LINUX.ORG.RU
ФорумTalks

В даркнете продают базу данных на 3 ТБ, по словам продавца, данные получены после взлома двух российских СМС-агрегаторов

 , , родное начальство


0

2

Здравствуйте мои маленькие любители security и родного начальства. Сегодня я расскажу вам об очередной его победе, на ниве защиты персональных данных:

В даркнете появилось объявление о продаже базы данных объёмом около 3 ТБ, которая, по словам продавца, была получена после взлома двух крупных российских СМС-агрегаторов.

В архиве базы данных содержатся имена пользователей, номера телефонов, IP-адреса, банковские уведомления, коды подтверждения и другие сообщения.

На момент публикации официальных комментариев от компаний-агрегаторов, операторов связи или регуляторов РФ не поступало. Да и вообще это, как водится одно большое:

ВРЁТИ

и

FAKE NEWS

https://habr.com/ru/news/957766/

★★★★★

Последнее исправление: Ygor (всего исправлений: 1)

Это для любителей протухших кодов авторизации? Кому надо, в этом добре уже покопались в момент отправления.

Irma ★★★
()

Привяжите номер телефона, это сделает ваш аккаунт безопасней – говорили они.

Привязка номера телефона в моем рейтинге безопасности:

Пароль 8 символов
Номер телефона
Пароль 6 символов

Как вообще можно полагаться на парашу, которую ты вообще не контролируешь и в любой момент можешь лишиться?

В современном цирке безопасности с номером телефона конкурируют только гребаные секретные вопросы.

MoldAndLimeHoney ★★
()
Последнее исправление: MoldAndLimeHoney (всего исправлений: 2)

Судя по скриншоту на хабре, во всём виноваты анемешники.

apt_install_lrzsz ★★★
()

Надо было бы пояснить, что такое смс-агрегатор. Я вот не знаю что это и искать в инете не стану.

firkax ★★★★★
()

В госреестре они надеюсь зарегистрированы?

foror ★★★★★
()
Ответ на: комментарий от One

вроде даже ФИО не должно быть

А ты попробуй из своей землянки выбраться и воспользоваться современным банкингом.

Применимость нулевая

Что там у тебя за маня мирок с розовыми единорогами? Да эта база кладезь для мошенников всех сортов.

foror ★★★★★
()
Ответ на: комментарий от One

Применимость нулевая, да и у агрегаторов вроде даже ФИО не должно быть

У аггрегаторов ФИО может и нет, зато, при рекламной рассылке, в текст сообщения банки его часто пихают. Да и связка ФИО + номер телефона + список банков, повышает убедительность социнженерии мошенников, особенно в свете того, что они очень любят маскироваться под сотрудников СБ этих самых банков.

QsUPt7S ★★★
()

Приходит хакиръ к доктору и жалуется, мол другой хакиръ продаёт базу на три терабайта, а он не может.
А доктор ему отвечает - а вы тоже так говорите.

imul ★★★★★
()
Ответ на: комментарий от foror

Да эта база кладезь для мошенников всех сортов.

старые коды?

давно уже можно узнать и имя и фамилию по номеру телефона, а по имени и фамилии можно узнать долгах и привязанные банки.

Что там у тебя за маня мирок с розовыми единорогами?

а у тебя?

usi_svobodi
()
Ответ на: комментарий от QsUPt7S

Это все давно есть и на каждого в других базах настолько подробно, что не нужно копать в смс мусоре

One ★★★★★
()
Ответ на: комментарий от foror

«Мой мирок» выдаёт под сотню страниц в телеграм-ботах с адресами доставок и банковскими картами, это мне достаточно, чтобы не охать как местные овуляшки из-за очередной утечки

One ★★★★★
()
Ответ на: комментарий от usi_svobodi

Берёшь номер телефона, вбиваешь в СБП, и получаешь имя-фамилию и привязанные банки. Официально. Легально. Без SMS.

Aceler ★★★★★
()
Ответ на: комментарий от lenin386

лохов и без старых операций разведут и запугают. если идиоты до сих пор верят в «службы безопасности» и «безопасные счета», то «слитая» база сильно хуже не сделает.

вот другое дело, что изза тупых идиотов душат теперь тех, кто умеет сложить 2+2 и не попасться на развод «хлавнохо сотрудника службы безопасности».

usi_svobodi
()

...родного начальства...

«С царём твоим поговорю я утром.»

sparkie ★★★★★
()
Ответ на: комментарий от usi_svobodi

зеленый и желтый банки давно сами себе операторы.

виртуальные операторы не сами себе операторы, своего почти ничего нет

yandrey ★★
()
Ответ на: комментарий от usi_svobodi

Угу.

Знавал я безопасника, вечно спящего. Вот реально, как не зайдёшь к ним в отдел, прямо на столе спит. И всем было пофиг. Ибо блатной.

Вот кому делать нехер было.

sparkie ★★★★★
()
Ответ на: комментарий от MoldAndLimeHoney

Как вообще можно полагаться на парашу, которую ты вообще не контролируешь и в любой момент можешь лишиться?

В ходу будет та безопасность, которую может потянуть среднестатистический пользователь. Он не может создать нормальный пароль, не может его запомнить, не может пользоваться и обеспечивать безопасность своего email. Отсюда повсюду привязка к телефону и вход через коды по смс, так как ничего лучше для широких масс и не придумали.

altwazar ★★★★★
()
Ответ на: комментарий от Aceler

ХЗ куда он перешел - мне СМС до сих пор иногда приходят.

