В DLBI обнаружили данные своих сотрудников в опубликованном в открытом доступе файле с ПД пользователей ДИТ Москвы

от автора

Эксперты сервиса разведки утечек данных и мониторинга даркнета DLBI обнаружили данные себя и своих родственников в опубликованном в открытом доступе файле с персональными данными пользователей сервисов Департамента информационных технологий (ДИТ) Москвы.

Небольшое дополнение относительно выложенного вчера в свободный доступ файла с названием «Департамент информационных технологий города Москвы_2023.csv».

  1. Этот файл содержит некоторую часть (больше трети) намеренно искаженных данных. У части телефонных номеров заменены отдельные цифры, а в датах рождения год уменьшен на 2 или 3. Кроме того, файл содержит много дублей, поэтому реальное количество уникальных номеров телефонов почти в два раза меньше общего количества строк в файле.

Подчеркиваем, что речь идет о том, что некий торговец данными специально испортил один из вариантов дампа, выдержка из которого потом и попала в открытый доступ в виде этого файла. Точно такие же махинации с данными уже были замечены ранее на других дампах, распространяемых одним и тем же источником.

  1. Данные в этом файле представляют собой выборку из «приватного» дампа, содержащего больше полей. Помимо уже упомянутых ранее номеров полисов ОМС и социальной карты москвича, полный дамп содержит другие малоинформативные поля (например, vote_deg2021, covid_vaccinated и других).

  2. Те строки в файле, которые не подверглись намеренному искажению, представляют собой действительный набор персональных данных реальных людей. Мы смогли обнаружить свои собственные данные и данные наших родственников. Причем в «приватном» дампе для этих записей содержится такой набор флагов, который не мог быть взят из других, ранее известных утечек.

  3. Достоверно нельзя утверждать, что утечка произошла именно из инфраструктуры Департамента информационных технологий города Москвы (ДИТ), но однозначно это не «компиляция различных фрагментов данных, опубликованных ранее в открытых источниках и ресурсах», о которой пишут (а по факту просто цитируют официальное заявление ДИТ) доморощенные разоблачители фейков, не имеющие никакого отношения к анализу утечек.

Как уже было написано выше, нет никаких известных (а тем более «опубликованных ранее в открытых источниках») других утечек, где содержались бы флаги mosru, gos_employee, emias, ag (Активный Гражданин), номера социальных карт москвичей и тому подобное).

Ранее в Департаменте информационных технологий (ДИТ) Москвы назвали компиляцией опубликованную в открытом доступе базу с персональными данными пользователей, включая ФИО, данные паспортов, свидетельств о рождении и адреса регистрации.

В пресс-службе ДИТ Москвы сообщили СМИ, что выложенная информация, согласно результатам предварительного анализа, представляет собой компиляцию данных, полученных в ходе взлома других систем, и сведений из открытых источников.

«Специалисты департамента информационных технологий совместно с вендорами и представителями регуляторов изучают опубликованную в интернете информацию. Сбоев в работе систем, фактов нарушения целостности, доступности или конфиденциальности информации также не зафиксировано», — рассказали СМИ в ДИТ Москвы.

10 июня DLBI опубликовали информацию, что в открытый доступ был выложен текстовый файл с названием «Департамент информационных технологий города Москвы_2023.csv», который содержит 13 462 446 строк, включая:

• ФИО;
• номер телефона (7,2 млн уникальных номеров);
• адрес электронной почты (4,8 млн уникальных адресов, более 16 тыс. адресов электронной почты находятся на домене {@}mos.ru);
• адрес регистрации и фактического места жительства;
• даты рождения;
• серию/номер паспорта или свидетельства о рождении;
• место рождения.

По данным DLBI, этот дамп давно находился в продаже и закрытом обмене, немного в другом формате. Более полный дамп содержит еще номера полисов ОМС и социальной карты москвича. Актуальность данных — сентябрь 2023 года.

В апреле 2024 года в DLBI сообщили, что хакеры якобы провели попытку проникновения в сеть ДИТ Москвы. По утверждению хакеров, инцидент с первоначальным взломом IT-инфраструктуры произошёл год назад, далее они смогли некоторое время находится в сети ДИТ и, якобы, выкачать около 40 ТБ различных данных.

В качестве подтверждения хакеры предоставили дамп базы данных с таблицей пользователей (cwd_user) внутреннего ресурса jira.cdp.local. Таблица содержит 335 586 строк, включая имя пользователя, ФИО, адрес электронной почты (288 395 адресов на домене [@]mos[.]ru),
дату регистрации и обновления записи (с 24.05.2019 по 20.06.2023), дополнительные идентификаторы, а также несколько скриншотов (1, 2, 3), предположительно полученные из внутренней сети организации.

В ДИТ ситуацию с хакерами тогда никак не прокомментировали.

База «с большой долей вероятности является частью крупной утечки, происшедшей летом-осенью прошлого года», уточнил СМИ основатель DLBI Ашот Оганесян. По его словам, хакеры заявили о взломе ряда городских ресурсов (ЕМИАС, ИС УДРВС, портал мэра Москвы, СУДИР) в апреле 2024 года. С конца 2023 года в закрытой продаже присутствует более полный, чем опубликованный, вариант базы, содержащий также данные полисов ОМС и социальных карт: «При этом постепенное снижение цены на эту базу свидетельствовало о разочаровании мошенников в возможности ее продать и бесполезности содержащихся в ней данных».

«Ну это какие-то сказки корпоративных безопасников. Любимая отмазка «это не у нас, это компиляция», в реальности такого практически не бывает, только совсем на кидальных форумах и в некоторых телеграм каналах. Но по базе в паблике есть такой момент — это испорченная база. Кто-то намеренно изменил некоторые цифры в некоторых телефонах и в датах рождения несовершеннолетних. В полной базе из привата такого нет», — пояснил для Хабра основатель сервиса поиска утечек и мониторинга даркнета DLBI Ашот Оганесян.


ссылка на оригинал статьи https://habr.com/ru/articles/820929/


Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *