Verlede week Kommersant , dat "die kliëntebasisse van Street Beat en Sony Center in die publieke domein was," maar in werklikheid is alles baie erger as wat in die artikel geskryf word.
Ek het reeds 'n gedetailleerde tegniese ontleding van hierdie lekkasie gedoen. , so hier gaan ons slegs oor die hoofpunte.
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Nog 'n Elasticsearch-bediener met indekse was vrylik beskikbaar:
- gryslog2_0
- readme
- unauth_text
- http:
- gryslog2_1
В gryslog2_0 logs bevat van 16.11.2018 November 2019 tot Maart XNUMX, en in gryslog2_1 – logs van Maart 2019 tot 04.06.2019/XNUMX/XNUMX. Totdat toegang tot Elasticsearch gesluit is, is die aantal rekords in gryslog2_1 gegroei het.
Volgens die Shodan-soekenjin is hierdie Elasticsearch vrylik beskikbaar sedert 12.11.2018 November 16.11.2018 (soos hierbo geskryf, is die eerste inskrywings in die logboeke gedateer XNUMX November XNUMX).
In die logs, in die veld gl2_afstandsbediening_ip IP-adresse 185.156.178.58 en 185.156.178.62 is gespesifiseer, met DNS-name srv2.inventive.ru и srv3.inventive.ru:
Ek het in kennis gestel Vindingryke Kleinhandelgroep (www.inventive.ru) oor die probleem op 04.06.2019/18/25 om 22:30 (Moskou-tyd) en teen XNUMX:XNUMX het die bediener "stil" van publieke toegang verdwyn.
Die logs bevat (alle data is skattings, duplikate is nie uit die berekeninge verwyder nie, so die hoeveelheid werklike uitgelekte inligting is heel waarskynlik minder):
- meer as 3 miljoen e-posadresse van kliënte van re:Store, Samsung, Street Beat en Lego-winkels
- meer as 7 miljoen telefoonnommers van kliënte van re:Store, Sony, Nike, Street Beat en Lego-winkels
- meer as 21 duisend aanmeld-/wagwoordpare uit persoonlike rekeninge van kopers van Sony- en Street Beat-winkels.
- meeste rekords met telefoonnommers en e-pos het ook volle name (dikwels in Latyn) en lojaliteitskaartnommers bevat.
Voorbeeld uit die logboek wat met die Nike-winkelkliënt verband hou (alle sensitiewe data vervang met "X"-karakters):
"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n [contact[phone]] => +7985026XXXXn [contact[email]] => [email protected] [contact[channel]] => n [contact[subscription]] => 0n)n[ДАННЫЕ GET] Arrayn(n [digital_id] => 27008290n [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7985026XXXXn [email] => [email protected] [channel] => 0n [subscription] => 0n )nn)n","DATE":"31.03.2019 12:52:51"}",En hier is 'n voorbeeld van hoe aanmeldings en wagwoorde van persoonlike rekeninge van kopers op webwerwe gestoor is sc-store.ru и street-beat.ru:
"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ GET] Arrayn(n [digital_id] => 26725117n [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"Die amptelike IRG-verklaring oor hierdie voorval kan gelees word , uittreksel daaruit:
Ons kon nie hierdie punt ignoreer nie en het die wagwoorde na kliënte se persoonlike rekeninge na tydelike verander, om die moontlike gebruik van data van persoonlike rekeninge vir bedrieglike doeleindes te vermy. Die maatskappy bevestig nie lekkasies van persoonlike data van street-beat.ru-kliënte nie. Alle projekte van Inventive Retail Group is addisioneel nagegaan. Geen bedreigings vir kliënte se persoonlike data is opgespoor nie.
Dit is erg dat IRG nie kan uitvind wat uitgelek het en wat nie. Hier is 'n voorbeeld uit die log wat verband hou met die Street Beat-winkelkliënt:
"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ GET' =nttArrayn(n [digital_id] => 27016686n [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7915545XXXXn [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",Kom ons gaan egter oor na die werklik slegte nuus en verduidelik hoekom dit 'n lek van persoonlike data van IRG-kliënte is.
As jy noukeurig na die indekse van hierdie vrylik beskikbare Elasticsearch kyk, sal jy twee name daarin opmerk: readme и unauth_text. Dit is 'n kenmerkende teken van een van die vele ransomware-skrifte. Dit het meer as 4 duisend Elasticsearch-bedieners regoor die wêreld geraak. Inhoud readme lyk soos volg:
"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"Terwyl die bediener met IRG-logs vryelik toeganklik was, het 'n losprysware-skrip beslis toegang tot die kliënte se inligting gekry en volgens die boodskap wat dit gelaat het, is die data afgelaai.
Daarbenewens het ek geen twyfel dat hierdie databasis voor my gevind is en reeds afgelaai is nie. Ek sou selfs sê ek is vol vertroue hieroor. Daar is geen geheim dat sulke oop databasisse doelgerig gesoek en uitgepomp word nie.
Nuus oor inligtinglekkasies en insiders kan altyd op my Telegram-kanaal gevind word "' .
Bron: will.com