Обзор новостей информационной безопасности с 1 по 7 ноября 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

LastPass предупредила о мошеннической кампании, направленной на пользователей менеджера паролей.

Как действуют преступники

1. Злоумышленники оставляют в сети фальшивые хвалебные отзывы о расширении LastPass для Chrome.

2. В таких отзывах мошенники ставят расширению пять звезд и хвалят работу технической поддержки, указывая фальшивый телефонный номер (805-206-2892), по которому они якобы звонили. На самом деле этот номер не имеет никакого отношения к производителю.

3. Если позвонить по этому телефону, мошенник, отвечающий на звонки, представится сотрудником поддержки LastPass и попросит пользователя зайти на сайт dghelp[.]top, где нужно ввести код для загрузки специального софта. С сайта загружается ConnectWise ScreenConnect, предоставляющий злоумышленникам полный удаленный доступ к системе жертвы.

4. Пока один из мошенников задаёт позвонившему вопросы, чтобы удержать его на линии и отвлечь внимание, другой злоумышленник использует ScreenConnect в фоновом режиме и устанавливает в систему жертвы другое ПО для удалённого доступа и кражи данных.

Обнаружены новые варианты атак группировки PhaseShifters (Sticky Werewolf), жертвами которых стали десятки российских организаций.

Как действуют преступники

1. Атаки начинались с рассылки фишинговых писем с вложениями в виде защищённых паролями архивов, которые содержали вредоносные файлы.

2. Среди таких документов встречались резюме или дополнительные соглашения на подпись.

3. Когда жертвы открывали файлы, на их устройства загружались скрипты, скачивающие изображения — в них с помощью стеганографии была скрыта полезная нагрузка.

Организаторы вредоносной кампании Phish n’ Ships атаковали более тысячи интернет-магазинов и похитили деньги у их посетителей.

Схема кампании

1. Атаки Phish n’ Ships начинаются с заражения реально существующих интернет-магазинов вредоносными скриптами. Для этого хакеры эксплуатируют уже известные уязвимости, неправильные конфигурации или скомпрометированные учетные данные администратора.

2. После взлома злоумышленники загружают на сайт скрипты с неприметными названиями (zenb.php или khyo.php), с помощью которых в магазине создаются карточки с фальшивыми товарами.

3. Все товары снабжены оптимизированными для SEO метаданными, чтобы лучше попадать в результаты поиска Google, откуда на сайт и приходят жертвы.

4. Когда пользователь переходит по таким ссылкам, он проходит через ряд перенаправлений, которые в конечном итоге ведут на мошеннические сайты, часто имитирующие интерфейс взломанного интернет-магазина или использующие схожий дизайн.

5. При попытке купить товар в мошенническом магазине жертва проходит через весь процесс оформления заказа, который в целом выглядит легитимным.

6. В итоге вредоносный сайт похищает информацию, которую жертва вводит при оформлении заказа (включая данные банковской карты), и завершает процедуру через полулегальный аккаунт платежного процессора, подконтрольный злоумышленникам.

7. Пострадавший не получает никаких товаров, но теряет и деньги, и данные.

Группа компаний «Гарда» обнаружила новый вид мошенничества в популярных мессенджерах.

Преступники пишут сообщения от имени знакомого человека из списка контактов жертвы и уговаривают установить вредоносное приложение под видом «Яндекс Музыки».

Вместо сервиса на смартфон устанавливается троянская программа, которая даёт злоумышленнику полный доступ к мобильному устройству.

Преступники использовали вредоносное ПО Gootloader для заражения компьютеров любителей бенгальских кошек из Австралии.

Схема кампании

1. Злоумышленники создали поддельные страницы, специально настроенные так, чтобы они попадали в топ поисковых результатов по этому запросу.

2. Когда пользователи переходили на такой сайт, им предлагалось скачать ZIP-файл.

3. После открытия архива на компьютер загружалась первая часть вредоносного кода.

4. Затем браузер автоматически перенаправлялся на другой сайт, где загружался большой JavaScript-файл, запускавший целую серию процессов на устройстве.

5. Выполнялись команды PowerShell для развертывания Gootkit — третьего этапа атаки. В результате на компьютере устанавливались Cobalt Strike и программы-вымогатели.

