Pereiti prie turinio

Internete nutekinta „CityBee“ vartotojų duomenų bazė: vardai, pavardės, asmens kodai


Rekomenduojami pranešimai

Nieko nenoriu pasakyti, tiesiog pasidalinau info. Sunku dabar kazka sakyti, nezinant visos informacijos. As manau, kad tas, kas pardavineja duombaze Raid forume nera tas pats asmuo, kuris nulauze, manau duomenys buvo pardavinejami daug brangiau dark web'e anksciau, bet cia grynai mano nuomone. Nes jei 2018 02 27 duombaze, tai cia beveik 3 metai praeje. Butu logiska kuo daugiau naudos gaut is to, ir iskart neviesinti to. Aisku, galbut duombazes kopija tik veliau gauta, sunku dabar pasakyti.

Nuoroda į pranešimą
Dalintis kituose puslapiuose

duombazė naujesnė, aš registravaus 2018 rugsėjį, be to passworda keičiau 2019 pradžioje ir nuleakintas jau tas naujas passwordas po pakeitimo.

 

 

Nieko nenoriu pasakyti, tiesiog pasidalinau info. Sunku dabar kazka sakyti, nezinant visos informacijos. As manau, kad tas, kas pardavineja duombaze Raid forume nera tas pats asmuo, kuris nulauze, manau duomenys buvo pardavinejami daug brangiau dark web'e anksciau, bet cia grynai mano nuomone. Nes jei 2018 02 27 duombaze, tai cia beveik 3 metai praeje. Butu logiska kuo daugiau naudos gaut is to, ir iskart neviesinti to. Aisku, galbut duombazes kopija tik veliau gauta, sunku dabar pasakyti.

Nuoroda į pranešimą
Dalintis kituose puslapiuose

Įdomu, kokiais duomenimis CityBee remiasi informuodami klientus, kad jų duomenys buvo pavogti. Pirmoje temoje, kur yra parduodami duomenys, rašo, kad yra 110,301 customers įrašų, o temoje, kur parduodama visa bazė, rašoma, kad customers yra 114,253. Tai čia 4k skirtumas, kurie galbūt neinformuoti ir apie tai nežino, arba duomenys pirmuoju atveju buvo apvalyti. Kiek suprantu csv failas, kuris pasklido ir visi neoficialūs puslapiai, kurie leidžia pasitikrinti, ar duomenys buvo pavogti remiasi 110k sąrašu.

Redagavo RmN
Nuoroda į pranešimą
Dalintis kituose puslapiuose

Tai jaučiu ir adresas buvo privalomas, sąskaitoms siųst jei ką.

 

Tai dabar jau aišku kad ir teisių numeris nuleakintas, o kai kurie "bankai" priima tai kaip valid doką. Jeigu turi teisių numerį ir a. k. kažin gali tuo vardu pasidaryt fake teises ir po to naudot įvairiais tikslais?

Nuoroda į pranešimą
Dalintis kituose puslapiuose

https://rekvizitai.vz.lt/en/company/prime_leasing/

 

Čia rimtai pas juos vid. alga nesiekia 1k? Tai apie kokius IT specialistus ir kokybę galim kalbėt.

 

https://rekvizitai.vz.lt/en/company/pudex/ average virs 3k eur, ar ne per gerai kai Lietuvoje o didžioji dalis darbuotoju tik supportas

Nuoroda į pranešimą
Dalintis kituose puslapiuose

Tai jaučiu ir adresas buvo privalomas, sąskaitoms siųst jei ką.

 

Tai dabar jau aišku kad ir teisių numeris nuleakintas, o kai kurie "bankai" priima tai kaip valid doką. Jeigu turi teisių numerį ir a. k. kažin gali tuo vardu pasidaryt fake teises ir po to naudot įvairiais tikslais?

 

Kuris bankas priima teisių numerį kaip valid doką?

Nuoroda į pranešimą
Dalintis kituose puslapiuose

Nuejo veltui bent jau man sita diena, ka padarysi. Is kitos puses yra ir teigiamu dalyku, nes tiesiog ismokau kaip saugiau rupintis savo duomenimis.

