ВТБ, «Сбербанк», официальный сайт мэра Москвы — утечки данных пользователей продолжаются

В связи с последними скандалами по утечке персональных данных решили написать статью, где подробно объясним, почему это происходит и как с этим бороться. Рассказывает SEO-специалист, эксперт по поисковым системам в Rush Agency Павел Медведев.

Павел Медведев
9191

Автор данного комментария предоставляет информацию лишь в ознакомительных целях и никак иначе.
Так как они находятся в общем доступе и предоставлены на всеобщее обозрение.
Никакой пропаганды хакерства и киберприступлений данный комментарий не несёт.
Спасибо за внимание.
(Пунктуация сохранена)
1.SHELL - самые распространенные шеллы это r57shell, c99shell,remview...
Их можно отыскать запросом:
a)intitle:"phpremoteview" filetype:php
б) inurl:"remview.php"
r57shell и c99shell...
2.СVV2 - кредиты, кредитные карточки.
Их можно отыскать запросом:
а)filetype:txt intext:cvv2
б)filetype:txt intext:american express
3.SQL - ДАМП БАЗЫ.
Их можно отыскать запросом:
а)filetype:sql "IDENTIFIED BY" -cvs
4.VNC доступ.
Их можно отыскать запросом:
а)intitle:"VNC viewer for java"
5.Роутеры.
Их можно отыскать запросом:
а)intitle:"SpeedStream Router Management Interface"
6.Принтер сервер и веб камеры.
Их можно отыскать запросом:
а)inurl:webArch/mainFrame.cgi
7.Чужие IP телефоны.
Их можно отыскать запросом:
а)intitle:"Sipura SPA Configuration" -.pdf
8.Фото ч чужих цифровых аппаратов.
Их можно отыскать запросом:
а)index.of.dcim
9.Халявный нортон антивирус.
Их можно отыскать запросом:
а)inurl:"GRC.DAT" intext:"password"
10.Пассы -
inurl:"password.dat"
filetype:password.dat
filetype:dat passwd
filetype:dat passwd.dat
intext:"password"
11. Поисковые запросы веб камер:
inurl:MultiCameraFrame?Mode=
inurl:"ViewerFrame?Mode="
inurl:netw_tcp.shtml
intitle:"supervisioncam protocol"
inurl:CgiStart?page=Single
inurl:indexFrame.shtml?newstyle=Quad
intitle:liveapplet inurl:LvAppl
inurl:/showcam.php?camid
inurl:video.cgi?resolution=
inurl:image?cachebust=
intitle:"Live View / - AXIS"
inurl:view/view.shtml
intext:"MOBOTIX M1"
intext:"Open Menu"
intitle:snc-rz30
inurl:home/
inurl:"MultiCameraFrame?Mode="
intitle:"EvoCam" inurl:"webcam.html?quot;
intitle:"Live NetSnap Cam-Server feed"
intitle:"Live View / - AXIS 206M"
intitle:"Live View / - AXIS 206W"
intitle:"Live View / - AXIS 210"
inurl:indexFrame.shtml Axis
inurl:"ViewerFrame?Mode="
inurl:"MultiCameraFrame?Mode=Motion"
intitle:start inurl:cgistart
intitle:"WJ-NT104 Main Page"
intext:"MOBOTIX M1" intext:"Open Menu"
intext:"MOBOTIX M10" intext:"Open Menu"
intext:"MOBOTIX D10" intext:"Open Menu"
intitle:snc-z20 inurl:home/
intitle:snc-cs3 inurl:home/
intitle:snc-rz30 inurl:home/
intitle:"sony network camera snc-p1"
intitle:"sony network camera snc-m1"
site:.viewnetcam.com -www.viewnetcam.com
intitle:"Toshiba Network Camera" user login
intitle:"netcam live image"
intitle:"i-Catcher Console - Web Monitor"
inurl:/home/home
intitle:flexwatch intext:"Copyright by Seyeon TECH Co"
intitle:"snc-rz30 home"
intitle: Network camera

26

Кстати говоря, на западе google hacking давно является серьезной угрозой.

4

Не совсем понимаю зачем выкладывать практический пример использования... ведь даже барану будет понятно что статья написана для указания на проблемы, которые нужно исправить. Это в интересах всех пользователей рунета, которые пользуются сервисами с некомпетентными сотрудниками.

