Cybersecus дайджест утечек

Привет! После небольшого, но приятного перерыва, редакция с новыми силами врывается в мир новостей информационных опасностей. Поскольку за время отсутствия редакции появилось много интересного материала, то начнем с коллекции ссылок про различные утечки.

1. Исследователь обнаружил некорректно настроенный сервер Jira, принадлежащий NASA, на котором любой желающий мог узнать имена и электронные адреса сотрудников NASA, а также проекты, над которыми они работали.

https://medium.com/@logicbomb_1/bugbounty-nasa-internal-user-and-project-details-are-out-2f2e3580421b

2. Незащищенный сервер с миллионами записей о звонках и текстовых сообщениях на протяжении длительного времени был доступен в интернете с открытым доступом. Если вам кажется, что вы испытываете чувство дежавю, то вам не кажется. В ноябре похожая история была с компанией Vovox (https://t.me/alexmakus/2513), на серверах которой хранились миллионы текстовых сообщений, включая коды сбросов паролей и двухфакторной аутентификации. Теперь отличилась компания Voipo с десятками гигабайт пользовательской информации.
https://rainbowtabl.es/2019/01/15/voipo-data-leak/

3. Система бронировки авиабилетов Amadeus, которую используюсь многие крупные авиакомпании мира, позволяла изменить чужое резервирование, зная только номер бронировки человека — путем подстановки кода бронировки в веб-адрес израильской авиакомпании El Al.

https://www.safetydetective.com/blog/major-security-breach-discovered-affecting-nearly-half-of-all-airline-travelers-worldwide/

4. Очередной незащищенный инстанс MongoDB на 854ГБ данных содержал более 200 млн резюме, включая различную персональную информацию, такую как номера телефонов, рост-вес, и тд. Судя по скриншотам, речь идет о китайских пользователях, информация о которых собиралась с различных сайтов на протяжении многих лет.
https://blog.hackenproof.com/industry-news/202-million-private-resumes-exposed

5. Исследователь по безопасности обнаружил ряд уязвимостей в программном обеспечении популярных хостинговых сайтов (Bluehost, DreamHost, Hostgator, OVH, iPage), которые позволяли захват пользовательских учетных записей.
https://www.websiteplanet.com/blog/report-popular-hosting-hacked

6. На Филиппинах субподрядчик по выдаче гражданских паспортов после разрыва контракта “ушел” со всеми данными, и теперь тем гражданам страны, которым нужно обновить паспорт, часто приходится приносить свидетельства о рождении. Какой-то WTF! (тоже своего рода утечка)
https://www.philstar.com/headlines/2019/01/12/1884444/dfa-passport-maker-runs-all-data

Про утечки и wearable от Apple

Я не люблю утечки продуктов до их релиза. Они убивают некий восторг от того, что тебе анонсируют что-то новое, чего ты до этого никогда не видел, и не знаешь, чего ожидать от этого продукта. К сожалению, индустрия заманывания читателей для просмотра рекламы имеет другую точку зрения по этому вопросу, поэтому каждый раз перед анонсом чего-то нового мы наблюдаем поток как реальных утечек, так и фейковых мокапов и рендеров будущих продуктов Apple — все для того, чтобы удовлетворить любопытство читателей и увеличить количество кликов.
Причем, если посмотреть по утечкам по технике Apple, те же запчасти телефонов или планшетов “утекают” в первую очередь со стороны подрядчиков компании, которых у нее несколько сотен — где-нибудь в Азии обязательно найдется слабый духом сотрудник, который продаст заднюю крышку, какой-нибудь разъем или экран устройства излишне настойчивому “журналисту”. Есть, конечно, в этом, наверно, и элемент PR-стратегии: несмотря на заявления Тима Кука, что Apple усилит контроль за такими утечками, они все равно происходят, возможно, в том числе и потому, что это также помогает поддерживать интерес к продукту.
Continue reading