 

Informacijos sita tema jau daug, truputi susisteminsiu informacija, kadangi daug atidarytu langu narsykleje :D

 

Dazniausiai uzduodami klausimai:

 

1. Ar as papuoliau i nutekinta sarasa?

 

Galit pasitikrinti cia -

 

https://bln.lt/armaneirgi/

arba

https://personal-lg76.outsystemscloud.com/CityBeeLeak/

 

Kaip tai veikia? Tiesiog patikrina nutekintoj duombazej ar nera jusu emeilo. Aciu tiems kas situos sukure. Ar jie patys nerenka jusu ivesto emeilo, to nezinau :D

 

2. Kur isigyti duombaze?

 

Nutekinta duombaze galima nusipirkti uz 8 eur Raid forume. Turbut jau yra ir kitu vietu, as pirmasyk radau cia. Tai yra trumpesne duombazes versija be adresu ir registracijos numeriu, pilna duombaze (su gyv vietos adresais) buvo pardavinejama uz 1k usd. Patarciau nepirkti ir neremti tu paciu hakeriu, bet ne man sprest del to.

 

3. Kur galiu daugiau pasiskaityti apie tai?

 

15min, delfi, lrytas ir pan. jau rasite straipsniu apie tai. Nemazai nukentejusiu susirinko i ww.facebook.com/groups/helpcitybee ir ten dalinasi turima informacija, todel ten yra labai daug informacijos, kuria patys turesite atsirinkti.

 

4. Ar nutekinta mokomosios korteles?

 

Citybee teigia, kad nekaupia tokiu duomenu (jie neturi PCI DDS sertifikato leidziancio laikyti tokius duomenis), todel del sito turbut galima nepanikuoti.

 

5. Ka dabar daryti?

 

Tiesiog nukopijavau informacija zemiau.

 

Skelbiame rekomendacijas klientams, nukentėjusiems nuo duomenų vagystės.

 

Siekiant sumažinti rizikas, su kuriomis gali susidurti nuo duomenų vagystės nukentėję „CityBee“ klientai, skelbiame sąrašą, kuriame pateikiama detali informacija apie pavogtų duomenų pobūdį bei tai, kaip galite sumažinti kylančias grėsmes.

 

Patarimai, ką galima atlikti, kad būtų sumažinta rizika:

 

Slaptažodžiai – pasinaudodami informacija, nusikaltėliai gali bandyti prisijungti prie nukentėjusiųjų el. pašto, „Facebook“ ar kitų paslaugų paskyrų, ir prieiti prie ten saugomos informacijos. Todėl rekomenduojama pasikeisti kitų paslaugų paskyrų slaptažodžius, jei buvo naudoti tokie patys ar panašūs, kaip ir jungiantis prie „CityBee“ paskyros. „CityBee“ slaptažodžio keisti būtinybės nėra. Ten, kur įmanoma, taip pat rekomenduojama jungiantis prie sistemų naudoti dviejų žingsnių autentifikaciją.

 

Asmens kodai – mažai tikėtina, tačiau gali būti bandoma jais pasinaudoti, apsimetant kitu asmeniu. Todėl apie tai, jog jūsų asmens kodas galėjo būti paviešintas, praneškite savo bankams, lizingo bendrovėms ir draudikams. Rekomenduojame susikurti paskyrą „Mano Creditinfo“ portale (www.manocreditinfo.lt) ir užsisakyti asmens tapatybės apsaugos paslaugą „Apsaugok savo tapatybę visus metus“, apsaugančią nuo greitųjų kreditų, lizingo, kitų paslaugų gavimo jums nežinant. Mūsų partnerių „Creditinfo Lietuva“ dėka šią paslaugą iki š. m. vasario 23 d. galima aktyvuoti už simbolinį 0,01 Eur mokestį, kurį jums kompensuosime.

 

Telefono numeriai – nukentėję asmenys gali sulaukti daugiau nepageidaujamo turinio (brukalų) žinučių, sukčių bandymų, prisidengiant įvairiais paslaugų teikėjais, išvilioti papildomus asmens duomenis (phishing ir pan.) mažiau tikėtina – skambučių. Todėl būtina išlaikyti budrumą.

 

El. pašto adresai – nukentėję klientai gali sulaukti daugiau nepageidaujamo turinio (brukalų) žinučių, sukčių bandymų, prisidengiant įvairiais paslaugų teikėjais, išvilioti papildomus asmens duomenis (phishing ir pan.) todėl būtina išlaikyti budrumą ir nespausti jokių nežinomų ar įtartinų nuorodų, nesuvedinėti duomenų.

 

Mokėjimo kortelės – „CityBee“ niekada nekaupė klientų mokėjimo kortelių duomenų, todėl jie negalėjo patekti programišiams į rankas.

 

Vairuotojų pažymėjimai – dabartinėmis žiniomis, klientų vairuotojų pažymėjimų kopijos nebuvo pavogtos. Neteisėtai gauti ir paviešinti buvo vairuotojų pažymėjimų numeriai ir galiojimo datos.