Предлагаю тебе приложить фото твоей кредитной карты с обеих сторон, ИСКЛЮЧИТЕЛЬНО в ознакомительных целях! Мы всем сообществом обещаем, что эта информация не будет использована в своих меркантильных целях.

5

Интересно - кто оперативнее отреагирует и отпишется в комментах?
ВТБ, Сбер или МОС

24

Скорее всего, никто.

18

Ко мне по крайней мере спустя сутки никто не обратился)

1

Роскомнадзор

Нашел билеты в Екатеринбург через эти дыры, завтра лечу бесплатно

22

Нормальная тема для стартапа. С промо-кодами же есть уже порталы. Тут что-то похожее будет.

4

Там еще остались уже оплаченные билеты?

Неожиданно, что проблема до сих пор имеет ТАКОЙ масштаб! После инцидента с Мегафоном я был уверен, что такие вещи уже давно включены в чек-лист каждого безопасника. Но вопрос: а есть ли вообще у этих сервисов безопасники? Или на эту должность племянника директора посадили?

17

Про племянника в точку. Отсутствие компетенции на лицо.

6

В почте рф точно нет ;)

4

НеожиданноВы, видимо, далеки от айти в профессиональном плане. Я вот ничуть ни удивлён. Даже больше огорошу - такой бардак будет еще неопределенное количество лет. И есть очень нехилый шанс, что не разрулится никогда. Просто случится пиздец и всё на этом, айти-инфраструктуру страны выкосят какие-нибудь расторопные ребята.

3

Привет всем в этом чатике! :D Давайте запилим конкурс мемов про IT безопасность под эти камментом! Если наберется 20 мемасов - выберу лучшего и отправлю бутылку вина (белое/красное на ваш выбор) - для тех кто в МСК. Если выиграет кто-то из региона - кину бутылку на карту ;) Завтра вечером определю главного мемолога). Оставляйте свой фб для связи - напишу туда
1й пошел - все школьники страны сегодня вечером

11

Или вот прям в тему 😂

2

И самое интересное это рассказывает SEO специалист, а не специалист по информационной безопасности ))

13

У них разные чек-листы :D

10

На е-коммерсе тоже часто встречается.
Я так закрывал неименные сертификаты с деньгами на одном очень известном магазине.

11

Помню у одного из топовых коммерческих сайтов телефоны клиентов были прямо в URL. Помимо утечки данных - это кладезь для конкурентов - бери и обзванивай всех. Тоесь, пренебрежение безопасностью в данном случае и прямыми коммерческими потерями грозит.

1

*Закрывал = закрывал дыры, чтобы сертификаты не попали в Яндекс / Гугл

Да, с ecommerce вообще беда, там бюджеты не такие как у Сбера, ВТБ.

Паша, это огонь!

11

Привет из ИМЭС ))

Закон Ярвой в ярости 😤

10

у кого то начинает бомбить )

Потрясающая статья.
Это все происходит в стране, где тратятся миллиарды на проведение конференций про киберугрозы.
Но не хватает денег на книжечку SEO для чайников.

6

И принимаются решения всякие по блокировке телеграмма, бессмысленные законы Яровой. Это называется - когда люди занимаются не своим делом и решения принимают не эксперты а чиновники.

4

Мля я уже ничему не удивляюсь в этой стране!

8

Запилю robots.txt Сберу за 1000$, Греф пиши в лс

5

SEO рассказывает про секьюрити данных. I have seen it all

2

Слушайте, SEO уже пишут про защиту серверов сайтов от хакерских атак, уязвимостей, дырявых протоколов, которые можно расшифровать.
Реально такие чеклисты есть.

Даже у Финама - топ1 компании, какой-то из сайтов для трейдинга/инвестиций использует (по крайней мере недавно было, когда обращался к ним) незащищенный протокол HTTP. Мы переводем все сайты по продаже шампуней, детских игрушек на HTTPS а многомиллиардный Финам кидает пользователей сайта на HTTP, который может любой перехватить через wifi ))
Рассказал им об этом - сказали фигня, у нас везде СМС используется, все безопасно. Lol

10

Ну если на это никто больше не обращает внимания - приходится нам)

1

Странно что в СБ таких контор работают на столько некомпетентные люди.

