сегодня в 12:00

Задержан подозреваемый в глобальной утечке персональных данных сотрудников ОАО «РЖД» в августе 2019 года

Согласно информации издания РБК, следственными органами Московского межрегионального следственного управления
на транспорте СК России при содействии управления «К» МВД и службы безопасности ОАО «Российские железные дороги»
удалось найти злоумышленника, который незаконно скопировал и выложил в интернет данные сотен тысяч сотрудников ОАО «РЖД»,
в том числе руководства компании. Им оказался двадцатишестилетний житель Краснодарского края.

На данный момент молодому человеку предъявлено обвинение в совершении преступлений, предусмотренных ч. 1 ст. 183 УК РФ
(незаконное получение и разглашение сведений, составляющих коммерческую тайну) и ч. 1 ст. 272 УК РФ (неправомерный доступ
к охраняемой законом компьютерной информации).

В ходе расследования было установлено, что в июне 2019 года молодой человек 1993 года рождения смог получить неправомерный доступ
к охраняемой законом информации, находящейся на внутренних ресурсах организации. Для удаленной авторизации на ресурсах ОАО «РЖД»
злоумышленник использовал незаконно добытые им учетные записи двух пользователей работников ОАО «РЖД», имена этих сотрудников
и способ получения их учетных записей не разглашены.

После того, как злоумышленник заходил под аккаунтами сотрудников внутрь корпоративной сети, за некоторое продолжительное время
он совершил незаконное копирование нескольких сотен тысяч фотографий и сведений о работниках ОАО «РЖД», являющихся персональными данными.
Позже эта информация была сгруппирована в единую базу данных и опубликована в открытом доступе в сети интернет на одном из интернет-ресурсов,
хостинг которого расположен в Федеративной Республике Германия. Тем самым, по словам из заявления следственного коммитета РФ,
был нанесен существенный вред законным интересам государства и общества.

В конце августа 2019 года неизвестный пользователь опубликовал в свободном доступе персональные данные 703 тыс. человек,
которые предположительно являлись сотрудниками ОАО «РЖД», причем в самом ОАО «РДЖ» на тот момент работало 732 тыс. сотрудников.
Среди свободно доступных данных по сотрудникам там была представлена такая информация: ФИО, дата рождения, адрес, номер СНИЛС,
должность, фотография, телефон, адрес электронной почты (иногда на доменах NRR.RZD, DZV.ORG.RZD, ORW.RZD и других внутренних доменах ОАО «РЖД»).

На сайте, который через несколько часов после публикации данной информации стал недоступен, была надпись: «Спасибо ОАО „РЖД“
за предоставленную информацию, путем бережного обращения с персональными данными своих сотрудников». После опубликования
данной информации представитель ОАО «РЖД» сообщил, что компания начала внутреннюю проверку и собирает материалы
по этому инциденту для передачи правоохранительным органам, также в ОАО «РЖД» отметили, что данные о пассажирах
и их заказах в эту утечку не попали. Тогда жа в следственном комитете уточнили, что утечка данных сотрудников ОАО «РЖД»
произошла из-за несанкционированного проникновения на серверы компании, не предоставив больше дополнительной информации
об этом происшествии.

И вот, спустя три месяца появилась официальная информация о ходе расследования, в которой сообщается о задержании
подозреваемого в утечке персональных данных сотрудников ОАО «РЖД» в августе 2019 года. «Молодой человек признал вину
в совершении указанной кибератаки на внутренние ресурсы ОАО «РЖД». В настоящее время следствием продолжается сбор
доказательственной базы, расследование уголовного дела продолжается», — заявили представители следственного комитета.
Небольшой видеоролик с задержанным можно посмотреть тут. В этом видео злоумышленник рассказывает, что не ожидал,
что будет такой резонанс после опубликования данных в сети. Также он пояснил, что логин и пароль для входа на корпоративный сайт
ОАО «РЖД» случайно увидел на бумажке в паспорте у знакомого.

