A settimana passata Kommersant , chì "i client basi di Street Beat è Sony Center eranu in u duminiu publicu", ma in a realtà tuttu hè assai peggiu di ciò chì hè scrittu in l'articulu.
Aghju digià fattu un analisi tecnicu detallatu di sta fuga. , dunque quì andemu solu i punti principali.
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Un altru servitore Elasticsearch cù indici era dispunibule liberamente:
- greylog2_0
- readme
- unauth_text
- http:
- greylog2_1
В greylog2_0 cuntene logs da u 16.11.2018 di nuvembre 2019 à marzu XNUMX, è in greylog2_1 - logs da marzu 2019 à 04.06.2019/XNUMX/XNUMX. Finu à l'accessu à Elasticsearch hè chjusu, u numeru di registri in greylog2_1 crisciutu.
Sicondu u mutore di ricerca Shodan, questu Elasticsearch hè dispunibule liberamente da u 12.11.2018 di nuvembre di u 16.11.2018 (cum'è scrittu sopra, i primi entrati in i logs sò datati u XNUMX di nuvembre di u XNUMX).
In i logs, in u campu gl2_remote_ip L'indirizzi IP 185.156.178.58 è 185.156.178.62 sò stati specificati, cù nomi DNS srv2.inventive.ru и srv3.inventive.ru:
Aghju infurmatu Gruppu Inventivu Retail (www.inventive.ru) nantu à u prublema u 04.06.2019/18/25 à 22:30 (ora di Mosca) è da XNUMX:XNUMX u servitore "in silenziu" hè sparitu da l'accessu publicu.
I logs cuntenuti (tutti i dati sò stimi, i duplicati ùn sò micca stati sguassati da i calculi, cusì a quantità di infurmazione vera filtrata hè più probabile menu):
- più di 3 milioni di indirizzi email di i clienti da i magazzini re: Store, Samsung, Street Beat è Lego
- più di 7 milioni di numeri di telefunu di i clienti da i magazzini re:Store, Sony, Nike, Street Beat è Lego.
- più di 21 mila coppie login / password da i cunti persunali di i cumpratori di i magazini Sony è Street Beat.
- A maiò parte di i registri cù numeri di telefunu è email cuntenenu ancu nomi cumpleti (spessu in latinu) è numeri di carte di fideltà.
Esempiu da u logu ligatu à u cliente di a tenda Nike (tutti i dati sensibili rimpiazzati cù caratteri "X"):
"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n [contact[phone]] => +7985026XXXXn [contact[email]] => [email protected] [contact[channel]] => n [contact[subscription]] => 0n)n[ДАННЫЕ GET] Arrayn(n [digital_id] => 27008290n [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7985026XXXXn [email] => [email protected] [channel] => 0n [subscription] => 0n )nn)n","DATE":"31.03.2019 12:52:51"}",È quì hè un esempiu di cumu l'accessi è e password da i cunti persunali di i cumpratori nantu à i siti web sò stati guardati sc-store.ru и street-beat.ru:
"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ GET] Arrayn(n [digital_id] => 26725117n [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"A dichjarazione ufficiale di l'IRG nantu à questu incidente pò esse leghje , un estratto da ellu:
Ùn pudemu micca ignurà stu puntu è cambiatu i password à i cunti persunali di i clienti à quelli tempuranee, per evità l'usu pussibule di dati da i cunti persunali per scopi fraudulenti. A cumpagnia ùn cunfirma micca e filtrazioni di dati persunali di i clienti di street-beat.ru. Tutti i prughjetti di Inventive Retail Group sò stati ancu verificati. Nisuna minaccia à i dati persunali di i clienti hè stata rilevata.
Hè male chì IRG ùn pò micca capisce ciò chì hà filtratu è ciò chì ùn hà micca. Eccu un esempiu da u logu ligatu à u cliente di u magazinu Street Beat:
"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ GET' =nttArrayn(n [digital_id] => 27016686n [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7915545XXXXn [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",Tuttavia, andemu à a nutizia veramente cattiva è spieghemu perchè questu hè una fuga di dati persunali di i clienti IRG.
Se guardate attentamente l'indici di questu Elasticsearch liberamente dispunibule, vi vede dui nomi in elli: readme и unauth_text. Questu hè un signu caratteristicu di unu di i numerosi script ransomware. Hà affettatu più di 4 mila servitori Elasticsearch in u mondu. Cuntinutu readme pari questu:
"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"Mentre chì u servitore cù logs IRG era liberamente accessibile, un script di ransomware hà definitu l'accessu à l'infurmazioni di i clienti è, secondu u messagiu chì abbandunò, i dati sò stati scaricati.
Inoltre, ùn aghju micca dubbitu chì sta basa di dati hè stata truvata prima di mè è hè stata scaricata. Diceraghju ancu chì sò sicuru di questu. Ùn ci hè micca sicretu chì tali basa di dati aperti sò cercati apposta è pumped out.
Nutizie nantu à e fughe di informazioni è insiders ponu sempre esse truvate nantu à u mo canale Telegram "»: .
Source: www.habr.com