Sa miaging semana Kommersant , nga "ang mga base sa kliyente sa Street Beat ug Sony Center anaa sa publikong dominyo," apan sa pagkatinuod ang tanan mas grabe pa kay sa nasulat sa artikulo.
Nahimo na nako ang usa ka detalyado nga teknikal nga pagtuki sa kini nga pagtulo. , busa hisgotan lang nato dinhi ang pangunang mga punto.
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Ang laing Elasticsearch server nga adunay mga indeks kay libre nga magamit:
- graylog2_0
- readme
- unauth_text
- http:
- graylog2_1
В graylog2_0 adunay mga log gikan sa Nobyembre 16.11.2018, 2019 hangtod Marso XNUMX, ug sa graylog2_1 - mga log gikan sa Marso 2019 hangtod 04.06.2019/XNUMX/XNUMX. Hangtud nga sirado ang pag-access sa Elasticsearch, ang gidaghanon sa mga rekord sa graylog2_1 mitubo.
Sumala sa Shodan search engine, kini nga Elasticsearch libre nga magamit sukad Nobyembre 12.11.2018, 16.11.2018 (sama sa gisulat sa ibabaw, ang una nga mga entry sa mga troso gipetsahan sa Nobyembre XNUMX, XNUMX).
Sa mga troso, sa uma gl2_remote_ip Ang mga adres sa IP 185.156.178.58 ug 185.156.178.62 gipiho, nga adunay mga ngalan sa DNS srv2.inventive.ru и srv3.inventive.ru:
Gipahibalo nako Inventive Retail Group (www.inventive.ru) mahitungod sa problema sa 04.06.2019/18/25 sa 22:30 (oras sa Moscow) ug sa XNUMX:XNUMX ang server "hilom" nawala gikan sa publiko nga pag-access.
Ang mga log nga anaa (ang tanan nga datos kay mga banabana, ang mga duplicate wala gikuha gikan sa mga kalkulasyon, mao nga ang gidaghanon sa tinuod nga leaked nga impormasyon lagmit mas gamay):
- labaw pa sa 3 milyon nga email address sa mga kustomer gikan sa re: Store, Samsung, Street Beat ug Lego nga mga tindahan
- labaw pa sa 7 milyon nga numero sa telepono sa mga kustomer gikan sa re: Store, Sony, Nike, Street Beat ug mga tindahan sa Lego
- labaw pa sa 21 ka libo nga mga pares sa pag-login / password gikan sa mga personal nga account sa mga pumapalit sa mga tindahan sa Sony ug Street Beat.
- kadaghanan sa mga rekord nga adunay mga numero sa telepono ug email adunay mga bug-os nga ngalan (kasagaran sa Latin) ug mga numero sa loyalty card.
Pananglitan gikan sa log nga may kalabutan sa kliyente sa tindahan sa Nike (tanan nga sensitibo nga datos gipulihan sa "X" nga mga karakter):
"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n [contact[phone]] => +7985026XXXXn [contact[email]] => [email protected] [contact[channel]] => n [contact[subscription]] => 0n)n[ДАННЫЕ GET] Arrayn(n [digital_id] => 27008290n [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7985026XXXXn [email] => [email protected] [channel] => 0n [subscription] => 0n )nn)n","DATE":"31.03.2019 12:52:51"}",Ug ania ang usa ka pananglitan kung giunsa ang mga pag-login ug mga password gikan sa mga personal nga account sa mga pumapalit sa mga website gitipigan sc-store.ru и street-beat.ru:
"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ GET] Arrayn(n [digital_id] => 26725117n [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"Mabasa ang opisyal nga pahayag sa IRG bahin niini nga insidente , kinutlo gikan niini:
Dili namo mabalewala kini nga punto ug giusab ang mga password sa mga personal nga account sa mga kliyente ngadto sa temporaryo, aron malikayan ang posibleng paggamit sa datos gikan sa personal nga mga account alang sa mga katuyoan sa pagpanglimbong. Wala gikumpirma sa kompanya ang mga pagtulo sa personal nga datos sa mga kliyente sa street-beat.ru. Ang tanan nga mga proyekto sa Inventive Retail Group gisusi usab. Wala’y nakit-an nga mga hulga sa personal nga datos sa mga kliyente.
Dili maayo nga ang IRG dili mahibal-an kung unsa ang nag-leak ug kung unsa ang wala. Ania ang usa ka pananglitan gikan sa log nga may kalabutan sa kliyente sa tindahan sa Street Beat:
"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ GET' =nttArrayn(n [digital_id] => 27016686n [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7915545XXXXn [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",Bisan pa, magpadayon kita sa dili maayo nga balita ug ipasabut kung ngano nga kini usa ka pagtulo sa personal nga datos sa mga kliyente sa IRG.
Kung imong tan-awon pag-ayo ang mga indeks niining libre nga magamit nga Elasticsearch, imong mamatikdan ang duha ka ngalan niini: readme и unauth_text. Kini usa ka kinaiya nga timaan sa usa sa daghang mga script sa ransomware. Naapektuhan niini ang labaw pa sa 4 ka libo nga mga server sa Elasticsearch sa tibuuk kalibutan. Kontento readme ingon niini:
"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"Samtang ang server nga adunay mga log sa IRG libre nga ma-access, usa ka script sa ransomware siguradong nakakuha og access sa kasayuran sa mga kliyente ug, sumala sa mensahe nga gibilin niini, ang datos na-download.
Dugang pa, wala ako magduhaduha nga kini nga database nakit-an sa akong atubangan ug na-download na. Moingon pa gani ko nga sigurado ko niini. Wala’y sekreto nga ang ingon nga bukas nga mga database gituyo nga gipangita ug gibomba.
Ang mga balita bahin sa mga pagtulo sa impormasyon ug mga insider kanunay nga makit-an sa akong Telegram channel "»: .
Source: www.habr.com