Keçən həftə Kommersant , "Street Beat və Sony Center-in müştəri bazaları ictimai mülkiyyətdə idi", lakin əslində hər şey məqalədə yazılanlardan daha pisdir.
Mən artıq bu sızmanın ətraflı texniki analizini etmişəm. , buna görə də burada yalnız əsas məqamları nəzərdən keçirəcəyik.
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.İndeksləri olan başqa bir Elasticsearch serveri sərbəst mövcud idi:
- graylog2_0
- oxuməni
- unauth_text
- http:
- graylog2_1
В graylog2_0 16.11.2018 noyabr 2019-ci il tarixindən XNUMX-cu ilin mart ayına qədər qeydləri ehtiva edir və graylog2_1 – 2019-cu ilin martından 04.06.2019/XNUMX/XNUMX-a qədər qeydlər. Elasticsearch-ə giriş bağlanana qədər, içindəki qeydlərin sayı graylog2_1 böyüdü.
Shodan axtarış sisteminə görə, bu Elasticsearch 12.11.2018 noyabr 16.11.2018-ci il tarixindən etibarən sərbəst şəkildə mövcuddur (yuxarıda yazıldığı kimi, jurnallardakı ilk qeydlər XNUMX noyabr XNUMX-ci il tarixinə aiddir).
Günlüklərdə, tarlada gl2_remote_ip 185.156.178.58 və 185.156.178.62 IP ünvanları DNS adları ilə göstərildi srv2.inventive.ru и srv3.inventive.ru:
xəbər verdim İxtiraçılıq Pərakəndə Qrupu (www.inventive.ru) problem haqqında 04.06.2019-cu il tarixində saat 18:25-də (Moskva vaxtı ilə) və 22:30-da server "sakitcə" ictimai girişdən itdi.
Daxil olan qeydlər (bütün məlumatlar təxminlərdir, dublikatlar hesablamalardan çıxarılmayıb, ona görə də real sızan məlumatların miqdarı çox güman ki, azdır):
- re:Store, Samsung, Street Beat və Lego mağazalarından müştərilərin 3 milyondan çox e-poçt ünvanı
- re:Store, Sony, Nike, Street Beat və Lego mağazalarından 7 milyondan çox müştərinin telefon nömrəsi
- Sony və Street Beat mağazalarının alıcılarının şəxsi hesablarından 21 mindən çox giriş/parol cütü.
- telefon nömrələri və e-poçtu olan qeydlərin əksəriyyətində tam adlar (çox vaxt Latın dilində) və sadiqlik kartı nömrələri var.
Nike mağaza müştərisi ilə bağlı jurnaldan nümunə (bütün həssas məlumatlar “X” simvolu ilə əvəz edilmişdir):
"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n [contact[phone]] => +7985026XXXXn [contact[email]] => [email protected] [contact[channel]] => n [contact[subscription]] => 0n)n[ДАННЫЕ GET] Arrayn(n [digital_id] => 27008290n [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7985026XXXXn [email] => [email protected] [channel] => 0n [subscription] => 0n )nn)n","DATE":"31.03.2019 12:52:51"}",Budur, veb saytlarda alıcıların şəxsi hesablarından giriş və parolların necə saxlandığına dair bir nümunə sc-store.ru и street-beat.ru:
"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ GET] Arrayn(n [digital_id] => 26725117n [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"Bu hadisə ilə bağlı IRG-nin rəsmi açıqlamasını oxumaq olar , ondan çıxarış:
Biz bu məqamı nəzərdən qaçıra bilmədik və şəxsi hesablardakı məlumatların saxta məqsədlər üçün istifadəsinin qarşısını almaq üçün müştərilərin şəxsi hesablarının parollarını müvəqqəti olaraq dəyişdirdik. Şirkət street-beat.ru müştərilərinin şəxsi məlumatlarının sızmasını təsdiqləmir. Inventive Retail Group-un bütün layihələri əlavə olaraq yoxlanılıb. Müştərilərin şəxsi məlumatlarına təhlükə aşkar edilməyib.
IRG-nin nəyin sızdığını və nəyin olmadığını anlaya bilməməsi pisdir. Street Beat mağazası müştərisi ilə bağlı jurnaldan bir nümunə:
"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ GET' =nttArrayn(n [digital_id] => 27016686n [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7915545XXXXn [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",Bununla belə, gəlin həqiqətən pis xəbərə keçək və bunun nə üçün IRG müştərilərinin şəxsi məlumatlarının sızması olduğunu izah edək.
Bu sərbəst mövcud Elasticsearch indekslərinə diqqətlə baxsanız, onlarda iki ad görəcəksiniz: oxuməni и unauth_text. Bu, çoxlu ransomware skriptlərindən birinin xarakterik əlamətidir. Bu, bütün dünyada 4 mindən çox Elasticsearch serverinə təsir etdi. Məzmun oxuməni bu kimi görünür:
"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"IRG qeydləri olan server sərbəst şəkildə əlçatan olsa da, ransomware skripti mütləq müştərilərin məlumatlarına giriş əldə etdi və onun buraxdığı mesaja görə məlumatlar endirildi.
Bundan əlavə, şübhə etmirəm ki, bu məlumat bazası məndən əvvəl tapılıb və artıq yüklənib. Hətta deyərdim ki, buna əminəm. Heç kimə sirr deyil ki, belə açıq verilənlər bazaları məqsədyönlü şəkildə axtarılır və çıxarılır.
İnformasiya sızması və insayderlər haqqında xəbərləri həmişə mənim Telegram kanalımda tapa bilərsiniz "' .
Mənbə: www.habr.com