Лет 5 назад у меня данные альфовской карты утекли мгновенно (посл. 4 цифры, ФИО, номер телефона). Злодеи звонили через неделю после выпуска, я карту тока в банкомат раз вставил. Жаловался в СБ альфы - ноль реакции, хотя там все прозрачно, либо сливает базу кто то из сотрудников, либо возле отделения стоит перехватчик SMS.

AntonI ★★★★★
()
Ответ на: комментарий от AntonI

Крот в отделении - вполне вероятный вариант.

Aceler ★★★★★
()

А что за агрегаторы-то? На кой хер эти дебилы имена компаний затёрли?

zabbal ★★★★★
()

ну, как всегда: за что боролись, на то и напоролись. им специалисты по безопасности много раз указывали на то, что чужие данные хранить нельзя. но для идиотов же важнее их личные заскоки и паранойя, чем какая-то там безопасность. и вот результат. вполне ожидаемый и закономерный.

Iron_Bug ★★★★★
()
Последнее исправление: Iron_Bug (всего исправлений: 1)
Ответ на: комментарий от Irma

Это для любителей поиска жертв покрупнее, чтобы тратить потом время в «колл-центре» на тех, у кого мелькают шестизначные переводы и магазины побогаче.

thriller ★★
()

Я качал такие базы, там лютое старье. Ну сам подумай, текст в архиве на 3 Тб. У 2FA токенов время жизни от 30 сек до 30 мин, а тут со времен царя гороха все собрали. Да и откуда у агрегаторов имена пользователей и IP-адреса?

Я уже давно перестал трястить за ПД. Проще белым шумом залить в интернет все свои телефоны, имена, адреса и клички хомячков, как раз чтобы затрахались искать актуальные данные среди 3-терабайтных мусорок.

И кстати, вы не поверите, но ФАС сделали себе крутую онлайн платформу, заявления делаются за пару минут, заседания в онлайне. Последний раз подключился к избиению ссаными тряпками очередного опсоса, приславшего спам-смску, прям в труселях, как идейный удаленщик. А после таких шоу становится тихо как в морге. У меня ПД засвечены в куче банков и все молчат в тряпочку.

Lordwind ★★★★★
()
Последнее исправление: Lordwind (всего исправлений: 1)
Ответ на: комментарий от Lordwind

Да и откуда у агрегаторов имена пользователей и IP-адреса?

Некоторые сервисы присылают тебе одноразовый пароль вместе с айпи, с которого был сделан запрос. Ну вот и можно вычеслить айпи по номеру телефона.

goingUp ★★★★★
()
Последнее исправление: goingUp (всего исправлений: 1)
Ответ на: комментарий от goingUp

Для внутренних 2FA такое есть, да. Когда важно этот IP проверить. Но это не связано с SMS. Ну представь, я вбиваю на сайте банка пароль и мне приходит смс, зачем самому банку сливать мой/свой IP смс-шлюзу. Шлюз получит IP какого-то внешнего сервиса банка, отвечающего за 2FA.

Lordwind ★★★★★
()
Ответ на: комментарий от legolegs

А как принять пуш, если приложение выпинали из стора?

На Андроиде — скачать с сайта банка :)

question4 ★★★★★
()
Ответ на: комментарий от usi_svobodi

зеленый и желтый банки давно сами себе операторы.

Это кто?

Знаю только МТС-банк, но это в другую сторону, и он красный.

question4 ★★★★★
()
Ответ на: комментарий от Aceler

Берёшь номер телефона, вбиваешь в СБП, и получаешь имя-фамилию и привязанные банки.

В моём случае это каким-то образом выдаёт банки, услугами которых я никогда не пользовался.

question4 ★★★★★
()
Ответ на: комментарий от Aceler

Современный банкинг давно перешёл на пуши

Пуши удобнее банку, но не все клиенты хотят пользоваться смартфоном.

question4 ★★★★★
()
Ответ на: комментарий от QsUPt7S

Да и связка ФИО + номер телефона + список банков, повышает убедительность социнженерии мошенников

Большая часть СМС мне идёт от банков, с которыми я имел дело 1 раз и остался недоволен :)

question4 ★★★★★
()
Ответ на: комментарий от QsUPt7S

Да и связка ФИО + номер телефона + список банков, повышает убедительность социнженерии мошенников

Есть такая хрень, но на дает сбои когда нет списка банков.

anc ★★★★★
()
Ответ на: комментарий от firkax

Вместо того чтоб пригорать лучше бы всё же поискал в инете - глядишь впервые не выглядел бы идиотом.

zabbal ★★★★★
()
Ответ на: комментарий от altwazar

В ходу будет та безопасность, которую может потянуть среднестатистический пользователь.

Вообще ни разу. Как и в случае с программированием, тут почти целиком дело в моде среди безопасников и в том, что прописано в их нормативных актах. Которые к реальности могут иметь примерно нулевое отношение, как и любое порождение больного воображения бюрократа.

Он не может создать нормальный пароль, не может его запомнить, не может пользоваться и обеспечивать безопасность своего email.

Никто не может. Для этого придумали менеджеры паролей, чтобы не запоминать 100500 сложных паролей.

Отсюда повсюду привязка к телефону и вход через коды по смс, так как ничего лучше для широких масс и не придумали.

И как? Помогло? Аккаунты перестали утекать?

hateyoufeel ★★★★★
()
Последнее исправление: hateyoufeel (всего исправлений: 1)
Ответ на: комментарий от firkax

За то время что ты тупишь в комментах ты бы уже давно всё нашёл в интернете и не позорился, бравируя своим неосиляторством.

zabbal ★★★★★
()
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.