В июле 2020 года на французской платформе электронной коммерции WiziShop (wizishop.fr) произошла утечка данных. В результате взлома было получено 18 ГБ данных, включая имена, номера телефонов, даты рождения, физические и IP-адреса, хэши паролей SHA-1 и почти 3 миллиона уникальных адресов электронной почты.

В октябре 2020 года в продаже появилась БД тайского ресторана, отеля и службы поиска достопримечательностей Wongnai (wongnai.com).
В результате взлома было выявлено почти 4 миллиона (3.924.454) уникальных записей клиентов за период 2020 года, а также имена, номера телефонов, ссылки на профили в социальных сетях и пароли, хранящиеся в виде хэшей MD5.

В сети появились в продаже БД следующих сервисов, общим количеством записей в 34 миллиона:

✔️ Redmart.lazada.sg: email, пароли (SHA1), почтовые и платежные адреса, полные имена пользователей, номера телефонов, частичные номера кредитных карт и даты истечения их срока действия;
✔️ Everything5pounds.com: email, хешированные пароли, имена, пол, номера телефона;
✔️ Geekie.com.br: email, пароли (bcrypt-sha256/sha512), username, имена, DoB, пол, номер мобильного телефона, бразильские номера CPF;
✔️ Cermati.com: email, пароли (bcrypt), имена, адреса, телефоны, информация о доходах, банк, номер налогоплательщика, номер ID, пол, данные о работе, компании, девичья фамилия матери;
✔️ Clip.mx: email, телефон;
✔️ Katapult.com: email, пароли (pbkdf2-sha256/неизвестно), имена;
✔️ Eatigo.com: email, пароли (md5), имена, телефоны, пол, идентификаторы и токены Facebook;
✔️ Wongnai.com: email, пароли (md5), IP-адреса, идентификаторы Facebook и Twitter, имена, дата рождения, телефоны, почтовые индексы;
✔️ Toddycafe.com: email, пароли, имена, телефоны, адреса;
✔️ Game24h.vn: email, пароли (md5), username, даты рождения, имена;
✔️ Wedmegood.com: email, парои (sha512), телефоны, идентификаторы Facebook;
✔️ W3layouts.com: email, пароли (bcrypt), IP-адреса, страны, города, штаты, телефоны, имена;
✔️ Apps-builder.com: email, пароли (md5crypt), IP-адреса, имена, страны;
✔️ Invideo.io: email, пароли (bcrypt), имена, телефоны;
✔️ Coupontools.com: email, пароли (bcrypt), имена, телефоны, пол, даты рождения;
✔️ Athletico.com.br: email, пароли (md5), имена, CPF, даты рождения;
✔️ Fantasycruncher.com: email, пароль (bcrypt/sha1), username, username, IP-адреса.

Стоит отметить, что данные сервиса Wongnai.com уже начали появляться в агрегаторах утечек.
Ждём остальные 🤘🏻

ИБ-исследователь Боб Дьяченко сообщил, что GrowDiaries, сайт сообщества, где производители каннабиса могут вести журнал и делиться информацией о росте своих растений, раскрыл более 3,4 млн записей его участников.

Незащищенная база данных обнаружилась в сети 10 октября 2020 года. Она включает 1,4 млн записей с адресами электронной почты и IP-адресами пользователей GrowDiaries, а также 2 млн записей сообщений и хешированные пароли учетных записей. Пароли хешировались с использованием MD5, устаревшего алгоритма, который легко взломать, чтобы получить доступ к обычным текстовым паролям.

База данных включала два блока. Первый состоял из 1 427 347 записей, содержащих адреса электронной почты, IP-адреса, имена пользователей. Второй, названный «отчетами», включал около 2 млн записей: публикации пользователей, включая обновления, вопросы и ответы, MD5-хешированные пароли учетной записи, URL изображений, метки времени публикации, адреса электронной почты и имена.

В июне 2020 года в продаже появилась БД бразильской службы доставки «James» (jamesdelivery.com.br). Взлом произошел в марте 2020 года и раскрыл 1,5 миллиона уникальных адресов электронной почты, местоположения клиентов, выраженных в долготе и широте, и пароли, хранящиеся в виде хэшей bcrypt.

