ፕሮሆስተር > ጦማር > አስተዳደር > ከዳግም፡መደብር፡ ሳምሰንግ፡ ሶኒ ማእከል፡ ናይክ፡ LEGO እና የመንገድ ቢት መደብሮች የደንበኛ መረጃ ማፍሰስ

ከዳግም፡መደብር፡ ሳምሰንግ፡ ሶኒ ማእከል፡ ናይክ፡ LEGO እና የመንገድ ቢት መደብሮች የደንበኛ መረጃ ማፍሰስ

ባለፈው ሳምንት Kommersant ዘግቧል"የጎዳና ቢት እና የሶኒ ማእከል የደንበኛ መሰረት በህዝብ ጎራ ውስጥ እንደነበሩ" ነገር ግን በእውነቱ ሁሉም ነገር በአንቀጹ ውስጥ ከተጻፈው በጣም የከፋ ነው.

ከዳግም፡መደብር፡ ሳምሰንግ፡ ሶኒ ማእከል፡ ናይክ፡ LEGO እና የመንገድ ቢት መደብሮች የደንበኛ መረጃ ማፍሰስ

እኔ ቀደም ሲል በዚህ ፍንጣቂ ላይ ዝርዝር ቴክኒካዊ ትንታኔ አድርጌያለሁ. በቴሌግራም ቻናል ውስጥስለዚህ እዚህ ዋና ዋና ነጥቦቹን ብቻ እናነሳለን.

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

ኢንዴክሶች ያለው ሌላ Elasticsearch አገልጋይ በነጻ ይገኛል፡-

  • graylog2_0
  • readme
  • unauth_text
  • http:
  • graylog2_1

В graylog2_0 ከኖቬምበር 16.11.2018፣ 2019 እስከ ማርች XNUMX እና በ ውስጥ ያሉ መዝገቦችን ይዟል graylog2_1 - ምዝግብ ማስታወሻዎች ከማርች 2019 እስከ 04.06.2019/XNUMX/XNUMX። የ Elasticsearch መዳረሻ እስኪዘጋ ድረስ፣ ውስጥ ያሉት መዝገቦች ብዛት graylog2_1 አደገ።

በሾዳን የፍለጋ ሞተር መሠረት፣ ይህ Elasticsearch ከኖቬምበር 12.11.2018፣ 16.11.2018 ጀምሮ በነጻ ይገኛል (ከላይ እንደተፃፈው፣ በምዝግብ ማስታወሻዎች ውስጥ ያሉት የመጀመሪያ ግቤቶች በኖቬምበር XNUMX፣ XNUMX) ናቸው።

በምዝግብ ማስታወሻዎች, በመስክ ላይ gl2_remote_ip የአይ ፒ አድራሻዎች 185.156.178.58 እና 185.156.178.62 ተገልጸዋል፣ ከዲኤንኤስ ስሞች ጋር srv2.inventive.ru и srv3.inventive.ru:

ከዳግም፡መደብር፡ ሳምሰንግ፡ ሶኒ ማእከል፡ ናይክ፡ LEGO እና የመንገድ ቢት መደብሮች የደንበኛ መረጃ ማፍሰስ

አሳውቄያለሁ የፈጠራ የችርቻሮ ቡድን (www.inventive.ru) ስለ ችግሩ እ.ኤ.አ. በ 04.06.2019/18/25 በ22:30 (በሞስኮ ጊዜ) እና በ XNUMX:XNUMX አገልጋዩ “በጸጥታ” ከሕዝብ ተደራሽነት ጠፋ።

የያዙት ምዝግብ ማስታወሻዎች (ሁሉም መረጃዎች ግምቶች ናቸው ፣ የተባዙት ከስሌቶቹ አልተወገዱም ፣ ስለዚህ የእውነተኛው መረጃ መጠን ያነሰ ሊሆን ይችላል)

  • ከሪ፡ ስቶር፣ ሳምሰንግ፣ ስትሪት ቢት እና ሌጎ መደብሮች ከ3 ሚሊዮን በላይ የደንበኞች ኢሜይል አድራሻዎች
  • ከዳግም፡መደብር፡ሶኒ፡ኒኬ፡የጎዳና ቢት እና ከሌጎ መደብሮች ከ7 ሚሊየን በላይ የደንበኞች ስልክ ቁጥሮች
  • ከ 21 ሺህ በላይ የመግቢያ/የይለፍ ቃል ጥንድ ከሶኒ እና የመንገድ ቢት መደብሮች ገዢዎች የግል መለያዎች።
  • አብዛኞቹ የስልክ ቁጥሮች እና ኢሜል ያላቸው መዝገቦች ሙሉ ስሞችን (ብዙውን ጊዜ በላቲን) እና የታማኝነት ካርድ ቁጥሮች ይይዛሉ።