Инциденты

LottieFiles — SaaS-платформа для создания легких векторных анимаций, которые можно встраивать в приложения и сайты, — стала жертвой атаки на цепочку поставок.

31 октября 2024 года пользователи Lottie-Player начали жаловаться на странные инъекции кода и всплывающие окна на сайтах. Как оказалось, злоумышленники добавили в Lottie Web Player версий 2.0.5, 2.0.6 и 2.0.7 вредоносный код, который внедрял на сайты малварь для кражи криптовалюты.

Такие вредоносы внедряются на сайты и показывают посетителям запросы на подключение криптовалютного кошелька. Если пользователь не замечает подвоха и действительно подключает свой кошелек, скрипт автоматически пытается украсть все доступные активы и NFT, отправив их своим операторам.

Разработчики LottieFiles объясняют, что JavaScript-библиотека была скомпрометирована после того, как у одного из разработчиков похитили токен аутентификации, который в итоге был использован для загрузки вредоносных версий пакета npm.

Проукраинская группировка RUH8 заявила об атаке на ИТ-инфраструктуру администрации Твери, в результате которой были выведены из строя множество информационных систем.

В телеграм-канале группировки 29 октября вышел пост, в котором говорится о  полном уничтожении содержимого десятков виртуальных машин, резервных копий, рабочих станций в администрации города, а также подсистемы телефонной связи:

Кибератака на разработчика решений для управления автопарками Microlise из Великобритании нарушила работу ключевых клиентов компании, среди которых служба доставки DHL UK и сеть магазинов Nisa. Самые серьёзные проблемы возникли у компании Serco, которая обеспечивает транспортировку заключенных по контракту с Министерством юстиции Великобритании.

Атака на Microlise привела к тому, что устройства отслеживания и тревожные кнопки в транспортных средствах Serco были выведены из строя. В результате водители оказались незащищёнными, так как системы слежения за заключенными не функционировали на протяжении нескольких дней.

Из-за инцидента руководство Serco было вынуждено перейти на временные меры безопасности. Водителей снабдили бумажными картами и инструкциями поддерживать связь с тюремными базами каждые полчаса. Сотрудникам рекомендовали держать мобильные телефоны полностью заряженными для экстренных случаев. Нарушение навигационных и других функций усложнило выполнение задач и поставило под угрозу безопасность персонала.

Хакер взломал платформу для разработчиков Schneider Electric и похитил информацию с JIRA-сервера компании. Для атаки он использовал ранее скомпрометированные учётные данные.

После получения доступа злоумышленник использовал MiniOrange REST API для сбора 400 0000 строк пользовательских данных, среди которых были 75 000 уникальных email-адресов, а также полные имена сотрудников и клиентов Schneider Electric.

На хакерском форуме в даркнете взломщик шутит, что требует за нераскрытие украденной информации 125 000 долларов США «в багетах», поскольку Schneider Electric — французская компания. Он заявляет, что «были скомпрометированы критически важные данные, в том числе проекты, issue и плагины, а также более 400 000 строк пользовательских данных общим объёмом более 40 ГБ».

Хакер IntelBroker заявил, что взломал стороннего вендора и похитил исходный код компании Nokia, который теперь готов продать.

IntelBroker утверждает, что среди похищенных данных есть ключи SSH, исходный код, ключи RSA, логины BitBucket, учётные записи SMTP, веб-хуки, а также жестко закодированные учётные данные.

Сообщают, что хакер использовал стандартные логин и пароль, чтобы скомпрометировать сервер SonarQube, принадлежащий неназванному вендору. Это позволило похитить у пострадавшей организации Python-проекты клиентов, среди которых были данные Nokia.

Представители Nokia подтвердили изданию, что им известно об этих заявлениях злоумышленника и они уже проводят расследование.

Корпорация True World Holdings LLC уведомила своих сотрудников о киберинциденте, затронувшем их персональные данные. Киберпреступники проникли в системы компании и похитили файлы с информацией о действующих и бывших сотрудниках.

Компания не уточнила, какие именно персональные данные были похищены, отметив, что объем информации варьируется в зависимости от человека. По данным генпрокуратуры, пострадали 8532 человека, хотя сейчас в True World работают около 1000 человек по всему миру.

