ВТБ, «Сбербанк», официальный сайт мэра Москвы — утечки данных пользователей продолжаются
В связи с последними скандалами по утечке персональных данных решили написать статью, где подробно объясним, почему это происходит и как с этим бороться. Рассказывает SEO-специалист, эксперт по поисковым системам в Rush Agency Павел Медведев.
Автор данного комментария предоставляет информацию лишь в ознакомительных целях и никак иначе.
Так как они находятся в общем доступе и предоставлены на всеобщее обозрение.
Никакой пропаганды хакерства и киберприступлений данный комментарий не несёт.
Спасибо за внимание.
(Пунктуация сохранена)
1.SHELL - самые распространенные шеллы это r57shell, c99shell,remview...
Их можно отыскать запросом:
a)intitle:"phpremoteview" filetype:php
б) inurl:"remview.php"
r57shell и c99shell...
2.СVV2 - кредиты, кредитные карточки.
Их можно отыскать запросом:
а)filetype:txt intext:cvv2
б)filetype:txt intext:american express
3.SQL - ДАМП БАЗЫ.
Их можно отыскать запросом:
а)filetype:sql "IDENTIFIED BY" -cvs
4.VNC доступ.
Их можно отыскать запросом:
а)intitle:"VNC viewer for java"
5.Роутеры.
Их можно отыскать запросом:
а)intitle:"SpeedStream Router Management Interface"
6.Принтер сервер и веб камеры.
Их можно отыскать запросом:
а)inurl:webArch/mainFrame.cgi
7.Чужие IP телефоны.
Их можно отыскать запросом:
а)intitle:"Sipura SPA Configuration" -.pdf
8.Фото ч чужих цифровых аппаратов.
Их можно отыскать запросом:
а)index.of.dcim
9.Халявный нортон антивирус.
Их можно отыскать запросом:
а)inurl:"GRC.DAT" intext:"password"
10.Пассы -
inurl:"password.dat"
filetype:password.dat
filetype:dat passwd
filetype:dat passwd.dat
intext:"password"
11. Поисковые запросы веб камер:
inurl:MultiCameraFrame?Mode=
inurl:"ViewerFrame?Mode="
inurl:netw_tcp.shtml
intitle:"supervisioncam protocol"
inurl:CgiStart?page=Single
inurl:indexFrame.shtml?newstyle=Quad
intitle:liveapplet inurl:LvAppl
inurl:/showcam.php?camid
inurl:video.cgi?resolution=
inurl:image?cachebust=
intitle:"Live View / - AXIS"
inurl:view/view.shtml
intext:"MOBOTIX M1"
intext:"Open Menu"
intitle:snc-rz30
inurl:home/
inurl:"MultiCameraFrame?Mode="
intitle:"EvoCam" inurl:"webcam.html?quot;
intitle:"Live NetSnap Cam-Server feed"
intitle:"Live View / - AXIS 206M"
intitle:"Live View / - AXIS 206W"
intitle:"Live View / - AXIS 210"
inurl:indexFrame.shtml Axis
inurl:"ViewerFrame?Mode="
inurl:"MultiCameraFrame?Mode=Motion"
intitle:start inurl:cgistart
intitle:"WJ-NT104 Main Page"
intext:"MOBOTIX M1" intext:"Open Menu"
intext:"MOBOTIX M10" intext:"Open Menu"
intext:"MOBOTIX D10" intext:"Open Menu"
intitle:snc-z20 inurl:home/
intitle:snc-cs3 inurl:home/
intitle:snc-rz30 inurl:home/
intitle:"sony network camera snc-p1"
intitle:"sony network camera snc-m1"
site:.viewnetcam.com -www.viewnetcam.com
intitle:"Toshiba Network Camera" user login
intitle:"netcam live image"
intitle:"i-Catcher Console - Web Monitor"
inurl:/home/home
intitle:flexwatch intext:"Copyright by Seyeon TECH Co"
intitle:"snc-rz30 home"
intitle: Network camera
Кстати говоря, на западе google hacking давно является серьезной угрозой.