Вдобавок было дополнительно сообщено, что задержанный злоумышленник по своей специализации является
хорошо подготовленным IT-специалистом, он использовал девяносто шесть уникальных IP-адресов при совершении
своей удаленной атаки на ресурсы ОАО «РЖД». Каждая из вменяемых молодому человеку статей УК РФ (ч. 1 ст. 183 УК РФ
— незаконное получение и разглашение сведений, составляющих коммерческую тайну; ч. 1 ст. 272 УК РФ — неправомерный доступ
к охраняемой законом компьютерной информации) предусматривает наказание в виде лишения свободы на срок до двух лет.

«Подозреваемого удалось обнаружить благодаря грамотно спланированным следственным действиям
и оперативно-розыскным мероприятиям во взаимодействии со службой безопасности ОАО „РЖД“ и управления „К“ МВД»,
— подытожили представители следственного комитета.

В ОАО «РЖД» также подтвердили факт расследования. «В компании усилен контроль за соблюдением защиты информационных систем,
прорабатываются дополнительные технические и организационные мероприятия по повышению уровня информационной безопасности»,
— дополнительно сообщил представитель ОАО «РЖД».

https://habr.com/ru/news/t/479134/

13 февраля 2020 в 19:56
В Сбербанке снова утечка данных — новая информация о клиентах банка выставлена на продажу

Согласно информации издания «Известия», с 12 февраля 2020 года в даркнете появились новые объявления
о продаже базы данных, в каждой строке содержащих такую информацию о клиентах Сбербанка:
название банковского подразделения, полное ФИО, номер счета, паспортные данные, дата рождения и номер телефона.

Один из продавцов рассказал журналистам «Известий», что у него есть информация о двадцати тысячах клиентах
Сбербанка, он оценивает каждую строку из этой базы по тридцать пять рублей. Согласно дополнительной информации
от продавца, у него есть возможность выгружать еще по десять тысяч новых строк о клиентах банка еженедельно.

Как выяснили журналисты, большая часть продаваемых данных относится к клиентам финансового учреждения,
проживающих в регионах с часовым поясом +5 UTC — в субъектах Уральского и Приволжского федеральных округов РФ.
А в полученном ими на проверку тестовом фрагменте данных были клиенты банка, которые имеют счета или карты
в Республике Башкортостан.

Чтобы убедиться в подлинности данных журналисты проверяли мобильные телефоны через приложение «Сбербанк Онлайн»,
где при введении номера можно увидеть имя, отчество и первую букву фамилии пользователя. Шесть из десяти записей совпали,
еще три оказались не привязаны к приложению, и в одном случае телефон продемонстрировал другое имя. По указанным номерам
телефонов удалось дозвониться до четырех человек: все они подтвердили свое имя и дату рождения.

«С высокой долей вероятности, это действительно клиенты Сбербанка», — подтвердил «Известиям» Ашот Оганесян,
технический директор компании DeviceLock. Также Оганесян уточнил, что «новая база не стала частью массовой утечки,
о которой СМИ писали в октябре прошлого года. У новых записей другой формат, пояснил он, а данные, которые могут
быть сверены (например, телефоны) в тестовых фрагментах, предоставленных продавцами тогда и сейчас, не совпадают».

Информация по этой утечке из Telegram-канала "Утечки информации".
Скриншот фрагмента новой базы данных предоставлен для Хабра Ашотом Оганесяном.

Судя по незакрытой информации из таблицы выше (по годам рождения и типу карт VISA Electron),
большинство пострадавших от этой утечки являются пенсионерами. В Сбербанке факт новой утечки
не подтвердили и не прокомментировали никакую информацию об этом инциденте.

Вдобавок специалисты по информационной безопасности предположили, что у злоумышленников
есть ограниченный доступ (через сотрудников) к информационной системе учреждения, который,
возможно, ограничен лимитом скачивания в системе ИБ. Например, им нельзя сохранить
на внешний ресурс более двух тысяч записей в сутки.

