Как защитить информацию на экране монитора от утечки
Один из самых простых способов утечки информации, который нередко упускают из виду, – когда конфиденциальные данные получают с экрана монитора. Особенно если рабочее место сотрудника расположено в офисах открытого типа, также известных как open space. В этой статье я расскажу о результатах...
(не)Безопасный дайджест: пароли по дефолту, персданные в подарок и зарплата для фишеров
Начинаем год с новой подборки «классических» и нетривиальных ИБ-инцидентов, о которых писали зарубежные и российские СМИ в январе. В сегодняшнем выпуске сплошь звезды: ООН, РЖД, Nissan, Vodafone. Читать далее...
(не) Безопасный дайджест: новые мегаутечки и один пароль на всех
Привет! Завершаем год традиционным дайджестом «классических» и нетривиальных ИБ-инцидентов, о которых писали зарубежные и российские СМИ в декабре. Нас лично впечатлило, как создатели «Чёрного зеркала» предсказали свои собственные проблемы. А вас? Читать далее...
(не) Безопасный дайджест: сливы COVID-пациентов и незваный гость на министерской встрече в Zoom
Привет! Продолжая традицию, собрали «классические» и нетривиальные ИБ-инциденты, о которых писали зарубежные и российские СМИ в ноябре. И кстати, всех причастных – с международным днем защиты информации! Читать далее...
(не) Безопасный дайджест: саботаж на Tesla, больничный вымогатель и «продавец душ»
Каждый месяц мы собираем классические и нетривиальные ИБ-кейсы. Наше внимание привлекают истории об утечках данных, мошенничествах, диверсиях – любых инцидентах, виновники которых инсайдеры. Некоторые кейсы смешные, некоторые возмутительные, но все – поучительные. Одни, потому что происходят «на...
Все делают это: почему сотрудники – это главная угроза корпоративной информационной безопасности и как с этим бороться
Буквально за пару месяцев маленький, но очень резвый вирус COVID-19 встряхнул мировую экономику и изменил давно устоявшиеся правила ведения бизнеса. Теперь даже самым преданным адептам офис-ворк пришлось перевести сотрудников на удаленную работу. Страшный сон консервативных руководителей стал явью:...
Поймать и наказать: как в России наказывают за незаконную торговлю данными
Почти год назад я делал подборку сообщений из СМИ про то, как в России ловят и наказывают за незаконную торговлю персональными данными. Пришло время обновить этот дайджест. Сколько ловят Количество публикаций и новостей на тему «задержали и наказали» за последний год резко выросло. Наибольшее число...
Хит-парад паролей (анализ ~5 млрд паролей из утечек)
В прошлом году мы в DeviceLock провели анализ утекших паролей. На тот момент в нашей «коллекции» паролей было около 4 млрд уникальных пар логин/пароль. За время, прошедшее с прошлого исследования, «коллекция» пополнилась почти 900 млн новыми уникальными логинами и паролями. Кстати, следить за...
Утечка персональных данных предположительно сотрудников ОАО «РЖД»
Неизвестные, опубликовали в свободном доступе персональные данные 703,000 человек, предположительно сотрудников ОАО «РЖД». Читать дальше →...
Цены российского черного рынка на пробив персональных данных (плюс ответ на ответ Тинькофф Банка)
В конце прошлого года я делал обзор цен черного рынка на российские персональные данные, и вот пришло время его обновить и дополнить. Заодно посмотрим изменение цен и предложений на этом «рынке», а также реакцию «Тинькофф Банка» на вот это вот все. Поехали... Читать дальше →...
Digital Shadows — компетентно помогает снизить цифровые риски
Возможно, Вы знаете что такое OSINT и пользовались поисковиком Shodan, или уже используете Threat Intelligence Platform для приоритизации IOC от разных фидов. Но иногда необходимо постоянно смотреть на свою компанию с внешней стороны и получать помощь в устранении выявленных инцидентов. Digital...
Утечка данных покупателей магазинов re:Store, Samsung, Sony Centre, Nike, LEGO и Street Beat
На прошлой неделе издание Коммерсантъ сообщило, что «базы клиентов Street Beat и Sony Centre оказались в открытом доступе», но на самом деле все гораздо хуже, чем написано в статье. Подробный технический разбор данной утечки я уже делал у себя в Telegram-канале, поэтому тут пробежимся только по...
Опять сотни тысяч платежей граждан в ГИБДД и ФССП находились в открытом доступе
Помните я писал на Хабре и у себя в Telegram-канале, как в открытом доступе оказались подробности платежей в пользу ГИБДД и ФССП пользователей сайтов оплатагибдд.рф, paygibdd.ru, gos-oplata.ru, штрафов.net и oplata-fssp.ru? Только не надо смеяться, это вовсе не шутка — тот же самый сервер с данными...
Два в одном: данные туристов и билеты на культурные мероприятия находились в открытом доступе
Сегодня рассмотрим сразу два кейса – данные клиентов и партнеров двух совершенно разных компаний оказались в свободном доступе «благодаря» открытым серверам Elasticsearch с логами информационных систем (ИС) этих компаний. В первом случае — это десятки тысяч (а может и сотни тысяч) билетов на...
Все ваши анализы в открытом доступе
И снова здравствуйте! У меня опять нашлась для вас открытая база с медицинскими данными. Напомню, что совсем недавно тут было три моих статьи на эту тему: утечка персональных данных пациентов и врачей из медицинского онлайн-сервиса DOC+, уязвимость сервиса «Доктор рядом» и утечка данных станций...
Зомби-проекты – сливают данные пользователей даже после своей смерти
Я снова про утечки персональных данных, но на этот раз расскажу немного про загробный мир ИТ-проектов на примере двух недавних находок. В процессе аудита безопасности баз данных часто бывает, что обнаруживаешь сервера (как искать базы данных, я писал в блоге), принадлежащие проектам давно (или не...
Сотни тысяч платежей граждан в ГИБДД и ФССП находились в открытом доступе
Медицинские данные – были, данные по кредитам – были, на этот раз пришла очередь данных по платежам за штрафы ГИБДД и задолженности по исполнительным производствам службы судебных приставов. Хорошая новость в том, что эти платежи не связаны с официальным сайтом Госуслуг. Плохая новость – данных...
Доктор едет, едет
В открытом доступе была обнаружена база данных MongoDB, не требующая аутентификации, в которой находилась информация московских станций скорой медицинской помощи (ССМП). К сожалению, это не единственная проблема: во-первых, на этот раз данные действительно утекли, а во-вторых – вся чувствительная...
Далее