Хакер заявил о похищении у полиции Шанхая личной информации 1 млрд граждан КНР
Наши IT-новости в Telegram - https://t.me/mknewsru
Сегодня утром я проснулся от радостных смсок
Деливери клаб в 7:20 хотел списать с меня деньги за еду. Я очень удивился и подумал что это ошибка, зашел в приложение, а там чей-то левый адрес из Москвы
Значит мой аккаунт был взломан, но как? Сразу же проверил email с ним все хорошо, пароль у меня был сложный, входил только со своего телефона. Странно, написал им в поддержку
Вообщем я не знаю как смогли получить доступ к моему аккаунту, возможно у них где-то дыра или это массовый взлом. Я советую всем отвязать свои карты без смс подтверждения и сменить пароль на всякий случай. Ибо не известно что будет потом, если мошейникам все так удасться оплатить свою еду вашей картой
Сообщается, что ответственность за атаки на скомпрометированные ресурсы лежит на двух неназванных хакерах, а сами атаки имели место в июле-августе 2016 года. В основном взлому подверглись различные форумы. Согласно данным LeakedSource, злоумышленники эксплуатировали уязвимость к SQL-инъекциям в устаревшей версии платформы vBulletin.
База данных агрегатора утечек пополнилась следующими данными:
-cfire.mail.ru, пострадали аккаунты 12 881 787 пользователей;
-parapa.mail.ru (сама игра), пострадали 5 029 530 пользователей;
-parapa.mail.ru (форумы), пострадали 3 986 234 пользователей;
-tanks.mail.ru пострадали 3 236 254 пользователей.
В руки хакеров попали имена пользователей, email-адреса, зашифрованные пароли и даты рождения. В некоторых случаях также удалось узнать IP-адреса пользователей и телефонные номера.
Представители LeakedSource сообщают, что расшифровали уже большую часть паролей от утекших аккаунтов Mail.ru (MD5 в наши дни нельзя считать надежной защитой), и соответственная информация была добавлена в базу.
Представители пресс-службы Mail.ru Group прокомментировали ситуацию следующим образом:
«Пароли, о которых идет речь в сообщении LeakedSource, давно не актуальны. Это старые пароли от форумов игровых проектов, которые компания приобретала в разные годы. Все форумы и игры Mail.Ru Group уже давно переведены на единую безопасную систему авторизации. К почтовым аккаунтам и другим сервисам компании эти пароли вообще никогда не имели никакого отношения».
Кроме того, представители LeakedSource предупредили об утечках данных с десяти других сайтов, от которых суммарно пострадали еще 2,3 млн пользователей. В основном это сайты различных ММОРПГ (Age of Conan, Anarchy online, The secret world), которые удалось взломать опять же благодаря уязвимостям в устаревшем ПО.
Список ресурсов и количество пострадавших пользователей можно увидеть ниже.
expertlaw.com – 190 938 пользователей;
ageofconan.com – 433 662 пользователя;
anarchy-online.com – 75 514 пользователя;
freeadvice.com – 487 584 пользователя;
gamesforum.com – 109 135 пользователей;
longestjourney.com – 11 951 пользователь;
ppcgeeks.com – 490 004 пользователя;
thesecretworld.com (EN) – 227 956 пользователей;
thesecretworld.com (FR) – 143 935 пользователей;
thesecretworld.com (DE) – 144 604 пользователя.
Так как взлом паролей из полученных дампов уже близится к завершению, исследователи традиционно представили на сайте рейтинг самых распространенных и слабых паролей для *.mail.ru. Худшую двадцатку можно увидеть ниже.
Уже дважды неизвестный доброжелатель, скрывающийся под псевдонимом Tessa88, предоставлял ресурсу LeakedSource копии свежих дампов, только появившихся в даркнете. Так было с базами аккаунтов MySpace и «ВКонтакте». Вчера Tessa88 поделился с представителями агрегатора базой аккаунтов Twitter, которая, по заверениям хакера, содержит данные 379 млн пользователей. Хотя ежемесячное число активных пользователей Twitter колеблется в районе 310 млн, можно было бы предположить, что дамп также содержит данные о неактивных пользователях. В даркнете базу продают за 10 биткоинов, то есть за $5820.
В официальном блоге операторы LeakedSource пишут, что после отсева дублей и различного мусора в базе осталось лишь 32 888 300 записей. База содержит email-адреса (в том числе и вторичные для некоторых аккаунтов), имена пользователей и пароли в виде обычного текста.
Хотя представители LeakedSource уверены в том, что Twitter в последнее время не подвергался атакам или взлому, дамп они признали подлинным: все пользователи, которых удалось опросить, опознали свои данные и конкретно свои пароли. Исследователи предполагают, что информацию об аккаунтах Twitter похищала некая малварь, действуя через популярные браузеры (Chrome или Firefox).
