

kirdenblack

HDD-drive
Пользователь
Регистрация
31.01.2019
Сообщения
27
Оценка реакций
1
Баллы
3
а в чем их ценность? :) я не в теме... выборочно попробовал логины пароли.. ничего не работает
 

Xrenovi4

Скидди
Premium
Регистрация
02.10.2018
Сообщения
101
Оценка реакций
152
Баллы
45
На рейдсфоруме слили ссылку на маилру облако с базами за 2019 год с Cit0day. Xrenovi4 , наверное кто то в обиде
Мне плевать на сливы, я это писал уже много раз. На работе сервиса это ни каким образом не отразится. А учётку того пиндоса уже заблокировал в день слива.
 

Izmailovskiy

CD-диск
Пользователь
Регистрация
15.03.2019
Сообщения
18
Оценка реакций
14
Баллы
3
Мне плевать на сливы, я это писал уже много раз. На работе сервиса это ни каким образом не отразится. А учётку того пиндоса уже заблокировал в день слива.
Да, тоже так подумал что не повлияет на сервис в целом. Как говорится сливс хеппен
 
Вверх