 

Paaiškėjus naujai informacijai, pateiksime papildomas rekomendacijas, jei to prireiks.

Nuoroda į pranešimą
Dalintis kituose puslapiuose

1. Did the citybee company come up by chance? Have you watched the company here before?

 

It was random. I have a scanner running 24/7. Never heard of the company before the leak

 

 

2. Lithuania is a small country. Do citybee users need to worry about their data leaking? There are basically credit cards, can credit card details be found in the database?

 

 

There isnt credit card numbers but credit card tokens, credit card type(master card, visa) zip and id which links the customer to the customer table

 

 

3. Citybee says he has handed over all the material to the police and an exchange investigation has been launched, what do you think about that? Can that stop you?

 

 

The police are too small in order to escalate this. I live outside Europe and America.

 

4. What companies are currently in your spotlight?

 

Mostly europeon companys and a big indian news source

 

 

5. Why are you doing this? What is the reason for all this? Is it just for money or a hobby?

 

Well leaking data helps build my reputation in order to sell more data. Coding for me is a hobby and job.

 

6. Were you able to sell at least one copy of the entire citybee database?

 

I was able to sell multiple copys but mostly to researchers

Nuoroda į pranešimą
Dalintis kituose puslapiuose

......

 

Vairuotojų pažymėjimai – dabartinėmis žiniomis, klientų vairuotojų pažymėjimų kopijos nebuvo pavogtos. Neteisėtai gauti ir paviešinti buvo vairuotojų pažymėjimų numeriai ir galiojimo datos.

 

......

 

Per konferencija lyg sake kad nekaupia pazymejimu kopiju visai (apart numerio ir galiojimo ka jau matem), dabar raso kad kaip ir tos info nepavoge :)

 

Tam raid forumuj matosi toks suaktyvejimas 3500+ active useriu (posto metu), kurio turbut patys nesitikejo.

 

Irgi tema del citybee pas juos: https://raidforums.c...cted-by-citybee

Redagavo IRUnnamed
Nuoroda į pranešimą
Dalintis kituose puslapiuose

Užėjau pažiūrėt į fb ar niekas nebuvo prisijungęs ir pamačiau kelis keistus prisijungimus. Sprendžiant pagal datas turbūt nesusiję su citybee, bet visgi įdomu ar čia grybauja vietos nustatymas ar iš tikro kažkas buvo prisijungęs, nes toje Lietuvos pusėje tuo laiku tikrai nebuvau, juolab su PC.

post-79777-0-90101800-1613545683_thumb.jpg

Nuoroda į pranešimą
Dalintis kituose puslapiuose

Dabar irgi parašė kad nepasinaudos paskyromis ir kortelėmis. Neesmė kad ir greitąjį kreditą kad išsiimt užtenka A. K...

Pažiūrėsim ar kam nors pavyks pasiimti paskolą mano vardu, nes man pačiam neduoda..

Nuoroda į pranešimą
Dalintis kituose puslapiuose

PAPILDYTA 2021-02-16 23:36:00

 

SAVASKAMPAS REDAKCIJA SUSISIEKĖ NURODYTAIS KONTAKTAIS ASMENIU, KURIS GALIMAI PAVOGĖ CITYBEE DUOMENŲ BAZĘ.

 

 

1. Ar „citybee“ kompanija atsirado atsitiktinai? Ar anksčiau stebėjote šią kompaniją?

Tai buvo atsitiktinė kompanija. Turiu skaitytuvą (programinę įrangą), veikiantį visą parą. Niekada negirdėjau apie įmonę prieš duomenų nutekėjimą.

 

 

 

2. Lietuva yra maža šalis. Ar „citybee“ vartotojai turi jaudintis dėl savo duomenų paviešinimo? Esmė yra kreditinės kortelės, ar kreditinės kortelės duomenis galima rasti duomenų bazėje?

Nėra kredito kortelės numerių, tačiau yra kreditinės kortelės žetonai (pirminės sąskaitos numeris (PAN)), kredito kortelės tipas (mastercard, viza) pašto kodas ir ID, kurie susieja klientą su kliento lentele duomenų bazėje.

 

 

3. „Citybee“ teigia perdavęs visą medžiagą policijai ir pradėtas ikiteisminis tyrimas, ką jūs apie tai galvojate? Ar tai gali jus sustabdyti?

Policija yra per maža šiuo atveju, kad tai eskaluotų. Aš gyvenu ne Europoje ir ne Amerikoje.