Компания рекомендовала пострадавшим обратить внимание на любые подозрительные операции на их финансовых счетах и проверках кредитных отчетов. Также True World предоставила на год бесплатный кредитный мониторинг и услугу восстановления идентичности. Компания также порекомендовала сменить учётные данные и контрольные вопросы для защиты финансовых и других личных аккаунтов.

Фармдистрибьютор AEP из Баварии стал жертвой вымогательской кибератаки. В результате инцидента часть IT-систем AEP была зашифрована.

Расследование ведёт Криминальная полиция Баварии, в сотрудничестве с которой AEP активно ищет решение проблемы с привлечением экспертов по киберинцидентам и IT-криминалистике. В компании отметили, что все внешние подключения отключены, а затронутые системы полностью остановлены.

На данный момент AEP недоступна по телефону и может принимать только ограниченное количество обращений по электронной почте.

Хакеры атаковали информационную систему центров занятости Министерства труда и занятости Франции.

Эксперты считают, что из-за атаки существует риск утечки личных данных молодых людей, получающих поддержку в центрах занятости: фамилии, имена, даты рождения, национальности, адреса электронной почты и почтовые адреса, а также номера телефонов. При этом номера социального страхования, банковские реквизиты и удостоверения личности не были скомпрометированы.

Обзор новостей информационной безопасности с 25 по 31 октября 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Выявлен всплеск мошеннических кампаний, нацеленных на соискателей удалённой работы. Новый вид мошенничества стремится получить быстрые выплаты от финансово уязвимых жертв.

Как действуют преступники

1. Обман начинается на платформах обмена сообщениями и в социальных сетях, где злоумышленники представляются рекрутерами.

2. Они предлагают удалённую работу в сферах музыкальных стримингов, оценки товаров и гостиничного бизнеса.

3. Соискателей просят зарегистрироваться на поддельном портале для выполнения оплачиваемых задач.

4. По мере выполнения заданий возникают «технические проблемы», из-за которых на аккаунте появляется отрицательный баланс. Для его пополнения жертве предлагают внести депозит, обещая доступ к более высокому доходу. В результате пользователи часто теряют сотни и даже тысячи долларов США.

5. Злоумышленники активно используют Telegram и WhatsApp, где создают фальшивые чаты с другими «работниками», чтобы поддерживать иллюзию успешного заработка и стимулировать жертв к новым вложениям.

6. Поддельные сайты часто имитируют бренды, такие как Temu и TikTok, а также гостиничные ассоциации. Высокий уровень вовлечённости позволяет мошенникам удерживать жертв в процессе.

Некоторые схемы оказались крайне прибыльными: за несколько месяцев мошенники собрали более 300 000 долларов США в криптовалютах Bitcoin и Ethereum.

Инциденты

Компания Change Healthcare официально подтвердила, что в результате кибератаки 21 февраля 2024 года были скомпрометированы данные более 100 млн человек. Происшествие стало крупнейшей утечкой защищённой медицинской информации (PHI) среди организаций, регулируемых HIPAA.

В ходе инцидента были похищены:

• информация о медицинском страховании (первичные, вторичные и другие медицинские планы/полисы, данные о страховых компаниях, ID участников/групп, ID плательщиков Medicaid Medicare);
  медицинские данные (номера медицинских карт, диагнозы, лекарства, результаты анализов, снимки, сведения об уходе и лечении);
• информация о выставлении счетов, претензиях и платежах (номера претензий, номера счетов, коды выставления счетов, платежные карты, финансовая и банковская информация, данные о произведенных платежах);
• прочие персональные данные, среди которых номера социального страхования, водительских прав, удостоверений личности, а также номера паспортов.

Похищенная информация может различаться для каждого конкретного пострадавшего, медицинские данные были раскрыты не во всех случаях.

Эту вымогательскую атаку и утечку данных связывают с хакерской группировкой BlackCat (ALPHV). Ранее в UnitedHealth Group признавали, что заплатили злоумышленникам выкуп, чтобы получить дешифровальщик и не дать хакерам обнародовать украденную во время атаки информацию. Сумма выкупа составила 22 млн долларов США. После его получения BlackCat отключила свои серверы и растворилась в небытии.

DLBI сообщает, что в свободный доступ на теневом форуме была выложена база данных «ВТБ-клиенты».

База содержит 6,1 млн строк: ФИО, номера телефонов, адреса эл. почты, даты рождения.

Известно, что данная база была составлена (обогащена) из нескольких других баз. За основу взята база, содержащая только номера телефонов и цифровые идентификаторы, размером более 9 млн строк и актуальностью 05.2022.

Проверка случайных номеров телефонов из оригинальной базы (9 млн телефонов) через Систему быстрых платежей (СБП) показала, что для всех этих номеров доступен банк «ВТБ».

Хакеры взломали аккаунт в соцсети основателя платформы Truth Terminal Энди Айри и использовали для продвижения мошеннического токена.

Злоумышленник разместил в профиле Айри адрес контракта нового токена с тикером IB, чтобы привлечь инвесторов и поднять рыночную стоимость актива.

Хакерский аккаунт получил 12,5% от общего объема токенов, что вызвало резкое увеличение капитализации до 25 млн долларов США. Заработав на операции более 600 тысяч долларов США, злоумышленник начал массовую продажу токенов, что привело к обвалу стоимости актива на 98% и сократило капитализацию до 500 тысяч долларов США.

Участники сообщества попытались стабилизировать цену токена и частично восстановили его стоимость. Айри временно вернул доступ к своему аккаунту и сообщил, что хакер получил контроль над профилем через атаку на мобильного оператора, воспользовавшись схемой «SIM-swap». Однако вскоре аккаунт вновь подвергся подозрительным действиям, указывающим на отсутствие полного контроля

В даркнете выставлены на продажу базы данных французского оператора связи Free: информация о клиентах мобильных услуг Free Mobile и абонентах интернет-платформы Freebox.

В двух базах содержатся персональные данные более 19 млн человек, а также свыше 5 млн банковских реквизитов IBAN.

Free Mobile официально подтвердила факт атаки 26 октября, но отказалась комментировать объём утечки. В заявлении компании сказано, что кибератака не затронула пароли, данные банковских карт, электронные письма, SMS и голосовые сообщения. Оператор также отметил, что инцидент не повлиял на работу сервисов и услуг.

Группировка RansomHub взломала оператора 13 мексиканских аэропортов, компанию Grupo Aeroportuario del Centro Norte (OMA).

Представитель OMA сообщил, что IT-специалистам пришлось перейти на резервные системы, чтобы продолжить работу.

RansomHub требует выкуп, угрожая опубликовать 3 Тб украденных данных.

OMA предупредила пассажиров о временных неудобствах. Экраны с информацией о рейсах пока не работают, но сотрудники помогают пассажирам найти нужные терминалы. В аэропортах также размещены QR-коды для поиска выхода на посадку.

Первое сообщение об инциденте было сделано 15 октября, когда в аэропортах OMA перестали работать экраны.

Один из крупнейших банков Перу, Interbank (ранее International Bank of Peru, Banco Internacional del Perú), сообщил об утечке данных после неудавшейся вымогательской атаки.

В Interbank подчеркивают, что большинство операций сейчас проводятся в штатном режиме, а вклады клиентов находятся в безопасности. Пока организация не раскрывает точное количество пострадавших клиентов.

Злоумышленник утверждает, что похитил полные имена клиентов Interbank, идентификаторы счетов, даты рождения, адреса, номера телефонов, адреса электронной почты и IP-адреса, а также номера банковских карт и CVV, информацию о сроках действия карт, данные о банковских операциях и другую конфиденциальную информацию, включая учётные данные в виде открытого текста.

Мошенники использовали конфиденциальные данные крупной налоговой компании H&R Block Canada, чтобы получить доступ к личным аккаунтам канадцев в канадском налоговом агентстве (CRA) и похитить более 6 миллионов долларов через поддельные налоговые возвраты.

Чтобы перевести деньги себе, мошенники меняли банковскую информацию на счетах пострадавших. Например, в одном случае злоумышленники указали поддельный адрес на несуществующей улице, чтобы скрыть махинации.

В ходе расследования стало известно, что сотрудники CRA обнаружили утечку данных H&R Block лишь когда на теневых онлайн-ресурсах стали предлагаться украденные данные.

Обзор новостей информационной безопасности с 18 по 24 октября 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена волна рассылок с вредоносными вложениями, замаскированными под запросы от потенциальных клиентов или партнеров.