Не совсем понимаю зачем выкладывать практический пример использования... ведь даже барану будет понятно что статья написана для указания на проблемы, которые нужно исправить. Это в интересах всех пользователей рунета, которые пользуются сервисами с некомпетентными сотрудниками.
Предлагаю тебе приложить фото твоей кредитной карты с обеих сторон, ИСКЛЮЧИТЕЛЬНО в ознакомительных целях! Мы всем сообществом обещаем, что эта информация не будет использована в своих меркантильных целях.
Интересно - кто оперативнее отреагирует и отпишется в комментах?
ВТБ, Сбер или МОС
Скорее всего, никто.
ДЦП
ФСБ
Ко мне по крайней мере спустя сутки никто не обратился)
Роскомнадзор
Думаю mos
Нашел билеты в Екатеринбург через эти дыры, завтра лечу бесплатно
Нормальная тема для стартапа. С промо-кодами же есть уже порталы. Тут что-то похожее будет.
Там еще остались уже оплаченные билеты?
Неожиданно, что проблема до сих пор имеет ТАКОЙ масштаб! После инцидента с Мегафоном я был уверен, что такие вещи уже давно включены в чек-лист каждого безопасника. Но вопрос: а есть ли вообще у этих сервисов безопасники? Или на эту должность племянника директора посадили?
Про племянника в точку. Отсутствие компетенции на лицо.
В почте рф точно нет ;)
НеожиданноВы, видимо, далеки от айти в профессиональном плане. Я вот ничуть ни удивлён. Даже больше огорошу - такой бардак будет еще неопределенное количество лет. И есть очень нехилый шанс, что не разрулится никогда. Просто случится пиздец и всё на этом, айти-инфраструктуру страны выкосят какие-нибудь расторопные ребята.
Привет всем в этом чатике! :D Давайте запилим конкурс мемов про IT безопасность под эти камментом! Если наберется 20 мемасов - выберу лучшего и отправлю бутылку вина (белое/красное на ваш выбор) - для тех кто в МСК. Если выиграет кто-то из региона - кину бутылку на карту ;) Завтра вечером определю главного мемолога). Оставляйте свой фб для связи - напишу туда
1й пошел - все школьники страны сегодня вечером
classic
Или вот прям в тему 😂
😂😂😂😂
И самое интересное это рассказывает SEO специалист, а не специалист по информационной безопасности ))
У них разные чек-листы :D
На е-коммерсе тоже часто встречается.
Я так закрывал неименные сертификаты с деньгами на одном очень известном магазине.
Помню у одного из топовых коммерческих сайтов телефоны клиентов были прямо в URL. Помимо утечки данных - это кладезь для конкурентов - бери и обзванивай всех. Тоесь, пренебрежение безопасностью в данном случае и прямыми коммерческими потерями грозит.
Огонь :)
*Закрывал = закрывал дыры, чтобы сертификаты не попали в Яндекс / Гугл
Да, с ecommerce вообще беда, там бюджеты не такие как у Сбера, ВТБ.
Паша, это огонь!
Привет из ИМЭС ))
Закон Ярвой в ярости 😤
у кого то начинает бомбить )
Потрясающая статья.
Это все происходит в стране, где тратятся миллиарды на проведение конференций про киберугрозы.
Но не хватает денег на книжечку SEO для чайников.
И принимаются решения всякие по блокировке телеграмма, бессмысленные законы Яровой. Это называется - когда люди занимаются не своим делом и решения принимают не эксперты а чиновники.
Мля я уже ничему не удивляюсь в этой стране!
Запилю robots.txt Сберу за 1000$, Греф пиши в лс
SEO рассказывает про секьюрити данных. I have seen it all
Слушайте, SEO уже пишут про защиту серверов сайтов от хакерских атак, уязвимостей, дырявых протоколов, которые можно расшифровать.
Реально такие чеклисты есть.
Даже у Финама - топ1 компании, какой-то из сайтов для трейдинга/инвестиций использует (по крайней мере недавно было, когда обращался к ним) незащищенный протокол HTTP. Мы переводем все сайты по продаже шампуней, детских игрушек на HTTPS а многомиллиардный Финам кидает пользователей сайта на HTTP, который может любой перехватить через wifi ))
Рассказал им об этом - сказали фигня, у нас везде СМС используется, все безопасно. Lol
Ну если на это никто больше не обращает внимания - приходится нам)
Странно что в СБ таких контор работают на столько некомпетентные люди.
