La setmana passada Kommersant , que "les bases de clients de Street Beat i Sony Center eren de domini públic", però en realitat tot és molt pitjor del que s'escriu a l'article.
Ja he fet una anàlisi tècnica detallada d'aquesta filtració. , així que aquí repassarem només els punts principals.
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Un altre servidor Elasticsearch amb índexs estava disponible gratuïtament:
- graylog2_0
- readme
- text_no_autoritzat
- http:
- graylog2_1
В graylog2_0 contenia registres del 16.11.2018 de novembre de 2019 al març de XNUMX i a graylog2_1 – registres des de març de 2019 fins al 04.06.2019/XNUMX/XNUMX. Fins que es tanqui l'accés a Elasticsearch, el nombre de registres a graylog2_1 va créixer.
Segons el motor de cerca Shodan, aquest Elasticsearch està disponible gratuïtament des del 12.11.2018 de novembre de 16.11.2018 (tal com s'ha escrit més amunt, les primeres entrades dels registres tenen la data del XNUMX de novembre de XNUMX).
Als registres, al camp gl2_remote_ip S'han especificat les adreces IP 185.156.178.58 i 185.156.178.62, amb noms DNS srv2.inventive.ru и srv3.inventive.ru:
vaig avisar Grup de venda al detall inventiva (www.inventive.ru) sobre el problema el 04.06.2019/18/25 a les 22:30 (hora de Moscou) i a les XNUMX:XNUMX el servidor va desaparèixer "en silenci" de l'accés públic.
Els registres continguts (totes les dades són estimacions, els duplicats no es van eliminar dels càlculs, de manera que la quantitat d'informació filtrada real és molt probable que sigui menor):
- més de 3 milions d'adreces de correu electrònic de clients de botigues re:Store, Samsung, Street Beat i Lego
- més de 7 milions de números de telèfon de clients de botigues re:Store, Sony, Nike, Street Beat i Lego
- més de 21 mil parells d'inici de sessió/contrasenya de comptes personals de compradors de botigues Sony i Street Beat.
- la majoria de registres amb números de telèfon i correu electrònic també contenien noms complets (sovint en llatí) i números de targetes de fidelitat.
Exemple del registre relacionat amb el client de la botiga Nike (totes les dades sensibles substituïdes per caràcters "X"):
"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n [contact[phone]] => +7985026XXXXn [contact[email]] => [email protected] [contact[channel]] => n [contact[subscription]] => 0n)n[ДАННЫЕ GET] Arrayn(n [digital_id] => 27008290n [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7985026XXXXn [email] => [email protected] [channel] => 0n [subscription] => 0n )nn)n","DATE":"31.03.2019 12:52:51"}",I aquí teniu un exemple de com es van emmagatzemar els inicis de sessió i les contrasenyes dels comptes personals dels compradors als llocs web sc-store.ru и street-beat.ru:
"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ GET] Arrayn(n [digital_id] => 26725117n [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"Es pot llegir el comunicat oficial de l'IRG sobre aquest incident , extracte d'ell:
No hem pogut ignorar aquest punt i hem canviat les contrasenyes dels comptes personals dels clients per altres de temporals, per tal d'evitar el possible ús de dades dels comptes personals amb finalitats fraudulentes. L'empresa no confirma filtracions de dades personals dels clients de street-beat.ru. Tots els projectes d'Inventive Retail Group es van revisar addicionalment. No s'han detectat amenaces a les dades personals dels clients.
És dolent que IRG no pugui esbrinar què s'ha filtrat i què no. Aquí teniu un exemple del registre relacionat amb el client de la botiga Street Beat:
"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ GET' =nttArrayn(n [digital_id] => 27016686n [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7915545XXXXn [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",Tanmateix, passem a les notícies molt dolentes i expliquem per què es tracta d'una filtració de dades personals dels clients de l'IRG.
Si mireu detingudament els índexs d'aquest Elasticsearch disponible gratuïtament, hi trobareu dos noms: readme и text_no_autoritzat. Aquest és un signe característic d'un dels molts scripts de ransomware. Va afectar més de 4 mil servidors d'Elasticsearch a tot el món. Contingut readme es veu així:
"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"Tot i que el servidor amb registres IRG era de lliure accés, un script de ransomware definitivament va obtenir accés a la informació dels clients i, segons el missatge que va deixar, les dades es van descarregar.
A més, no tinc cap dubte que aquesta base de dades es va trobar abans que jo i ja estava descarregada. Fins i tot diria que n'estic segur. No hi ha cap secret que aquestes bases de dades obertes es cerquen i s'exploten amb propòsit.
Les notícies sobre filtracions d'informació i persones privilegiades sempre es poden trobar al meu canal de Telegram "' .
Font: www.habr.com