ከኒኬ መደብር ደንበኛ ጋር የተያያዘው ምዝግብ ማስታወሻ ምሳሌ (ሁሉም ሚስጥራዊነት ያላቸው መረጃዎች በ “X” ቁምፊዎች ተተክተዋል)፡-

"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n    [contact[phone]] => +7985026XXXXn    [contact[email]] => [email protected]    [contact[channel]] => n    [contact[subscription]] => 0n)n[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 27008290n    [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7985026XXXXn            [email] => [email protected]            [channel] => 0n            [subscription] => 0n        )nn)n","DATE":"31.03.2019 12:52:51"}",

እና በድረ-ገጾች ላይ ከገዢዎች የግል መለያዎች መግቢያ እና የይለፍ ቃሎች እንዴት እንደተከማቹ የሚያሳይ ምሳሌ እዚህ አለ። sc-store.ru и street-beat.ru:

"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 26725117n    [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"

በዚህ ክስተት ላይ ይፋ የሆነው የIRG መግለጫ ሊነበብ ይችላል። እዚህከሱ የተወሰደ፡-

ይህንን ነጥብ ችላ ማለት አልቻልንም እና የይለፍ ቃሎቹን ወደ የደንበኞች ግላዊ መለያ ወደ ጊዜያዊነት ቀይረን፣ ይህም ከግል መለያዎች የሚገኘውን መረጃ ለማጭበርበር ዓላማ መጠቀምን ለማስወገድ ነው። ኩባንያው የ street-beat.ru ደንበኞች የግል መረጃ መውጣቱን አያረጋግጥም። ሁሉም የፈጠራ የችርቻሮ ቡድን ፕሮጀክቶች በተጨማሪ ተረጋግጠዋል። በደንበኞች የግል ውሂብ ላይ ምንም አይነት ስጋት አልተገኘም።

IRG ምን እንደፈሰሰ እና ምን እንደ ሆነ ማወቅ አለመቻሉ መጥፎ ነው። ከStread Beat ማከማቻ ደንበኛ ጋር የሚዛመደው የምዝግብ ማስታወሻ ምሳሌ ይኸውና፡

"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n    [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ  GET' =nttArrayn(n    [digital_id] => 27016686n    [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7915545XXXXn            [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",

ሆኖም፣ ወደ እውነተኛው መጥፎ ዜና እንሸጋገር እና ይህ ለምን የIRG ደንበኞች ግላዊ መረጃ መፍሰስ እንደሆነ እናብራራ።

በነጻ የሚገኘውን የElasticsearchን ኢንዴክሶች በቅርበት ከተመለከቱ፣ በእነሱ ውስጥ ሁለት ስሞችን ያስተውላሉ፡- readme и unauth_text. ይህ ከብዙዎቹ የቤዛዌር ስክሪፕቶች የአንዱ የባህሪ ምልክት ነው። በዓለም ዙሪያ ከ 4 ሺህ በላይ የላስቲክ ፍለጋ አገልጋዮችን ነካ። ይዘት readme ይህን ይመስላል:

"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"

የ IRG ምዝግብ ማስታወሻዎች ያለው አገልጋይ በነጻ ተደራሽ ሆኖ ሳለ፣ የራንሰምዌር ስክሪፕት በእርግጠኝነት የደንበኞቹን መረጃ ማግኘት ችሏል እና ባስተላለፈው መልእክት መሰረት ውሂቡ ወርዷል።

በተጨማሪም, ይህ ዳታቤዝ ከእኔ በፊት እንደተገኘ እና አስቀድሞ እንደወረደ አልጠራጠርም. እኔም በዚህ እርግጠኛ ነኝ እላለሁ። እንደዚህ ያሉ ክፍት የመረጃ ቋቶች ሆን ተብሎ ተፈልጎ የሚወጣበት ሚስጥር የለም።

የመረጃ ፍንጣቂዎች እና የውስጥ አዋቂ ዜናዎች ሁልጊዜ በቴሌግራም ቻናሌ ላይ ይገኛሉ"መረጃ ይፈስሳል" https://t.me/dataleak.

ምንጭ: hab.com

አስተያየት ያክሉ