2

Зато откаты компетентные получают :)

6

Зато их руководители получают зп за один день больше чем средний SEO-шник в Москве за год ;)

2

Огонь!... Столько раз шум понимался, законы принимаются... А воз и ныне там!..

2

"Трубу под давлением обматывают который раз изолентой и надеются на то что она выдержит"

3

Комментарий недоступен

1

Вот! Я об этом сразу с появления новости что банки будут по биометрии работать насторожился. Пароль в соцсети или доступ к документам в облаке можно поменять. Отпечатки пальцев, сетчатку глаза, лицо и голос - нет!

Если специалист по безопасности в Apple получает 20.000$ в мес, а в каком-нибудь дата-центре биометрических данных Самары будут искать "спецов" за 15.000 рублей - мне страшно за эти данные :)

8

Чтобы данные не утекали надо нанимать хороших спецов на хорошую з/п

3

я думаю там сидят люди на больших таких зар платах, а ничего не умеют. в дата-центрах именно так, почти все сотрудники не знают о своих собственных компаниях и дата-центрах и 5%. и какой-ниб человек со стороны знает в 20 раз больше чем они. и денег не получает, как те люди, на которых выкидывают кучу бюджета. так можно говорить и маркетинге который сливает бюджеты в черную дыру, когда можно не рубля не потратить на рекламу и напродавать серверов столько же если не больше. я знаю кучу народу которые бесплатно вообще делают что-то и у них получается лучше, чем у сотрудника который сидит условно в таких вот компаниях и получает за сидение зар плату

Комментарий удалён модератором

При чем тут честность? Воспользовавшись личными данными можно:
- взять на частное лицо кредит
- снять деньги со счета
- навести воров на квартиру...
продолжать?

4

Огласите тогда тут свой номер ИНН, паспорт, пенсионное, ну и можно пароли к соцсетям и почте - чего скрывать то))

3

Скрывать надо от тех, кому есть что скрывать

2

Поэтому на честных всегда записывают по сто кредитов. Гг

1

Тема си не раскрыта.
За пароли спокоен, а вот с транзакциями - это фейл!
А сбербанк, а греф, а большие данные? 🤔

2

Это немного на других сайтах (форумах) крутится ;)

1

Большие данные видно еще в зачаточном состоянии. Как сделают - будут и большие утечки.

Сбербанк и Греф скупили все видеокарты и майнят биткоины.
Не мешайте им.

Сбербанк проводит разбирательство по данной ситуации. Однако уже сейчас могу сказать, что данных, которые могут нанести ущерб Банку или клиентам, здесь нет.

Служба заботы о клиентах
ПАО Сбербанк

1

Мария, данных которые могут нанести ущерб здесь нет потому что вам просто повезло на этот раз. Это как вы забыли закрыть дверь в сейф где деньги лежат, но никто туда просто не заглянул. Но если Сбер будет так же халатно относиться к безопасности данных, рано или поздно произойдет катастрофа. У ваших коллег из топовых уже случалось похожее и они целую неделю не могли даже понять что произошло и что делать - показатель уровня :).

4

Здесь нет потому, что автор требования закона о защите персональных данных соблюдает. А вы(банк)? И что ещё можно обнаружить в такой выборке, если провести её самостоятельно? Такой же вопрос и к остальным. А "честным гражданам", которым "нечего скрывать", уже советовали, публикуйте номера карт, пин-коды, cvv, сканы паспортов и прочее разное, хоть приватную переписку. Вот только принцип приватности всегда был и есть один: "Мне нечего скрывать, НО ЭТО НЕ ВАШЕ ДЕЛО!"

2

Комментарий недоступен

1

Молодец Машенька, разбирательство проходит, а уже сейчас сказать можете)

1

Мария, Вы хорошо подумали перед тем, как делать такие заявления в кругу людей, прекрасно представляющих, какой ущерб может нанести разглашение персональных данных и данных о транзакциях?

А колыбельную споёте?

Картинки с "котиками" на почту еще никто не отменял, сколько прошло времени, а они еще работают :D

2

А я размышляю над тем - а вдруг кто-то этими данными пользовался по тихому все это время?

