(Не) безопасный дайджест: чем пахнут утечки, дипфейк в Zoom и дворянство за тысячу евро
Август – время, когда многие еще отдыхают, но не мошенники и не судебно-правоохранительная система. В нашем традиционном дайджесте – преступление с редким (потому что большим) наказанием, типичные «грабли» и очередной пример тяги людей к сказке.
Утечки с неприятным запахом
Что случилось: В открытый доступ попала база данных клиентов сервиса ShitExpress.
Как это произошло: С сеть утекли данные ресурса ShitExpress, который предлагает рассылать в качестве «прикола» посылки с экскрементами заранее выбранных животных кому-то, «кого вы безмерно ненавидите». Хакер для получения доступа к данным использовал SQL-инъекцию. Требований о выкупе он не выдвигал и даже уведомил владельцев сайта об уязвимости, скачанную информацию выложил в бесплатный доступ на одном из форумов. Среди утекших данных, как подтвердили изданию BleepingComputer представители ShitExpress, оказались емейлы отправителей неприятно пахнущих приколов, а также сообщения, которые они в качестве сопровождающих записок писали получателям. К счастью для пострадавших, утечка не содержала полного набора персданных, потому что ресурс в обязательном порядке не запрашивает информацию о клиенте, ограничиваясь тем, что человек готов сообщить о себе. Сервис отреагировал на инцидент с иронией: все происходящее не более чем «веселое дерьмо».
Мифическое шифрование
Что случилось: Утечка сообщений пользователей мессенджера JusTalk развеяла миф о сквозном шифровании переписки.
Как это произошло: Бесхозную, точнее, не прикрытую паролем, базу сообщений пользователей JusTalk (а клиентов у сервиса в мире около 20 млн) обнаружил специалист по информационной безопасности Анураг Сен (Anurag Sen). Доступ к сотням гигабайт данных, размещенных на облачном сервере Huawei в Китае, можно было получить, просто зная его IP-адрес. Сервер хранил журналы за последний месяц, по крайней мере с начала января, когда база данных была впервые открыта. В ней находились миллионы текстовых сообщений и звонков, осуществлявшихся в течение нескольких месяцев пользователями приложения. И, как показал анализ Анурага Сена, все эти данные не были зашифрованы. При этом разработчик на официальном сайте пишет о «безопасном шифровании данных», подчеркивая, что «только вы и человек, с которым вы общаетесь, можете видеть, читать или слушать сообщения. Что даже команда JusTalk не получит доступ к данным!»
Следящие мобильные приложения
Что случилось: Instagram и Facebook для iOS (мобильные приложения корпорации Meta, признанной в России экстремистской и запрещенной) фиксируют действия пользователей на посещаемых через приложения сайтах.
Как это произошло: Специалист в области защиты данных Феликс Краузе (Felix Krause) проанализировал активность упомянутых выше мобильных приложений при переходе их пользователей на сайты. Он выяснил, что встроенные браузеры Instagram и FB фиксируют все действия юзера – в т.ч. ввод текста, паролей и номеров банковских карт. Технически это происходит благодаря загрузке на сайты, открываемые через приложения, скрипта Meta Pixel. Такая гиперактивность скрипта Meta Pixel уже вызвала претензии со стороны ряда организаций. В частности, американской медицинской компании Novant Health. Поначалу, желая проанализировать эффект от рекламной кампании, Novant были не против разместить скрипт Meta Pixel на сайтах, где пациенты записывались к врачу. Но после того, как была выявлена угроза утечки персональных данных более чем миллиона больных, Novant Health высказала свои претензии разработчику.
«Ты точно продюсер?»
Что случилось: Мошенники создали дипфейк исполнительного директора Binance
Как это произошло: Директор по связям с общественностью крупнейшей в мире криптовалютной биржи Binance Патрик Хиллманн (Patrick Hillmann) утверждает, что мошенники создали его дипфейк и использовали его для видеозвонков в Zoom. Он говорит, что как минимум четырем представителям партнерских криптовалютных проектов звонил некто, представлявшийся или выглядевший как Хиллманн. Группа киберрасследований Binance, говорит он, расследует это дело. Судя по тому, что собеседники все же распознали фальшивку, дипфейк мошенника был отличим от оригинала. Тем не менее прецедент знаковый и пока редкий. До сих пор задача сделать фальшивку в режиме реального времени была нетривиальной. Но технологии прогрессируют, нейросети учатся.