14 февраля 2020 года Сбербанк начал проверять информацию от СМИ о новой утечке данных клиентов.
«Ежедневно в сети появляются десятки сообщений с предложением продать базы данных клиентов
различных банков и компаний. Мы проверяем любую подобную информацию, в том числе и ту,
о которой идет речь в публикации. Там есть данные, ранее уже предлагавшиеся к продаже на теневом рынке
и относящиеся к 2015-2016 годам. Сбербанк не являлся источником утечки этих данных»,
— говорится в сообщении пресс-службы Сбербанка.

Скриншот с разными объявлениями за начало февраля 2020 года от одного продавца в даркнете,
предоставлен для Хабра Ашотом Оганесяном.

Ранее в октябре 2019 года были официально подтверждены два факта утечки персональных данных клиентов в Сбербанке.
Первая утечка произошла из-за целенаправленных умышленных действий сотрудника самой кредитной организации,
а вторая утечка произошла из коллекторского агентства «Национальная служба взысканий», с которым сотрудничал Сбербанк,
где также сотрудник агентства смог скопировать данные клиентов из общей базы.

https://habr.com/ru/news/t/488282/

В России хотят провести эксперимент: обрабатывать биометрию граждан без их письменного согласия

26 июня 2020

Представители Минэкономики предложили
обрабатывать персональные данные россиян без их письменного согласия.
Без вашего ведома биометрические данные не соберут: согласие останется обязательным,
но требовать его на бумаге не будут. Такие поправки ведомство разработало к законопроекту
о «регуляторных песочницах», они предполагают внесение исключений в закон
«О персональных данных», сообщает «Коммерсантъ» со ссылкой на опубликованный документ.

Биометрические персональные данные предлагается обрабатывать без письменного согласия
в случаях, установленных программой экспериментального правового режима.
Например, можно будет удаленно подтверждать личность с помощью биометрии
при покупке SIM-карт без посещения салона.

Сбой в работе Facebook и принадлежащих ей WhatsApp и Instagram
произошел вечером 4 октября, в основном пользователи не могли
подключиться к серверам и отправить сообщения. По данным сервиса
Downdetector, с проблемами столкнулись жители разных стран,
в частности России, Великобритании, США, Германии, Франции и других.
Facebook и Instagram сообщили, что уже работает над восстановлением
работоспособности сервисов.

Кроме того, позднее появились массовые жалобы на работу
Twitter, Telegram, TikTok, Facebook Messenger, Snapchat,
а также сервисов корпораций Amazon и Google.

«У нас нет доказательств того, что данные пользователей были
поставлены под угрозу в результате периода сбоя», — говорится
в заявлении на сайте Facebook.

Также в компании рассказали, что сбой в работе сервиса был вызван
неправильным изменением конфигурации на магистральных маршрутизаторах,
которые отвечают за координацию сетевого трафика между центрами обработки данных.
Данные пользователей при этом не пострадали.е

«Этот сбой в сетевом трафике оказал каскадное воздействие на способ связи
наших центров обработки данных, что привело к тому, что наши службы
перестали работать. <…> Наши сервисы теперь снова подключены к сети,
и мы активно работаем над тем, чтобы полностью вернуть их к обычной работе.
<…> У нас также нет доказательств того, что пользовательские данные были
скомпрометированы в результате этого сбоя», — сообщили в компании.

Как сообщает телеграм-​канал Mash, данные больше чем 1,5 млрд пользователей
фейсбука сейчас продаются на популярном хакерском форуме. «Там имена, емейлы,
телефонные номера, локации, гендеры и id. Это самый большой и значительный слив
данных в ФБ за всю историю»

Web Scrapers Claim to Possess and Sell Personal Data
on 1.5 Billion Facebook Users on a Hacker Forum
Miklos Zoltan
Updated: 4 October 2021
https://www.privacyaffairs.com/facebook … ker-forum/

Цукерберг потерял около 7 млрд.$ после сбоев,
данный коллапс худший с 2008, когда мордокнига
отключалась на сутки.

около 02:00 по Москве серверы очнулись, но осадочек остался,
многие ушли/перешли в Телеграм.

Подробнее см.
https://aftershock.news/?q=node/1020367

⚡️ Криптовалютная биржа BitBuy сообщила об утечке данных
и сильных сбоях на серверах.