 

 

 

4. Kokios kitos įmonės šiuo metu yra jūsų dėmesio centre?

Daugiausia Europos bendrovės ir didelis Indijos naujienų šaltinis

 

 

 

5. Kodėl tu tai darai? Kokia viso to priežastis? Ar tik dėl pinigų ar tai tavo hobis?

Nutekinti duomenys padeda man sukurti reputaciją, kuri man padeda parduoti kuo daugiau nutekintų duomenų. Programavimas yra mano hobis ir darbas.

 

 

 

6. Ar pavyko parduoti bent vieną visos „CityBee“ duomenų bazės kopiją?

Galėjau parduoti kelias kopijas, bet daugiausia tyrėjams.

Nuoroda į pranešimą
Dalintis kituose puslapiuose

tai visgi sudetingesnius slaptazodzius naudojant, tai yra dar didesne rizika, kad atskleis? istiek kiekvieno galvoje kazkokia struktura

 

Taprasme? :) Na ne, sudėtingesnis slaptažodis reiškia, kad reikės daugiau resursų norint decryptinti. Galiausiai tokių slaptažodžių, kurie yra sąlyginai ilgi, turi įvairius simbolius, didžiąsias/mažąsias raides ir t.t užtrunka n kartų ilgiau iššifruoti ir prieinama iki to, kad paprasčiausiai tampa neįmanoma pagal šių dienos kompiuterių pajėgumus :) jeigu tavo slaptažodis tėra dažnai vartojamas žodis - praktiškai 100% tikimybė, kad užtruks milisekundę iššifruoti, kadangi duomenų bazėje bus sulyginamas hashas su jau turimais hashais ir tuomet bus žinoma kas už jo slepiasi :)

 

Trumpai šnekant kodėl ant Citybee visi pyksta - nes SHA-1 jau nuo 2017 yra niekur nerekomenduojamas naudoti ir yra SHA-2, SHA-3 šifravimo algoritmai. Tuo labiau, kad Salt nenaudojo apie kurį kiekvienas universiteto studentas žino, kadangi dar antram kurse yra šnekama kaip tai svarbu... :)

Redagavo ReborN
Nuoroda į pranešimą
Dalintis kituose puslapiuose

PAPILDYTA 2021-02-16 23:36:00

 

 

2. Lietuva yra maža šalis. Ar „citybee“ vartotojai turi jaudintis dėl savo duomenų paviešinimo? Esmė yra kreditinės kortelės, ar kreditinės kortelės duomenis galima rasti duomenų bazėje?

Nėra kredito kortelės numerių, tačiau yra kreditinės kortelės žetonai (pirminės sąskaitos numeris (PAN)), kredito kortelės tipas (mastercard, viza) pašto kodas ir ID, kurie susieja klientą su kliento lentele duomenų bazėje.

 

 

Tai ir yra kreditinės kortelės numeris. Kur gavai šią informaciją? Nes pirmą kartą girdžiu.

Nuoroda į pranešimą
Dalintis kituose puslapiuose

Prisijunkite prie diskusijos

Jūs galite rašyti dabar, o registruotis vėliau. Jeigu turite paskyrą, prisijunkite dabar, kad rašytumėte iš savo paskyros.

Svečias
Parašykite atsakymą...

×   Įdėta kaip raiškusis tekstas.   Atkurti formatavimą

  Only 75 emoji are allowed.

×   Nuorodos turinys įdėtas automatiškai.   Rodyti kaip įprastą nuorodą

×   Jūsų anksčiau įrašytas turinys buvo atkurtas.   Išvalyti redaktorių

×   You cannot paste images directly. Upload or insert images from URL.

Įkraunama...
  • Dabar naršo   0 narių

    Nei vienas registruotas narys šiuo metu nežiūri šio puslapio.

  • Prisijunk prie bendruomenės dabar!

    Uždarbis.lt nariai domisi verslo, IT ir asmeninio tobulėjimo temomis, kartu sprendžia problemas, dalinasi žiniomis ir idėjomis, sutinka būsimus verslo partnerius ir dalyvauja gyvuose susitikimuose.

    Užsiregistruok dabar ir galėsi:

    ✔️ Dalyvauti diskusijose;

    ✔️ Kurti naujas temas;

    ✔️ Rašyti atsakymus;

    ✔️ Vertinti kitų žmonių pranešimus;

    ✔️ Susisiekti su bet kuriuo nariu asmeniškai;

    ✔️ Naudotis tamsia dizaino versija;

    ir dar daugiau.

    Registracija trunka ~30 sek. ir yra visiškai nemokama.

  • Naujausios temos

  • Karštos temos

×
×
  • Pasirinkite naujai kuriamo turinio tipą...