ProHoster > بلوق > إدارة > إعادة: تسريب بيانات عملاء Store و Samsung و Sony Center و Nike و LEGO و Street Beat

إعادة: تسريب بيانات عملاء Store و Samsung و Sony Center و Nike و LEGO و Street Beat

كوميرسانت الأسبوع الماضي ذكرتأن "قواعد عملاء Street Beat وSony Center كانت في المجال العام"، ولكن في الواقع كل شيء أسوأ بكثير مما هو مكتوب في المقال.

إعادة: تسريب بيانات عملاء Store و Samsung و Sony Center و Nike و LEGO و Street Beat

لقد قمت بالفعل بتحليل فني مفصل لهذا التسرب. في قناة Telegram، لذلك سنتناول هنا النقاط الرئيسية فقط.

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

كان خادم Elasticsearch آخر مزودًا بالفهارس متاحًا مجانًا:

  • Graylog2_0
  • التمهيدي
  • unauth_text
  • HTTP:
  • Graylog2_1

В Graylog2_0 تحتوي على سجلات من 16.11.2018 نوفمبر 2019 إلى مارس XNUMX، وفي Graylog2_1 – السجلات من مارس 2019 إلى 04.06.2019/XNUMX/XNUMX. حتى يتم إغلاق الوصول إلى Elasticsearch، سيظل عدد السجلات الموجودة فيه Graylog2_1 نمت.

وفقًا لمحرك بحث Shodan، أصبح Elasticsearch متاحًا مجانًا منذ 12.11.2018 نوفمبر 16.11.2018 (كما هو مكتوب أعلاه، الإدخالات الأولى في السجلات مؤرخة في XNUMX نوفمبر XNUMX).

في السجلات، في الميدان gl2_remote_ip تم تحديد عناوين IP 185.156.178.58 و185.156.178.62، مع أسماء DNS srv2.inventive.ru и srv3.inventive.ru:

إعادة: تسريب بيانات عملاء Store و Samsung و Sony Center و Nike و LEGO و Street Beat

لقد أخطرت مجموعة مبتكرة للبيع بالتجزئة (www.inventive.ru) حول المشكلة بتاريخ 04.06.2019/18/25 الساعة 22:30 (بتوقيت موسكو) وبحلول الساعة XNUMX:XNUMX اختفى الخادم "بهدوء" من الوصول العام.

السجلات الواردة (جميع البيانات تقديرية، ولم تتم إزالة التكرارات من الحسابات، وبالتالي فإن كمية المعلومات الحقيقية المسربة تكون على الأرجح أقل):

  • أكثر من 3 ملايين عنوان بريد إلكتروني للعملاء من متاجر re:Store وSamsung وStreet Beat وLego
  • أكثر من 7 مليون رقم هاتف لعملاء من متاجر re:Store وSony وNike وStreet Beat وLego
  • أكثر من 21 ألف زوج من تسجيلات الدخول/كلمات المرور من الحسابات الشخصية لمشتري متاجر Sony وStreet Beat.
  • تحتوي معظم السجلات التي تحتوي على أرقام الهواتف والبريد الإلكتروني أيضًا على الأسماء الكاملة (غالبًا باللغة اللاتينية) وأرقام بطاقات الولاء.

مثال من السجل المتعلق بعميل متجر Nike (تم استبدال جميع البيانات الحساسة بأحرف "X"):

"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n    [contact[phone]] => +7985026XXXXn    [contact[email]] => [email protected]    [contact[channel]] => n    [contact[subscription]] => 0n)n[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 27008290n    [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7985026XXXXn            [email] => [email protected]            [channel] => 0n            [subscription] => 0n        )nn)n","DATE":"31.03.2019 12:52:51"}",

وإليك مثال على كيفية تخزين تسجيلات الدخول وكلمات المرور من الحسابات الشخصية للمشترين على مواقع الويب sc-store.ru и street-beat.ru:

"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 26725117n    [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"

ويمكن قراءة بيان IRG الرسمي حول هذا الحادث هنا، مقتطف منه:

ولم نتمكن من تجاهل هذه النقطة وقمنا بتغيير كلمات المرور لحسابات العملاء الشخصية إلى كلمات مؤقتة، وذلك لتجنب احتمال استخدام البيانات من الحسابات الشخصية لأغراض احتيالية. لا تؤكد الشركة تسريبات البيانات الشخصية لعملاء street-beat.ru. بالإضافة إلى ذلك، تم فحص جميع مشاريع Inventive Retail Group. لم يتم الكشف عن أي تهديدات للبيانات الشخصية للعملاء.

من السيئ أن IRG لا تستطيع معرفة ما تم تسريبه وما لم يتم تسريبه. فيما يلي مثال من السجل المتعلق بعميل متجر Street Beat:

"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n    [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ  GET' =nttArrayn(n    [digital_id] => 27016686n    [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7915545XXXXn            [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",

ومع ذلك، دعنا ننتقل إلى الأخبار السيئة حقًا ونشرح سبب تسرب البيانات الشخصية لعملاء IRG.

إذا نظرت عن كثب إلى فهارس Elasticsearch المتوفرة مجانًا، ستلاحظ وجود اسمين فيها: التمهيدي и unauth_text. هذه علامة مميزة لأحد البرامج النصية العديدة لبرامج الفدية. لقد أثرت على أكثر من 4 آلاف خادم Elasticsearch حول العالم. محتوى التمهيدي يشبه هذا:

"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"

وبينما كان الوصول إلى الخادم الذي يحتوي على سجلات IRG مجانيًا، فقد تمكن برنامج الفدية النصي بالتأكيد من الوصول إلى معلومات العملاء، ووفقًا للرسالة التي تركها، تم تنزيل البيانات.

بالإضافة إلى ذلك، ليس لدي أدنى شك في أنه تم العثور على قاعدة البيانات هذه قبلي وتم تنزيلها بالفعل. أود أن أقول حتى أنني متأكد من هذا. ليس سرا أن قواعد البيانات المفتوحة هذه يتم البحث عنها وضخها بشكل هادف.

أخبار حول تسرب المعلومات والمطلعين يمكن العثور عليها دائمًا على قناتي على Telegram "تسرب المعلومات": https://t.me/dataleak.

المصدر: www.habr.com

إضافة تعليق