Зато откаты компетентные получают :)
Зато их руководители получают зп за один день больше чем средний SEO-шник в Москве за год ;)
Огонь!... Столько раз шум понимался, законы принимаются... А воз и ныне там!..
"Трубу под давлением обматывают который раз изолентой и надеются на то что она выдержит"
Комментарий недоступен
Вот! Я об этом сразу с появления новости что банки будут по биометрии работать насторожился. Пароль в соцсети или доступ к документам в облаке можно поменять. Отпечатки пальцев, сетчатку глаза, лицо и голос - нет!
Если специалист по безопасности в Apple получает 20.000$ в мес, а в каком-нибудь дата-центре биометрических данных Самары будут искать "спецов" за 15.000 рублей - мне страшно за эти данные :)
Чтобы данные не утекали надо нанимать хороших спецов на хорошую з/п
я думаю там сидят люди на больших таких зар платах, а ничего не умеют. в дата-центрах именно так, почти все сотрудники не знают о своих собственных компаниях и дата-центрах и 5%. и какой-ниб человек со стороны знает в 20 раз больше чем они. и денег не получает, как те люди, на которых выкидывают кучу бюджета. так можно говорить и маркетинге который сливает бюджеты в черную дыру, когда можно не рубля не потратить на рекламу и напродавать серверов столько же если не больше. я знаю кучу народу которые бесплатно вообще делают что-то и у них получается лучше, чем у сотрудника который сидит условно в таких вот компаниях и получает за сидение зар плату
При чем тут честность? Воспользовавшись личными данными можно:
- взять на частное лицо кредит
- снять деньги со счета
- навести воров на квартиру...
продолжать?
Огласите тогда тут свой номер ИНН, паспорт, пенсионное, ну и можно пароли к соцсетям и почте - чего скрывать то))
Скрывать надо от тех, кому есть что скрывать
Поэтому на честных всегда записывают по сто кредитов. Гг
Тема си не раскрыта.
За пароли спокоен, а вот с транзакциями - это фейл!
А сбербанк, а греф, а большие данные? 🤔
Это немного на других сайтах (форумах) крутится ;)
Большие данные видно еще в зачаточном состоянии. Как сделают - будут и большие утечки.
Сбербанк и Греф скупили все видеокарты и майнят биткоины.
Не мешайте им.
Сбербанк проводит разбирательство по данной ситуации. Однако уже сейчас могу сказать, что данных, которые могут нанести ущерб Банку или клиентам, здесь нет.
Служба заботы о клиентах
ПАО Сбербанк
Мария, данных которые могут нанести ущерб здесь нет потому что вам просто повезло на этот раз. Это как вы забыли закрыть дверь в сейф где деньги лежат, но никто туда просто не заглянул. Но если Сбер будет так же халатно относиться к безопасности данных, рано или поздно произойдет катастрофа. У ваших коллег из топовых уже случалось похожее и они целую неделю не могли даже понять что произошло и что делать - показатель уровня :).
Здесь нет потому, что автор требования закона о защите персональных данных соблюдает. А вы(банк)? И что ещё можно обнаружить в такой выборке, если провести её самостоятельно? Такой же вопрос и к остальным. А "честным гражданам", которым "нечего скрывать", уже советовали, публикуйте номера карт, пин-коды, cvv, сканы паспортов и прочее разное, хоть приватную переписку. Вот только принцип приватности всегда был и есть один: "Мне нечего скрывать, НО ЭТО НЕ ВАШЕ ДЕЛО!"
Комментарий недоступен
Молодец Машенька, разбирательство проходит, а уже сейчас сказать можете)
А как же паспорта???
Мария, Вы хорошо подумали перед тем, как делать такие заявления в кругу людей, прекрасно представляющих, какой ущерб может нанести разглашение персональных данных и данных о транзакциях?
А колыбельную споёте?
Картинки с "котиками" на почту еще никто не отменял, сколько прошло времени, а они еще работают :D
А я размышляю над тем - а вдруг кто-то этими данными пользовался по тихому все это время?