Отмороженное дворянство
Что случилось: 400 тысяч евро потеряли обманутые итальянцы, пытаясь стать гражданами несуществующего государства и получить дворянский титул.
Как это произошло: Мошенники предлагали гражданам Италии приобрести еще одно гражданство – несуществующего в реальности «Теократического антарктического государства святого Георгия». Вместе с новым паспортом обещали более низкие налоги – 5%, в то время как в Италии в рамках прогрессивной шкалы они составляют от 23% до 43%. Желающие могли получить статус рядового гражданина за 200 евро и дворянский титул – за 1000. Всего мошенникам удалось обмануть 700 итальянцев, которые перевели мошенникам около 400 тысяч евро, т.е. около половины пострадавших пожелало стать дворянами. Представителям лжегосударства удалось обмануть не только простых итальянцев, но и чиновников. Сообщество западноафриканских государств Ecowas заявило о подписании соглашения с антарктической державой.
Как сообщают СМИ (статья доступна по подписке), 12 лже-министров Теократического государства святого Георгия арестованы, еще 30 пока на свободе, но под следствием.
Elastic, ты?
Что случилось: Вся база пользователей сервиса OneTwoTrip оказалась в свободном доступе.
Как это произошло: Исследователь информационной безопасности Боб Дьяченко обнаружил открытую базу данных OneTwoTrip. Он написал, что вся внутренняя инфраструктура «удобного, доступного и безопасного онлайн-сервиса для путешествий» раскрыта уже несколько дней. Причина? Неправильная настройка сервера elasticsearch (да, снова грабли elasticsearch). Согласно данным Дьяченко, в открытом доступе оказались сведения об электронной почте, именах, паспортах, телефонах, платежной информации, путешествиях и паролях. Сама компания утечку признала, не уточняя число затронутых пользователей (не подтверждая и не опровергая данные исследователя). Судя по всему, база была открыта в течение нескольких дней и неизвестно, успел ли ее кто-то скачать.
Подкупающая откровенность
Что случилось: В Екатеринбурге директора банка отправили в колонию и оштрафовали более чем на 5 миллионов за слив данных клиентов.
Как это произошло: По данным издания 66.ru, директору регионального подразделения банка (название не уточняется) предложили за вознаграждение сливать данные о клиентах: контактную информацию, сведения о суммах кредита и страховой премии, дате и месте заключения кредитного договора и т.п. С ноября 2019 года по июнь 2021 года топ-менеджер передал подельнику информацию о не менее чем 5613 клиентах. За это инсайдер получил 1,6 млн рублей, а посредник, заказавший кражу данных – 5,6 млн руб. Информацию собирали, как пишет СМИ, в интересах исполнительного директора финансово-юридического агентства. По решению суда, банковский специалист получил наказание в виде 3,5 лет лишения свободы и штраф в 5 млн рублей. Посредники отделались условными сроками — от 3 лет 6 месяцев до 4 лет 6 месяцев. Однако штрафные санкции для них оказались еще более значительными: 11,7 млн рублей и 8,4 млн рублей. В российской судебной практике – редкое дело.
Песня сирены
Что случилось: Песня Джанет Джексон выводила из строя ноутбуки.
Как это произошло: Представитель Microsoft Раймонд Чен (Raymond Chen) рассказал о невероятном факте: при воспроизведении песни Rhythm Nation популярной американской певицы Джанет Джексон определенные модели мобильных ПК выходили из строя. Это обнаружил один из производителей техники.
Сбоили также и те компьютеры, рядом с которыми воспроизводили песню. Песня содержала одну из собственных резонансных частот для модели жестких дисков для ноутбуков на 5400 об./мин., которую использовали разные производители. Чтобы решить проблему, производитель добавил в аудиоконвейер специальный фильтр, который обнаруживал и удалял нежелательные частоты во время воспроизведения звука – песня больше не могла навредить. К сожалению, в блоге Чена не рассказывает, когда произошла эта история и название ноутбуков.