В DLBI обнаружили данные своих сотрудников в опубликованном в открытом доступе файле с ПД пользователей ДИТ Москвы

Небольшое дополнение относительно выложенного вчера в свободный доступ файла с названием "Департамент информационных технологий города Москвы_2023.csv".

1. Этот файл содержит некоторую часть (больше трети) намеренно искаженных данных. У части телефонных номеров заменены отдельные цифры, а в датах рождения год уменьшен на 2 или 3. Кроме того, файл содержит много дублей, поэтому реальное количество уникальных номеров телефонов почти в два раза меньше общего количества строк в файле.

Подчеркиваем, что речь идет о том, что некий торговец данными специально испортил один из вариантов дампа, выдержка из которого потом и попала в открытый доступ в виде этого файла. Точно такие же махинации с данными уже были замечены ранее на других дампах, распространяемых одним и тем же источником.

2 Данные в этом файле представляют собой выборку из «приватного» дампа, содержащего больше полей. Помимо уже упомянутых ранее номеров полисов ОМС и социальной карты москвича, полный дамп содержит другие малоинформативные поля (например, vote_deg2021, covid_vaccinated и других).

3. Те строки в файле, которые не подверглись намеренному искажению, представляют собой действительный набор персональных данных реальных людей. Мы смогли обнаружить свои собственные данные и данные наших родственников. Причем в «приватном» дампе для этих записей содержится такой набор флагов, который не мог быть взят из других, ранее известных утечек.

4 Достоверно нельзя утверждать, что утечка произошла именно из инфраструктуры Департамента информационных технологий города Москвы (ДИТ), но однозначно это не «компиляция различных фрагментов данных, опубликованных ранее в открытых источниках и ресурсах», о которой пишут (а по факту просто цитируют официальное заявление ДИТ) доморощенные разоблачители фейков, не имеющие никакого отношения к анализу утечек.

Как уже было написано выше, нет никаких известных (а тем более «опубликованных ранее в открытых источниках») других утечек, где содержались бы флаги mosru, gos_employee, emias, ag (Активный Гражданин), номера социальных карт москвичей и тому подобное).

Ранее в Департаменте информационных технологий (ДИТ) Москвы назвали компиляцией опубликованную в открытом доступе базу с персональными данными пользователей, включая ФИО, данные паспортов, свидетельств о рождении и адреса регистрации.

В пресс-службе ДИТ Москвы сообщили СМИ, что выложенная информация, согласно результатам предварительного анализа, представляет собой компиляцию данных, полученных в ходе взлома других систем, и сведений из открытых источников.

«Специалисты департамента информационных технологий совместно с вендорами и представителями регуляторов изучают опубликованную в интернете информацию. Сбоев в работе систем, фактов нарушения целостности, доступности или конфиденциальности информации также не зафиксировано», — рассказали СМИ в ДИТ Москвы.

10 июня DLBI опубликовали информацию, что в открытый доступ был выложен текстовый файл с названием "Департамент информационных технологий города Москвы_2023.csv", который содержит 13 462 446 строк, включая:

• ФИО;
• номер телефона (7,2 млн уникальных номеров);
• адрес электронной почты (4,8 млн уникальных адресов, более 16 тыс. адресов электронной почты находятся на домене {@}mos.ru);
• адрес регистрации и фактического места жительства;
• даты рождения;
• серию/номер паспорта или свидетельства о рождении;
• место рождения.

По данным DLBI, этот дамп давно находился в продаже и закрытом обмене, немного в другом формате. Более полный дамп содержит еще номера полисов ОМС и социальной карты москвича. Актуальность данных — сентябрь 2023 года.

В апреле 2024 года в DLBI сообщили, что хакеры якобы провели попытку проникновения в сеть ДИТ Москвы. По утверждению хакеров, инцидент с первоначальным взломом IT-инфраструктуры произошёл год назад, далее они смогли некоторое время находится в сети ДИТ и, якобы, выкачать около 40 ТБ различных данных.

В качестве подтверждения хакеры предоставили дамп базы данных с таблицей пользователей (cwd_user) внутреннего ресурса jira.cdp.local. Таблица содержит 335 586 строк, включая имя пользователя, ФИО, адрес электронной почты (288 395 адресов на домене [@]mos[.]ru),
дату регистрации и обновления записи (с 24.05.2019 по 20.06.2023), дополнительные идентификаторы, а также несколько скриншотов (1, 2, 3), предположительно полученные из внутренней сети организации.

В ДИТ ситуацию с хакерами тогда никак не прокомментировали.

База «с большой долей вероятности является частью крупной утечки, происшедшей летом-осенью прошлого года», уточнил СМИ основатель DLBI Ашот Оганесян. По его словам, хакеры заявили о взломе ряда городских ресурсов (ЕМИАС, ИС УДРВС, портал мэра Москвы, СУДИР) в апреле 2024 года. С конца 2023 года в закрытой продаже присутствует более полный, чем опубликованный, вариант базы, содержащий также данные полисов ОМС и социальных карт: «При этом постепенное снижение цены на эту базу свидетельствовало о разочаровании мошенников в возможности ее продать и бесполезности содержащихся в ней данных».

«Ну это какие-то сказки корпоративных безопасников. любимая отмазка "это не у нас, это компиляция". в реальности такого практически не бывает, только совсем на кидальных форумах и в некоторых телеграм каналах. Но по базе в паблике есть такой момент — это испорченная база. Кто-то намеренно изменил некоторые цифры в некоторых телефонах и в датах рождения несовершеннолетних. В полной базе из привата такого нет», — пояснил для Хабра основатель сервиса поиска утечек и мониторинга даркнета DLBI Ашот Оганесян.