---

Также начали появляться сообщения от пользователей
о проблемах на биржах Okex и Gate

Похоже, что у Facebook проблемы не только с DNS, как сообщает Шира Френкель из NYT:

"Только что разговаривала по телефону с человеком, работающим в FB,
который рассказал, что сегодня утром сотрудники не могли войти в здания,
чтобы оценить масштабы сбоя, потому что их бейджи не работали
для доступа к дверям".
 

https://twitter.com/sheeraf/status/1445099150316503057

---

О техническом аспекте проблемы
( там по неясным пока причинам
часть сети как-бы выпала из маршрутизации
из-за каких-то сбоев в работе протоколов
динамической маршрутизации BGP  и
сервиса доменных имен DNS )

https://blog.cloudflare.com/october-202 … ok-outage/

problems outlined in this post but  the problem actually began with a configuration change that affected the entire internal backbone. That cascaded into Facebook and other properties disappearing and staff internal to Facebook having difficulty getting service going again.

Now on to what we saw from the outside.

Meet BGP
BGP stands for Border Gateway Protocol. It's a mechanism to exchange routing information between autonomous systems (AS) on the Internet. The big routers that make the Internet work have huge, constantly updated lists of the possible routes that can be used to deliver every network packet to their final destinations. Without BGP, the Internet routers wouldn't know what to do, and the Internet wouldn't work.

The Internet is literally a network of networks, and it’s bound together by BGP. BGP allows one network (say Facebook) to advertise its presence to other networks that form the Internet. As we write Facebook is not advertising its presence, ISPs and other networks can’t find Facebook’s network and so it is unavailable.

The individual networks each have an ASN: an Autonomous System Number. An Autonomous System (AS) is an individual network with a unified internal routing policy. An AS can originate prefixes (say that they control a group of IP addresses), as well as transit prefixes (say they know how to reach specific groups of IP addresses).

Cloudflare's ASN is AS13335. Every ASN needs to announce its prefix routes to the Internet using BGP; otherwise, no one will know how to connect and where to find us.

Our learning center has a good overview of what BGP and ASNs are and how they work.

In this simplified diagram, you can see six autonomous systems on the Internet and two possible routes that one packet can use to go from Start to End. AS1 → AS2 → AS3 being the fastest, and AS1 → AS6 → AS5 → AS4 → AS3 being the slowest, but that can be used if the first fails.

At 15:58 UTC we noticed that Facebook had stopped announcing the routes to their DNS prefixes. That meant that, at least, Facebook’s DNS servers were unavailable. Because of this Cloudflare’s 1.1.1.1 DNS resolver could no longer respond to queries asking for the IP address of facebook.com.

route-views>show ip bgp 185.89.218.0/23
% Network not in table
route-views>

route-views>show ip bgp 129.134.30.0/23
% Network not in table
route-views>
Meanwhile, other Facebook IP addresses remained routed but weren’t particularly useful since without DNS Facebook and related services were effectively unavailable:

route-views>show ip bgp 129.134.30.0   
BGP routing table entry for 129.134.0.0/17, version 1025798334
Paths: (24 available, best #14, table default)
  Not advertised to any peer
  Refresh Epoch 2
  3303 6453 32934
    217.192.89.50 from 217.192.89.50 (138.187.128.158)
      Origin IGP, localpref 100, valid, external
      Community: 3303:1004 3303:1006 3303:3075 6453:3000 6453:3400 6453:3402
      path 7FE1408ED9C8 RPKI State not found
      rx pathid: 0, tx pathid: 0
  Refresh Epoch 1
route-views>
We keep track of all the BGP updates and announcements we see in our global network. At our scale, the data we collect gives us a view of how the Internet is connected and where the traffic is meant to flow from and to everywhere on the planet.

A BGP UPDATE message informs a router of any changes you’ve made to a prefix advertisement or entirely withdraws the prefix. We can clearly see this in the number of updates we received from Facebook when checking our time-series BGP database. Normally this chart is fairly quiet: Facebook doesn’t make a lot of changes to its network minute to minute.