Кампания получила название Horns&Hooves («Рога и копыта») и продолжается с весны 2023 года. Целями хакеров стали как частные пользователи в России, так и предприятия из сферы торговли и услуг.

Как действуют преступники

1. Обычно письма атакующих содержат ZIP-архивы, внутри которых находятся файлы с вредоносными скриптами (обычно JScript).

2. Послания замаскированы под различные обращения: заявки на закупку товаров, запросы цен, акты сверки, заявления на возврат, досудебные или обычные претензии.

3. Для создания видимости легитимности в архиве помимо скрипта действительно могут быть документы, относящиеся к конкретной организации или человеку, за которых выдают себя злоумышленники. Например, к письмам с запросом цен прилагаются выписки из ЕГРЮЛ, свидетельства о постановке на налоговый учет и карточки компаний.

4. При запуске вредоносного скрипта на экране жертвы отображается документ-приманка, например таблица со списком товаров для закупки.

5. В результате таких атак на устройства жертв проникают трояны NetSupport RAT или BurnsRAT. Это вредоносные версии легитимных инструментов NetSupport Manager и Remote Manipulator System, возможностями которых злоупотребляют злоумышленники.

6. Установка RAT — лишь промежуточное звено в атаке. После заражения на некоторые устройства пытались установить еще и стилеры (например, Rhadamanthys и Meduza).

Последствия заражения для компаний могут быть разными в зависимости от того, в чьи руки в дальнейшем попадут украденные сведения: от кражи данных до шифрования и повреждения систем. Также атакующие могут собирать документы и электронные адреса для продолжения собственных атак.

Злоумышленники скомпрометировали эксклюзивного партнера компании ESET в Израиле и разослали клиентам фишинговые письма, предлагая под видом антивирусного ПО установить вредоносное ПО, уничтожающее данные.

Как действовали преступники

1. Хакеры рассылали жертвам электронные письма с логотипом ESET с легитимного домена eset.co.il, которым управляет компания Comsecure — израильский дистрибьютор продуктов ESET.

2. В письмах хакеры выдавали себя за представителей ESET Advanded Threat Defense Team и предупреждали, что некие правительственные хакеры якобы пытаются атаковать устройство клиента. Для защиты от этой угрозы жертве предлагалось установить продвинутый антивирусный инструмент ESET Unleashed, якобы предназначенный для «противодействия современным таргетированным угрозам».

3. Чтобы придать атаке большую легитимность, ссылка на загрузку ESET Unleashed тоже вела в домен eset.co.il.

4. Вредоносный ZIP-архив содержал четыре DLL-файла, подписанные подлинным цифровым сертификатом ESET, и файл Setup.exe, который не был подписан.

5. Все DLL-библиотеки представляли собой легитимные файлы, действительно распространяющиеся в составе антивирусного ПО ESET, а вот Setup.exe был вайпером, то есть малварью для стирания и уничтожения данных.

6. Вредоносное ПО использовало множество приемов, чтобы избежать обнаружения и обращалось к легитимному израильскому новостному сайту www.oref.org.il.

Мошенники рассылают поддельные квитанции на оплату услуг ЖКХ жителям Подмосковья. Внешне такие квитанции выглядят как обычные. Но деньги, которые переводят жители, попадают мошенникам.

Особенности кампании

1. В почтовом ящике человека оказывается документ, похожий на реальную квитанцию на оплату услуг ЖКХ.

2. Жертва оплачивает эти услуги, а позже приходит уже настоящая квитанция (вариант: настоящую квитанцию воруют мошенники, а через месяц приходит долговая квитанция от УК).

3. QR-код на бланке может содержать ссылку, при переходе по которой человек загрузит вредоносное ПО с предоставлением удалённого доступа к смартфону, на которому установлены банковские приложения и «Госуслуги».

4. В итоге человек может потерять не только те деньги, которые переведет преступникам, но и вообще все свои сбережения.

Инциденты

У децентрализованной платформы Radiant Capital похитили криптовалюту на сумму более 50 млн долларов США.

Хакеры получили доступ к приватным ключам разработчиков Radiant Capital, что в итоге позволило им похитить средства пользователей.