Оно так и было (есть) долгое время.... и извините если можно получить доступ к бухгалтериям предприятий, то что говорить о более публичных данных.
Мне вот на днях один сервис прислал письмом мой логин и пароль не в зашифрованном виде, после чего я ушел от этого сервиса.
Конечно пользуются.
В открытом поисковиках можно было даже доступы в Google.Docs к кошелькам где биткоины лежат.
" - Они и будут продолжаться пока программистам будут мало платить. "
В сети можно найти всё, хоть фотографии с любого мобильника вытащить, хоть музыку.....
Ну, вытащите фотографии и музыку с моего мобильника.
Супер статья!
В ВУЗах сейчас происходит приём абитуриентов на специальность 10.03.01"Информационная безопасность"
Интересно, кто преподаёт там SEO ???
Никто. Нет такой дисциплины там) А нужна)
Понятно что это задумывалось для удобной жизни.
Так же как и удобная авторизация везде через FB, например. А потом выяснилось что эти приложения в которых вы авторизовались сливают ваши данные.
Если бы владельцы всех сайтов с личными данными применили хотя бы 3 моих совета из статьи:
-robots.txt
-meta noindex
-блочить доступ основным поисковым индексаторам
99,9% утечек можно было бы избежать.
даже дорвейщики, сателиттчики, школьники-создатели PNB сеток это делают.
Отличная статья! Спасибо!
Где мемасики?)
Хороший пример ньюсджекинга
Вот вам и всемирный доступ к неограниченным данным... А умные и ушлые, этим пользуются...
Павел, спасибо, пошел закрывать дыры на своих сайтах.
Комментарий недоступен
Вы забыли упомянуть, что сейчас почта (e-mail) правомерно сканируется. И все данные попадают в базу анализа. С девизом «мы подберём вам лучшую рекламу» этим вполне себе занимается тот же гугл.
Всегда можете пользоваться другой почтой.
Ах да, она не такая удобная, быстрая и надёжная, как Gmail.
О боже! Неужели нужна авторизация чтобы данные не утекали? Пойду погуглю про одноразовые диплинки...
Статья не про безопасность, а про самопиар :-)
Почему не про безопасность?
Я привел советы реальные, которые, уверен, 99,9% новых утечек помогут предотвратить.
robots.txt, clean-param, meta-noindex + блочить поисковых ботов
Статья отличная и вскрывает мега важные проблемы! Только почему официальные лица никак не реагируют на ТАКУЮ информацию?! И будут ли действительно решать эти проблемы или, как обычно, замнут дело, а обществу устроят очередные зрелищные игры, чтобы развлекались и не задавали ненужных вопросов? А еще лучше не думали вообще?
Успели научиться пользоваться интернетом, успели доверить ему личную информацию. А вот укротить эту стихию пока не получается.
Прямо сериал Black Mirror напоминает
Укротитель SEO трафика . Звучит гордо.
успели доверить ему личную информацию. С появлением соцсетей - да... хорошо, что не повёлся на это всё. О себе - только самый минимум или же уже байки тех времён, с которых ничего не прилетит, то есть 10-15-20 летней давности.
Ничему жизнь не учит ребят...
Все из-за телеграма и инстаграма!
Теперь рскмндзр всех заблочит. Так проще уже!)
Не, ну а чего. Нормально всё. Интернет в нашей стране ещё очень молодой. Активно развиваться-то, регулироваться и расти начал лет десять-пятнадцать. А пока нет смысла доверять свои данные сети.
Злоумышленник улетает на Бали вместо меня это конечно жестко. До такой степень вряд ли дойдет. Все равно подтверждение данных придут на телефон в смс. Но все равно неприятны такие утечки.
Да. Но сайты с продажей билетов как на грибах растут. И кто знает какого они качества, если уже все кому не лень пилят свои агрегаторы. Пример: они высылают 3-4 значный номер на СМС и не имеют защиты от брута и повторную СМС при ошибке.
Можно тупо перебором эти 1000/10000 комбинаций ввести с помощью простого скрипта.
Что на счет СДЭКа?