But at around 15:40 UTC we saw a peak of routing changes from Facebook. That’s when the trouble began.

If we split this view by routes announcements and withdrawals, we get an even better idea of what happened. Routes were withdrawn, Facebook’s DNS servers went offline, and one minute after the problem occurred, Cloudflare engineers were in a room wondering why 1.1.1.1 couldn’t resolve facebook.com and worrying that it was somehow a fault with our systems.

With those withdrawals, Facebook and its sites had effectively disconnected themselves from the Internet.

DNS gets affected
As a direct consequence of this, DNS resolvers all over the world stopped resolving their domain names.

➜  ~ dig @1.1.1.1 facebook.com
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 31322
;facebook.com.    IN A
➜  ~ dig @1.1.1.1 whatsapp.com
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 31322
;whatsapp.com.    IN A
➜  ~ dig @8.8.8.8 facebook.com
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 31322
;facebook.com.    IN A
➜  ~ dig @8.8.8.8 whatsapp.com
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 31322
;whatsapp.com.    IN A
This happens because DNS, like many other systems on the Internet, also has its routing mechanism. When someone types the https://facebook.com URL in the browser, the DNS resolver, responsible for translating domain names into actual IP addresses to connect to, first checks if it has something in its cache and uses it. If not, it tries to grab the answer from the domain nameservers, typically hosted by the entity that owns it.

If the nameservers are unreachable or fail to respond because of some other reason, then a SERVFAIL is returned, and the browser issues an error to the user.

Again, our learning center provides a good explanation on how DNS works.

Due to Facebook stopping announcing their DNS prefix routes through BGP, our and everyone else's DNS resolvers had no way to connect to their nameservers. Consequently, 1.1.1.1, 8.8.8.8, and other major public DNS resolvers started issuing (and caching) SERVFAIL responses.

But that's not all. Now human behavior and application logic kicks in and causes another exponential effect. A tsunami of additional DNS traffic follows.

This happened in part because apps won't accept an error for an answer and start retrying, sometimes aggressively, and in part because end-users also won't take an error for an answer and start reloading the pages, or killing and relaunching their apps, sometimes also aggressively.

This is the traffic increase (in number of requests) that we saw on 1.1.1.1:

So now, because Facebook and their sites are so big, we have DNS resolvers worldwide handling 30x more queries than usual and potentially causing latency and timeout issues to other platforms.

Fortunately, 1.1.1.1 was built to be Free, Private, Fast (as the independent DNS monitor DNSPerf can attest), and scalable, and we were able to keep servicing our users with minimal impact.

The vast majority of our DNS requests kept resolving in under 10ms. At the same time, a minimal fraction of p95 and p99 percentiles saw increased response times, probably due to expired TTLs having to resort to the Facebook nameservers and timeout. The 10 seconds DNS timeout limit is well known amongst engineers.

Impacting other services
People look for alternatives and want to know more or discuss what’s going on. When Facebook became unreachable, we started seeing increased DNS queries to Twitter, Signal and other messaging and social media platforms.

We can also see another side effect of this unreachability in our WARP traffic to and from Facebook's affected ASN 32934. This chart shows how traffic changed from 15:45 UTC to 16:45 UTC compared with three hours before in each country. All over the world WARP traffic to and from Facebook’s network simply disappeared.

The Internet
Today's events are a gentle reminder that the Internet is a very complex and interdependent system of millions of systems and protocols working together. That trust, standardization, and cooperation between entities are at the center of making it work for almost five billion active users worldwide.

Update
At around 21:00 UTC we saw renewed BGP activity from Facebook's network which peaked at 21:17 UTC.

This chart shows the availability of the DNS name 'facebook.com' on Cloudflare's DNS resolver 1.1.1.1. It stopped being available at around 15:50 UTC and returned at 21:20 UTC.

Undoubtedly Facebook, WhatsApp and Instagram services will take further time to come online but as of 21:28 UTC Facebook appears to be reconnected to the global Internet and DNS working again.