В свободном доступе оказался дамп ресурса «РЖД Бонус» (rzd-bonus.ru). База данных размером свыше 2 Гб насчитывает более 1,36М строк и раскрывает данные об адресах электронных почт и хэшированных паролях пользователей, а также их IP адресах.

Расскажите друзьям о нашем канале @data1eaks. А мы и дальше будем писать вам об утечках баз данных.

В октябре 2020 года появились новости об утечке данных Lazada RedMart, содержащих записи за июль 2020 года. БД содержит 1,1 миллиона адресов электронной почты клиентов, а также имена, номера телефонов, физические адреса, частичные номера кредитных карт и пароли, хранящиеся в виде хэшей SHA-1.

Примерно в середине 2020 года в Mashable (mashable.com) произошла утечка данных, которая впоследствии была опубликована в ноябре 2020 года. Данные включали 1,4 миллиона уникальных адресов электронной почты, а также имена, пол, истекшие токены аутентификации, физическое местоположение, ссылки на профили в социальных сетях, а также дни и месяцы рождения пользователей.

В октябре 2020 года в онлайн-игре для детей Animal Jam произошла утечка данных, которая впоследствии была передана через даркнет-сообщество хакеров в открытый доступ. Данные содержали 46 миллионов учетных записей пользователей с более чем 7 миллионами уникальных адресов электронной почты. Затронутые данные также включали имена пользователей, IP-адреса и для некоторых записей даты рождения (иногда в частичной форме), физические адреса, имена родителей и пароли, хранящиеся в виде хэшей PBKDF2.

В марте 2020 года сайт стоковых фотографий 123RF (123rf.com) пострадал от утечки данных, которая затронула более 8 миллионов подписчиков и впоследствии была распространена в Интернете. Взлом включал электронные почты, IP и физические адреса, имена, номера телефонов и пароли, хранящиеся в виде хэшей MD5, подавляющее большинство которых удалось расшифровать.

Японская корпорация Capcom пострадала от взлома и утечки данных.
Известно, что в ходе инцидента хакеры получили доступ к именам клиентов (350 000 записей), их адресам, номерам телефонов, адресам электронной почты, датам рождения, фото, именам инвесторов, а также информации о количестве пакетов акций.

О бывших и настоящих сотрудниках Capcom злоумышленники тоже сумели узнать немало: имена, адреса, паспортные данные, подписи, даты рождения, номера телефонов, фотографии, адреса электронной почты и многое другое.

В открытом доступе оказался июльский дамп сайта Московского международного дома музыки (mmdm.ru).
База включает в себя данные об электронных почтах, именах, юзернеймах и более чем 80 тысячах телефонов пользователей, зарегистрированных на ресурсе.

В открытый доступ попали личные и медицинские данные 16 млн бразильцев, лечившихся от коронавируса. Две базы содержали конфиденциальные данные, включая имена пациентов, адреса, данные удостоверений личности, а также медицинские записи, в том числе истории болезней и режимы приема лекарств.

В открытый доступ попали данные о клиентах (около 230 000 записей) Jivo.ru — чата для сайтов и инструмент для общения с клиентами в социальных сетях, мессенджерах и мобильных приложениях.
В сеть данные попали из-за неправильно сконфигурированного сервера ElasticSearch компании.

В октябре 2018 года сервис интернет-телевидения "Pluto TV" (pluto.tv) пострадал от утечки данных, которая затем широко распространилась в хакерских сообществах. БД Pluto TV содержала 3,2 млн уникальных адресов электронной почты и IP, имен, имен пользователей, полов, дат рождения и паролей, хранящихся в виде хэшей bcrypt.

В открытом доступе оказался дамп ресурса memorybreak.com актуальностью на ноябрь 2020 года. База содержит данные о 40 тысячах пользователей. Основные поля в БД:
✏️ Username
✏️ Email
✏️ Hash passwd (md5)

В июне 2020 года производитель аппаратных криптокошельков Ledger (ledger.com) пострадал от утечки данных, в результате которой было обнаружено более 1 миллиона адресов электронной почты. Данные были первоначально в продаже, а затем публично обнародованы в декабре 2020 года на хак форумах и включали имена, физические адреса и номера телефонов клиентов.