Свою теорию LeakedSource подкрепляют следующими аргументами. Во-первых, Twitter совершенно точно не хранит пароли в формате обычного текста. Исследователи считают, что утечка датируется примерно 2014 годом, и тогда Twitter тоже не хранил пароли открыто. Во-вторых, для многих аккаунтов в базе вместо пароля значится <blank> или null, а некоторые браузеры сохраняют пароли именно в формате <blank>, когда пользователь не ввел пароль при сохранении учетных данных. Также исследователям показался странным список самых популярных среди утекших аккаунтов почтовых доменов. Как можно увидеть ниже, многие из них принадлежат российским сервисам, что снова наводит на мысли о малвари, которая действовала на территории России и стран СНГ.
Официальные представители Twitter сообщают, что уже проводят собственное расследование в отношении недавних масштабных утечек. Один из представителей подразделения безопасности компании также поспешил успокоить пользователей. Он пишет, что в Twitter уверены: их системы не были скомпрометированы, а пароли компания шифрует с применением bcrypt.
В полуторагигабайтном архиве с утекшими документами указаны номера кредитных карт, пароли, телефонные номера, даты рождения и другая персональная информация клиентов банка. По оценке специалистов, количество похищенных номеров кредитных карт составляет около миллиона.
Информационное агентство Reuters обнаружило в архиве журнал денежных переводов, совершённых клиентами банка до августа 2015 года. В другом файле содержался список 465437 банковских счетов, но подробная информация была указана лишь для некоторых из них. Видные представители правительства и СМИ Катара, имена которых упоминаются в утекших файлах, подтвердили Reuters, что информация о них соответствует действительности.
Одна из папок в архиве озаглавлена словом SPY («шпион»). Именно в ней сохранена информация о королевской семье Катара, катарской разведке (Мухабарат) и министерстве обороны. Кроме того, она содержит сведения о спецслужбах Польши, Франции и Великобритании (MI6).
Там же приведены данные более чем 1200 сотрудников известной во всём мире телекомпании «Аль-Джазира», которую основала и финансирует королевская семья Катара. В архиве содержатся их адреса, контактная информация, ссылки на их учётные записи в социальных сетях, а в некоторых случаях и фотографии. Некоторые записи о журналистах «Аль-Джазиры» помечены словом «SPY».
Специалист по информационной безопасности Оман Бенбуазза сообщил изданию International Business Times, что злоумышленники атаковали банковские серверы Oracle при помощи sqlmap, популярной утилиты, автоматически определяющей и эксплуатирующей уязвимости, которые делают возможным внедрение кода SQL. Это, по его словам, следует из опубликованных логов. Бенбуазза предполагает, что затем они воспользовались openDoc.jsp, чтобы повысить права доступа до уровня User5 и выкачать всю необходимую им информацию.
Национальный банк Катара заявил, что ни ему самому, ни его клиентам не был нанесён финансовый ущерб. Сейчас банк расследует происшествие.
Некоторые файлы из архива, который опубликовали злоумышленники
Материалы:
Архив с данными https://cryptome.org/qnb.zip
Reuters http://www.reuters.com/article/us-qatar-ntl-bank-idUSKCN0XO2...
Оман Бенбуазза http://www.ibtimes.co.uk/qatar-national-bank-leak-security-e...
Заявление банка http://www.qnb.com/cs/Satellite?c=QNBNews_C&cid=13554084...
Документы оказались в открытом доступе из-за оплошности администрации сервиса traveladmin.ru — системы управления продажами билетов, бронирования отелей и оплаты страховок. Просмотреть все 3,5 тысячи документов можно по прямой ссылке — доступ к ним никак не ограничен, но Hello Kitty дополнительно загрузили копию всех файлов на хостинг MEGA.
Самые старые документы датированы мартом 2015 года, самые свежие — 19 апреля 2016 года. Из этого можно сделать вывод, что на traveladmin.ru загружаются свежие клиентские документы для дальнейшего использования.
Основная часть документов — билеты РЖД и «Аэрофлота», а также бронирования отелей по всей России: в файлах содержатся не только имена и даты отправления и прибытия, но и адреса проживания, личные телефоны и другие персональные данные. Встречаются и билеты авиакомпаний «Уральские авиалинии», S7 и UTair.
По словам хакеров, они занимались мониторингом сайтов финансовых организаций и натолкнулись на утечку случайно.
Сервис traveladmin.ru принадлежит туристической фирме «Туринфо группа РФР», имеющей несколько филиалов по всей России. На сайте traveladmin.ru говорится, что модуль для установки системы на свой сайт можно получить по запросу, то есть пользоваться им могли другие туристические агентства: по данным с сайта турфирмы, среди её партнёров около 1,5 тысяч компаний в России и за рубежом.
TJ позвонил в «Туринфо группа РФР», однако взявшая трубку секретарь заявила, что не сможет связать с техническим персоналом или руководством до следующего дня. По электронной почте представители компании оперативно ответить на запрос TJ не смогли.
На сайте «Туринфо группа РФР» говорится, что компания работает с 1991 года и считается старейшей российской турфирмой. Она является официальным агентом по продаже билетов таких крупных авиакомпаний, как American Airlines, Air France, Lufthansa и British Airways, и крупнейшим агентом «Аэрофлота».
источник - https://tjournal.ru/26746
