Взлом + Персональные данные

Я ещё помню ламповые времена, когда всякий OSINT (сбор разведывательной информации из общедоступных источников, а также её анализ) надо было осуществлять руками: пробивали людей вручную, по крупицам собирали данные, гуглили, занимались "социальной инженерией". Алгоритм написать под это дело не сложно вообще-то, но вопрос не ставился на "поток", а за публикацию таких программок можно было по рукам получить. И вот славный 2021-ый, массы узнают, что госбазы сто лет в обед как слиты по даркнетам, а в телеге можно онлайн пробить практически любого человека. Тащемта, я поюзал местных ботов и составил свой короткий обзор.

1. @EyeGodsBot - глаз Бога. Дешёво найдёт кучу инфы из открытых источников. Самый подробный и самый бесплатный. Понятно, доступно, недорого - скоро им будут пользоваться все домохозяйки.

2. @get_kontaktt_bot - нерабочая шляпа за деньги, проще установить обычный "Гет" или заюзать "Глаз бога".

3. @phone_avito_bot - ищет объявления на "Авито" по номеру. Иногда пригождается. В "Глазе" тоже есть такая опция, но она платная для одного пробива - 30 р. [исправлено модератором]

4. @bmi_np_bot - определяет тариф и оператора по номеру. В целом, довольно бесполезное занятие, ибо эта информация редко пригождается.

5. Smart_SearchBot ищет контактную инфу, но делает это несколько корявенько. Через несколько запросов начитает трещать о деньгах.

6. @vkfindface_bot - офигенский бот, заменяющий "ФайндФэйс" крысам, не имеющим доступ к корпоративному аналогу! Через него я уже нашёл нескольких кексов, но его мощности далеки от тех версий, которыми сейчас пользуются доблестные органы правоохранения. Впрочем, имея на руках хорошее фото можно попытаться что-нибудь найти. Иногда лажает.

Смотря на это великолепие, страшно представить, что будет через несколько лет. Господа, начинайте подчищать свои цифровые хвосты уже сейчас, ибо очень скоро полноценный пробив по пашпортам будет доступен не только родственникам и друзьям силовиков, но и бабе Больжедоре из пятого падика.

P.S.

После инцидента с Навалом начальство даст всем по голове, но прогресс и жадность будут неумолимо приближать час всеобщей публичности. Зная, как работают алгоритмы, можно не оставлять излишки инфы.

Кстати, если знаете больше интересных ботов - оставляйте их в комментах.

6 ноября 2020 года основатель сервиса поиска утечек и мониторинга даркнета «DLBI» Ашот Оганесян сообщил, что база данных сайта «РЖД Бонус» попала в открытый доступ.

Первый информацию об этой утечке опубликовал Telegram-канал DC8044 F33d.

Оганесян в Telegram-канале «Утечки информации» пояснил, что резервная копия (бекап) MySQL-дампа с базой данных сайта «РЖД Бонус» (rzd-bonus.ru) размером около 2.4 ГБ по какой-то непонятной причине была выложена администратором в корне сайта. Оказалось, что как минимум несколько человек успели ее скачать до того момента, как сайт стал недоступен. Вдобавок там же были размещены и доступны для сохранения: bash-скрипт, в котором был прописан путь к дампу базы данных и находился логин и пароль пользователя, а также приватный ключ RSA.

Оганесян в своей публикации на Facebook напомнил, что скачивать на свой ПК и распространять в сети Интернет подобные архивы нежелательно. Технически это может попасть под некоторые статьи УК РФ, например, ч. 1 ст. 183 УК РФ — незаконное получение и разглашение сведений, составляющих коммерческую тайну; ч. 1 ст. 272 УК РФ — неправомерный доступ к охраняемой законом компьютерной информации.

Анализ части данных показал, что в утекшем дампе есть таблица «b_user», в которой содержатся данные 1 360 836 зарегистрированных пользователей. Там есть логины и хешированные пароли (сайт на Битриксе, поэтому там обычный MD5 с солью), адреса электронной почты, ID-пользователей, даты регистрации и последнего входа в систему.

При этом по сообщению РИА Новости

"Шестого ноября зафиксирована попытка взлома программы лояльности "РЖД Бонус", в ходе которой злоумышленнику удалось получить доступ только к служебному файлу, содержащему в зашифрованном виде адреса электронной почты пользователей. Система безопасности предотвратила доступ к персональным данным участников. Инцидент не угрожает сохранности личных данных пользователей, а также баллов на счетах клиентов", - сообщили в РЖД в субботу.

via Habr.com

Всем здрасть. История произошла год назад где-то в Московской области. Во время мое отъезда в другой город, от безделья я решил зайти в ВК чекнуть новости и сообщения и вдруг:

Несколько минут тщетных попыток зайти и нет результата. Да как так? Пароль точно не забыл и на днях не менял ничего. Решил через знакомого посмотреть свой профиль и увидел что все фотки уже заменены.

Во дела, всю жизнь всем помогал, давал рекомендации знакомым, чтоб не ломанули а тут сам попался. Все хотел сделать двухфакторную аутентификацию, но было лень, хотя по сути минута делов.

До сих пор не могу понять каким образом стрясли мой пароль - основной подозреваемый компьютер с пиратскими играми, но я довольно часто обновляю антивирус и делаю полною проверку. Второй подозреваемый браузер в телефоне. Ну да ладно.
Я тогда очень сильно расстроился, ведь на аккаунте было очень много фоток и других данных из которых основную ценность по моему мнению представляли различные документы от копий паспортов до дкп имущества.

