На мінулым тыдні выданне Камерсант , Што "базы кліентаў Street Beat і Sony Centre апынуліся ў адкрытым доступе", але на самой справе ўсё значна горш, чым напісана ў артыкуле.
Падрабязны тэхнічны разбор дадзенай уцечкі я ўжо рабіў у сябе , таму тут прабяжымся толькі па асноўных момантах.
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.У вольным доступе апынуўся чарговы сервер Elasticsearch з азначнікамі:
- graylog2_0
- ридми
- unauth_text
- HTTP:
- graylog2_1
В graylog2_0 змяшчаліся логі пачынаючы з 16.11.2018 па сакавік 2019, а ў graylog2_1 - логі пачынаючы з сакавіка 2019 і па 04.06.2019. Да моманту закрыцця доступу да Elasticsearch, колькасць запісаў у graylog2_1 расло.
Па дадзеных пошукавіка Shodan гэты Elasticsearch знаходзіўся ў вольным доступе з 12.11.2018 (пры гэтым, як напісана вышэй, першыя запісы ў логах датаваны 16.11.2018).
У логах, у полі gl2_remote_ip былі пазначаны IP-адрасы 185.156.178.58 і 185.156.178.62, з DNS-імёнамі srv2.inventive.ru и srv3.inventive.ru:
Я апавясціў Inventive Retail Group (www.inventive.ru) аб праблеме 04.06.2019 у 18:25 (МСК) і да 22:30 сервер «ціха» знік са свабоднага доступу.
У логах змяшчалася (усе дадзеныя - ацэначныя, дублі з падлікаў не выдаляліся, таму аб'ём рэальнай ўцеклай інфармацыі хутчэй за ўсё менш):
- больш за 3 млн. адрасоў электроннай пошты пакупнікоў магазінаў re:Store, Samsung, Street Beat і Lego
- больш за 7 млн. тэлефонаў пакупнікоў крам re:Store, Sony, Nike, Street Beat і Lego
- больш за 21 тыс. пар лагін / пароль ад асабістых кабінетаў пакупнікоў крам Sony і Street Beat.
- большасць запісаў з тэлефонамі і электроннай поштай таксама змяшчалі ПІБ (часта лацінкай) і нумары карт лаяльнасці.
Прыклад з лога, які адносіцца да кліента крамы Nike (усе адчувальныя дадзеныя заменены на знакі "Х"):
"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n [contact[phone]] => +7985026XXXXn [contact[email]] => [email protected] [contact[channel]] => n [contact[subscription]] => 0n)n[ДАННЫЕ GET] Arrayn(n [digital_id] => 27008290n [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7985026XXXXn [email] => [email protected] [channel] => 0n [subscription] => 0n )nn)n","DATE":"31.03.2019 12:52:51"}",А вось прыклад таго, як у логах захоўваліся лагіны і паролі ад асабістых кабінетаў пакупнікоў на сайтах. sc-store.ru и street-beat.ru:
"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ GET] Arrayn(n [digital_id] => 26725117n [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"Афіцыйную заяву IRG па дадзеным інцыдэнце можна пачытаць , вытрымка з яго:
Мы не маглі пакінуць гэты момант без увагі і змянілі паролі да асабістых кабінетаў кліентаў на часовыя, каб пазбегнуць магчымага выкарыстання дадзеных з асабістых кабінетаў у ашуканскіх мэтах. Уцечкі персанальных дадзеных кліентаў street-beat.ru кампанія не пацвярджае. Аператыўна былі правераны дадаткова ўсе праекты Inventive Retail Group. Пагрозы для персанальных дадзеных кліентаў не выяўлены.
Дрэнна, што ў IRG не могуць разабрацца з тым, што выцекла, а што не. Вось прыклад з лога, які адносіцца да кліента крамы Street Beat:
"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ GET' =nttArrayn(n [digital_id] => 27016686n [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7915545XXXXn [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",Аднак, пяройдзем да зусім дрэнных навін і растлумачым, чаму гэта менавіта ўцечка персанальных дадзеных кліентаў IRG.
Калі ўважліва прыгледзецца да азначнікаў дадзенага вольна даступнага Elasticsearch, то можна ў іх заўважыць два імя: ридми и unauth_text. Гэта характэрная прыкмета аднаго са шматлікіх скрыптоў-вымагальнікаў. Ім здзіўлена больш за 4 тыс. сервераў Elasticsearch па ўсім свеце. Змесціва ридми выглядае так:
"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"За час пакуль сервер з логамі IRG знаходзіўся ў вольным доступе, да інфармацыі кліентаў сапраўды атрымліваў доступ скрыпт-вымагальнік і, калі верыць пакінутаму ім паведамленні, дадзеныя былі скачаны.
Акрамя таго, у мяне няма ніякіх сумневаў, што гэтую базу знайшлі яшчэ да мяне і ўжо спампавалі. Я б нават сказаў, што ўпэўнены ў гэтым. Няма ніякага сакрэту ў тым, што падобныя адкрытыя базы мэтанакіравана шукаюцца і выпампоўваюцца.
Навіны пра ўцечкі інфармацыі і інсайдэраў заўсёды можна знайсці на маім Telegram-канале»: .
Крыніца: habr.com