В компании заявили, что пострадавшие разработчики использовали аппаратные кошельки и находились в разных географических точках, что снижало вероятность скоординированной физической атаки, однако злоумышленники смогли скомпрометировать устройства как минимум трёх основных контрибуторов с помощью сложной инъекции вредоносного ПО. Затем эти скомпрометированные устройства использовались для подписи вредоносных транзакций.

По словам представителя Radiant Capital, компания «столкнулась с очень изощренным нарушением безопасности, в результате которого потеряла 50 миллионов долларов». Устройства разработчиков были скомпрометированы таким образом, что «отображали легитимные данные о транзакциях, в то время как вредоносные транзакции подписывались и выполнялись в фоновом режиме». Также сообщается, что взломанные устройства «не демонстрировали никаких очевидных предупреждений, не считая незначительных сбоев и сообщений об ошибках».

Работа компании Casio нарушена из-за кибератаки вымогателя в начале октября. Представитель компании сообщил, что пока не видит перспектив восстановления, а все предпринимаемые меры усложняют выполнение заказов и взаимодействие с поставщиками.

Вымогательское ПО нарушило работу нескольких ключевых систем Casio. В результате компания временно приостановила приём товаров на ремонт и предупредила, что возобновление обслуживания ожидается не раньше конца ноября.

Ответственность за атаку взяли на себя вымогатели из группировки Underground. Преступники заявили, что похитили 204,9 ГБ данных, среди которых информация временных и штатских сотрудников, а также работников компаний-партнеров и бизнес-партнёров. Также хакеры получили доступ к данным соискателей, проходивших собеседования с Casio и её партнёрами.

Некоммерческая организация «Архив интернета» (Internet Archive) второй раз за этот месяц пострадала от хакерской атаки. Злоумышленникам удалось похитить аутентификационные токены GitLab и скомпрометировать Zendesk организации.

Первый взлом произошёл в середине октября, когда «Архив интернета» подвергся дефейсу, краже данных и мощным DDoS-атакам. Тогда злоумышленники сумели похитить информацию о 31 млн пользователей.

В прошедшие выходные множеству пользователей неожиданно пришли ответы на старые запросы по удалению контента из Internet Archive. Сообщения были написаны злоумышленниками и гласили, что организация взломана, поскольку небрежно обращалась со своими аутентификационными токенами, которые были похищены две недели назад во время первой атаки.

Письма прошли все проверки, аутентификацию DKIM, DMARC и SPF, и были отправлены авторизованным сервером Zendesk с адреса 192.161.151.10.

При этом некоторые читатели сообщили журналистам, что при запросе на удаление контента из Wayback Machine им приходилось указывать личные данные. Теперь эта информация тоже может находиться в руках злоумышленников, в зависимости от того, какой доступ они имели к Zendesk.

Неизвестные хакеры атаковали правительственный портал Кипра, чтобы заблокировать доступ к государственным онлайн-сервисам.

В результате DDoS-атаки на несколько минут был нарушен доступ к порталу «gov.cy», однако остальные сайты министерств и ведомств остались недоступными для злоумышленников и продолжали работать в штатном режиме.

Министерство исследований, инноваций и цифровой политики Кипра сообщило, что оперативная и скоординированная работа специалистов помогла предотвратить атаку. В ведомстве не раскрыли, кто стоит за атаками и какие мотивы могли ими руководить.

МИД РФ сообщил о «беспрецедентной» атаке на свой сайт.

Высказывают предположения, что хакерская атака может быть связана с успешно проходящим саммитом БРИКС в Казани.

Мария Захарова прокомментировала инцидент:

«Мы регулярно сталкиваемся с атаками на наш сайт, но сегодняшнее кибернападение отличается беспрецедентным масштабом, и для того, чтобы восстановить работоспособность интернет-ресурсов, мы решили не добавлять нагрузки на сайт в виде трансляции и перенести брифинг.»

По состоянию на 10.30 утра в четверг сайт МИД РФ работает.

Телеграм-канал «Утечки информации» сообщает, что в свободный доступ были выложены данные заказов и покупателей сети винных магазинов winestyle.

В текстовом файле, содержащем 1 154 694 строки, находятся: имена, телефоны (427 тыс. уникальных), адреса эл. почты (407 тыс. уникальных), адреса доставки, содержимое, даты и стоимость заказов, IP-адреса.

Данные датируются 23.10.2024.