Ну сперли и сперли со всеми бывает - так бы подумал рядовой 30-40 летний пользователь соц. сетей (ничего личного - по моим наблюдениям этот возраст чаще всего пофигистично относится к данным в интернете), но я отчетливо понимал что в темной части интернета достаточно бодро развита продажа различных документов в корыстных целях (оформление быстрых звймов, электронных кошельков, создание фирм и еще множество манипуляций так или иначе связанных с финансами).

Я тогда очень сильно подсел на бутылочку и придумал интересную тему. Тогда я думал окей, вот мои данные где-то засветились, ко мне пришли полицаи и говорят - так-то так-то, вот вы делали эти операции и у нас есть основания полагать что это вы, погнали в клетку. Да я понимаю, что шансы возникновения таких событий крайне малы, но блин они есть.

Я сразу же написал в поддержку вк и решил пойти "от противного". Подал электронное заявление в МВД через официальный сайт с примерным подтекстом "меня взломали в соц. сетях, а у меня там были данные паспортов и тд. и в целях избежания противоправных действий с моими персональными данными прошу провести проверку". Я рассчитывал примерно на отписку "пошел нафиг не мешай" и такую картину:

Ну и отлично, если дойдет до суда, то будет чем прдкрепиться и оправдаться. Я считаю, что лишние официальные бумажки которые можно проверить это всегда хорошо. Я не знаю насколько мне это помогло бы или поможет в суде, но это все, что я могу сделать в данной ситуации. Через некоторое время пришла та самая бумажка. Я обрадовался и забыл.

Шли дни, а администрация ВК никак не могла восстановить доступ к страничке, потому как было мало оснований полагать, что я реальный владелец, были всякие разные проверки от "сфоткай щеблет с паспортом" до "пришли оч. старую фотку из той же рубрики что были на страничке".

Дальше мне приходит еще одно электронное письмо:

Тут я подумал ого, крутяк походу история будет продолжаться. Ребята из МВД проявили настойчивость. После этого раздается звонок с частного номера и далее диалог (я - я, к - незнакомец):

К: - здравствуйте, mrCluddy?;
Я: - да;
К: - это лейтенант такой-то из БСТМ (бюро спец. технич. мероприятий при МВД, я о таком никогда не слышал, хотя сталкиваюсь с инфобезом довольно часто). Вы оставляли заяву на кражу ваших ПДн, мне нужно уточнить пару моментов.

Мы побеседовали о деталях и договорились на том, что как только мне восстановят доступ к моему акку, я дам им знать, а так-же сообщу IP адреса с которых был осуществлен вход. И я такой: "Кхе-кхе, как все закрутилось...."

В один прекрасный день ВК все-таки восстановило мою страничку и я начал смотреть, что сделали со страничкой. Получилось, что страницу взломал какой-то подросток и рассылал с нее сообщения по типу "Вступи в мою группу со ставками там все выигрывают поднимешь бабла", короче по большей части для раскрутки. Меня это обрадовало, но расслабляться нельзя никогда. Во время просмотра я наткнулся на интересную вещь. Этот мелкий осел вел переписку со своими друзьями (одному хвастался что "вот смотри такая то страничка нормааас", со вторым обсуждал план действий) и я сразу же вычислил из какого они города, по двум его друзьям подтвердился их зажопинск, при том, что фотки у них на страницах были настоящие с большим количеством друзей тоже из этого города. Плюсом я таки получил IP адрес с которого был вход. Рассказывать как можно вычислять людей по IP (особенно силовым структурам) не буду, можно посмотреть в интернете.

Сразу же в крысу, я сдал их полицаю из БСТМ, он поблагодарил за информацию и ушел в закат, не сказав что дальше делать. А я тем временем сидел с таким лицом и ждал что будет дальше и будет ли вообще:

Окончание моей истории будет резким и оборванным. Через некоторое время мне позвонил следак из моего города и пригласил в отдел для дачи письменных показаний. Зашел я в кабинет, а он такой сидит:

Он объяснил мне, что из Химок мое письмо свалилось на исполнение на его отдел и он честно говоря в первые в жизни встречается с таким и буквально не знает, что дальше делать. Мы посидели поугарали над этой темой. Я рассказал ему историю, и объяснил что мне это нужно дабы прикрыть мой зад. Он рассказал, что даже им у БСТМ запросить какую либо информацию довольно затруднительно и долго а ты ,нонейм, сделал заяву и тебе все дали и помогли. Плюсанул за смекалочку и заставил писать отказ от дальнейшего возбуждения дела. Я не стал спорить, ведь по сути я добился того чего хотел. Вот такие дела.

Как я думаю чисто в теории можно было пойти дальше и помочь ему в деле, он бы перенаправил запрос на город щенка, дальше запрос провайдеру, вычисление адреса и его мать краснеет на пороге, но я не захотел мочить подростка.

А мораль басни такова - люди врубайте на всех своих ценных ресурсах двухфакторную аутентификацию и не занимайтесь кибер приступлениями. Я кстати на каждом своем ресурсе после этой истории запилил и вам советую.

P.S. я никого не принуждаю делать такие же действия при взломах, я просто поделился своей историей и мыслями по поводу этого. Это может оказаться полной дичью в глазах юристов, но меня как-то не волнует.