ProHoster > Блог > Administracija > Curenje podataka o kupcima iz prodavnica re:Store, Samsung, Sony Centre, Nike, LEGO i Street Beat

Curenje podataka o kupcima iz prodavnica re:Store, Samsung, Sony Centre, Nike, LEGO i Street Beat

Prošle sedmice Kommersant prijavljeno, da su „baze klijenata Street Beata i Sony Centra bile u javnom domenu“, ali u stvarnosti je sve mnogo gore od onoga što piše u članku.

Curenje podataka o kupcima iz prodavnica re:Store, Samsung, Sony Centre, Nike, LEGO i Street Beat

Već sam uradio detaljnu tehničku analizu ovog curenja. na Telegram kanalu, pa ćemo ovdje preći samo na glavne tačke.

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

Još jedan Elasticsearch server sa indeksima je bio besplatno dostupan:

  • graylog2_0
  • readme
  • unauth_text
  • http:
  • graylog2_1

В graylog2_0 sadržavao dnevnike od 16.11.2018. novembra 2019. do marta XNUMX. godine i u graylog2_1 – dnevnici od marta 2019. do 04.06.2019. Dok se pristup Elasticsearchu ne zatvori, broj zapisa u graylog2_1 rastao.

Prema Shodan pretraživaču, ovaj Elasticsearch je besplatno dostupan od 12.11.2018. novembra 16.11.2018. (kao što je gore napisano, prvi unosi u dnevnike su datirani XNUMX. novembra XNUMX.).

U trupcima, u polju gl2_remote_ip Navedene su IP adrese 185.156.178.58 i 185.156.178.62, sa DNS imenima srv2.inventive.ru и srv3.inventive.ru:

Curenje podataka o kupcima iz prodavnica re:Store, Samsung, Sony Centre, Nike, LEGO i Street Beat

Obavijestio sam Inventive Retail Group (www.inventive.ru) o problemu 04.06.2019 u 18:25 (po moskovskom vremenu) i do 22:30 server je „tiho“ nestao iz javnog pristupa.

Sadržani zapisnici (svi podaci su procjene, duplikati nisu uklonjeni iz proračuna, tako da je količina stvarnih informacija koje su procurile najvjerovatnije manja):

  • više od 3 miliona email adresa kupaca iz prodavnica re:Store, Samsung, Street Beat i Lego
  • više od 7 miliona telefonskih brojeva kupaca iz prodavnica re:Store, Sony, Nike, Street Beat i Lego
  • više od 21 hiljade parova login/lozinke sa ličnih naloga kupaca Sony i Street Beat prodavnica.
  • većina zapisa sa telefonskim brojevima i e-poštom takođe je sadržavala puna imena (često na latinici) i brojeve kartica lojalnosti.

Primjer iz dnevnika koji se odnosi na klijenta Nike trgovine (svi osjetljivi podaci zamijenjeni znakovima "X"):

"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n    [contact[phone]] => +7985026XXXXn    [contact[email]] => [email protected]    [contact[channel]] => n    [contact[subscription]] => 0n)n[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 27008290n    [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7985026XXXXn            [email] => [email protected]            [channel] => 0n            [subscription] => 0n        )nn)n","DATE":"31.03.2019 12:52:51"}",

A evo primjera kako su pohranjene prijave i lozinke s osobnih računa kupaca na web stranicama sc-store.ru и street-beat.ru:

"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 26725117n    [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"

Zvanično saopštenje IRG-a o ovom incidentu možete pročitati ovdje, izvod iz njega:

Nismo mogli zanemariti ovu tačku i promijenili smo lozinke ličnih računa klijenata u privremene, kako bismo izbjegli moguću upotrebu podataka sa ličnih računa u lažne svrhe. Kompanija ne potvrđuje curenje ličnih podataka klijenata street-beat.ru. Dodatno su provjereni svi projekti Inventive Retail Group. Nisu otkrivene prijetnje ličnim podacima klijenata.

Šteta što IRG ne može shvatiti šta je procurilo, a šta nije. Evo primjera iz dnevnika koji se odnosi na klijent trgovine Street Beat:

"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n    [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ  GET' =nttArrayn(n    [digital_id] => 27016686n    [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7915545XXXXn            [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",

No, prijeđimo na zaista loše vijesti i objasnimo zašto je riječ o curenju ličnih podataka klijenata IRG-a.

Ako pažljivo pogledate indekse ovog besplatno dostupnog Elasticsearch-a, primijetit ćete dva imena u njima: readme и unauth_text. Ovo je karakterističan znak jedne od mnogih ransomware skripti. Uticao je na više od 4 hiljade Elasticsearch servera širom svijeta. Sadržaj readme izgleda ovako:

"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"

Dok je server sa IRG logovima bio slobodno dostupan, ransomware skripta je definitivno dobila pristup informacijama o klijentima i, prema poruci koju je ostavila, podaci su preuzeti.

Osim toga, ne sumnjam da je ova baza podataka pronađena prije mene i da je već preuzeta. Čak bih rekao da sam siguran u ovo. Nije tajna da se takve otvorene baze podataka namjerno traže i crpe.

Vijesti o curenju informacija i insajderima uvijek možete pronaći na mom Telegram kanalu"Curenje informacija" https://t.me/dataleak.

izvor: www.habr.com

Dodajte komentar