Оно так и было (есть) долгое время.... и извините если можно получить доступ к бухгалтериям предприятий, то что говорить о более публичных данных.
Мне вот на днях один сервис прислал письмом мой логин и пароль не в зашифрованном виде, после чего я ушел от этого сервиса.

4

Конечно пользуются.
В открытом поисковиках можно было даже доступы в Google.Docs к кошелькам где биткоины лежат.

1

" - Они и будут продолжаться пока программистам будут мало платить. "
В сети можно найти всё, хоть фотографии с любого мобильника вытащить, хоть музыку.....

2

Ну, вытащите фотографии и музыку с моего мобильника.

Супер статья!
В ВУЗах сейчас происходит приём абитуриентов на специальность 10.03.01"Информационная безопасность"
Интересно, кто преподаёт там SEO ???

1

Никто. Нет такой дисциплины там) А нужна)

1

Комментарий удалён модератором

Понятно что это задумывалось для удобной жизни.
Так же как и удобная авторизация везде через FB, например. А потом выяснилось что эти приложения в которых вы авторизовались сливают ваши данные.

Если бы владельцы всех сайтов с личными данными применили хотя бы 3 моих совета из статьи:
-robots.txt
-meta noindex
-блочить доступ основным поисковым индексаторам
99,9% утечек можно было бы избежать.

даже дорвейщики, сателиттчики, школьники-создатели PNB сеток это делают.

1

Отличная статья! Спасибо!

1

Хороший пример ньюсджекинга

1

Вот вам и всемирный доступ к неограниченным данным... А умные и ушлые, этим пользуются...

1

Павел, спасибо, пошел закрывать дыры на своих сайтах.

1

Комментарий недоступен

1

Вы забыли упомянуть, что сейчас почта (e-mail) правомерно сканируется. И все данные попадают в базу анализа. С девизом «мы подберём вам лучшую рекламу» этим вполне себе занимается тот же гугл.

1

Всегда можете пользоваться другой почтой.
Ах да, она не такая удобная, быстрая и надёжная, как Gmail.

О боже! Неужели нужна авторизация чтобы данные не утекали? Пойду погуглю про одноразовые диплинки...

Статья не про безопасность, а про самопиар :-)

Почему не про безопасность?
Я привел советы реальные, которые, уверен, 99,9% новых утечек помогут предотвратить.
robots.txt, clean-param, meta-noindex + блочить поисковых ботов

2

Статья отличная и вскрывает мега важные проблемы! Только почему официальные лица никак не реагируют на ТАКУЮ информацию?! И будут ли действительно решать эти проблемы или, как обычно, замнут дело, а обществу устроят очередные зрелищные игры, чтобы развлекались и не задавали ненужных вопросов? А еще лучше не думали вообще?

1

Успели научиться пользоваться интернетом, успели доверить ему личную информацию. А вот укротить эту стихию пока не получается.

Прямо сериал Black Mirror напоминает

1

Укротитель SEO трафика . Звучит гордо.

успели доверить ему личную информацию. С появлением соцсетей - да... хорошо, что не повёлся на это всё. О себе - только самый минимум или же уже байки тех времён, с которых ничего не прилетит, то есть 10-15-20 летней давности.

Ничему жизнь не учит ребят...

Все из-за телеграма и инстаграма!

Теперь рскмндзр всех заблочит. Так проще уже!)

Не, ну а чего. Нормально всё. Интернет в нашей стране ещё очень молодой. Активно развиваться-то, регулироваться и расти начал лет десять-пятнадцать. А пока нет смысла доверять свои данные сети.

Злоумышленник улетает на Бали вместо меня это конечно жестко. До такой степень вряд ли дойдет. Все равно подтверждение данных придут на телефон в смс. Но все равно неприятны такие утечки.

Да. Но сайты с продажей билетов как на грибах растут. И кто знает какого они качества, если уже все кому не лень пилят свои агрегаторы. Пример: они высылают 3-4 значный номер на СМС и не имеют защиты от брута и повторную СМС при ошибке.
Можно тупо перебором эти 1000/10000 комбинаций ввести с помощью простого скрипта.

Что на счет СДЭКа?