ProHoster > Blog > podávání > Únik zákaznických dat z obchodů re:Store, Samsung, Sony Centre, Nike, LEGO a Street Beat

Únik zákaznických dat z obchodů re:Store, Samsung, Sony Centre, Nike, LEGO a Street Beat

Minulý týden Kommersant hlášeno, že „klientské základny Street Beat a Sony Center byly ve veřejné doméně“, ale ve skutečnosti je vše mnohem horší, než se v článku píše.

Únik zákaznických dat z obchodů re:Store, Samsung, Sony Centre, Nike, LEGO a Street Beat

Podrobnou technickou analýzu tohoto úniku jsem již provedl. na kanálu Telegram, takže zde projdeme pouze hlavní body.

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

Další server Elasticsearch s indexy byl volně dostupný:

  • graylog2_0
  • readme
  • unauth_text
  • http:
  • graylog2_1

В graylog2_0 obsahoval logy od 16.11.2018. listopadu 2019 do března XNUMX a v graylog2_1 – logy od března 2019 do 04.06.2019. Dokud nebude přístup k Elasticsearch uzavřen, počet záznamů v graylog2_1 rostl.

Podle vyhledávače Shodan je tento Elasticsearch volně dostupný od 12.11.2018. listopadu 16.11.2018 (jak je psáno výše, první záznamy v logech jsou datovány XNUMX. listopadu XNUMX).

V kládách, na poli gl2_remote_ip Byly zadány IP adresy 185.156.178.58 a 185.156.178.62 s názvy DNS srv2.inventive.ru и srv3.inventive.ru:

Únik zákaznických dat z obchodů re:Store, Samsung, Sony Centre, Nike, LEGO a Street Beat

oznámil jsem Inventivní maloobchodní skupina (www.inventive.ru) o problému dne 04.06.2019 v 18:25 (moskevského času) a do 22:30 server „potichu“ zmizel z veřejného přístupu.

Obsažené protokoly (všechna data jsou odhady, duplikáty nebyly z výpočtů odstraněny, takže množství skutečných uniklých informací je s největší pravděpodobností menší):

  • více než 3 miliony e-mailových adres zákazníků z obchodů re:Store, Samsung, Street Beat a Lego
  • více než 7 milionů telefonních čísel zákazníků z obchodů re:Store, Sony, Nike, Street Beat a Lego
  • více než 21 tisíc párů login/heslo z osobních účtů kupujících obchodů Sony a Street Beat.
  • většina záznamů s telefonními čísly a e-mailem také obsahovala celá jména (často v latině) a čísla věrnostních karet.

Příklad z protokolu souvisejícího s klientem obchodu Nike (všechna citlivá data nahrazena znaky „X“):

"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n    [contact[phone]] => +7985026XXXXn    [contact[email]] => [email protected]    [contact[channel]] => n    [contact[subscription]] => 0n)n[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 27008290n    [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7985026XXXXn            [email] => [email protected]            [channel] => 0n            [subscription] => 0n        )nn)n","DATE":"31.03.2019 12:52:51"}",

A zde je příklad, jak se ukládala přihlašovací jména a hesla z osobních účtů kupujících na webových stránkách sc-store.ru и street-beat.ru:

"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 26725117n    [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"

Oficiální prohlášení IRG k tomuto incidentu si můžete přečíst zde, úryvek z něj:

Tento bod jsme nemohli ignorovat a změnili jsme hesla k osobním účtům klientů na dočasná, abychom předešli možnému zneužití dat z osobních účtů k podvodným účelům. Společnost nepotvrzuje úniky osobních údajů klientů street-beat.ru. Všechny projekty Inventive Retail Group byly dodatečně zkontrolovány. Nebylo zjištěno žádné ohrožení osobních údajů klientů.

Je špatné, že IRG nemůže zjistit, co uniklo a co ne. Zde je příklad z protokolu souvisejícího s klientem obchodu Street Beat:

"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n    [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ  GET' =nttArrayn(n    [digital_id] => 27016686n    [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7915545XXXXn            [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",

Přejděme však k opravdu špatným zprávám a vysvětleme, proč se jedná o únik osobních údajů klientů IRG.

Pokud se pozorně podíváte na indexy tohoto volně dostupného Elasticsearch, všimnete si v nich dvou jmen: readme и unauth_text. To je charakteristický znak jednoho z mnoha ransomwarových skriptů. Postihlo to více než 4 tisíce serverů Elasticsearch po celém světě. Obsah readme Vypadá to takhle:

"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"

Zatímco server s IRG logy byl volně přístupný, ransomwarový skript rozhodně získal přístup k informacím klientů a podle zprávy, kterou zanechal, byla data stažena.

Navíc nepochybuji, že tato databáze byla nalezena přede mnou a byla již stažena. Dokonce bych řekl, že jsem si tím jistý. Není žádným tajemstvím, že takto otevřené databáze se cíleně vyhledávají a pumpují.

Zprávy o únicích informací a zasvěcených osobách najdete vždy na mém kanálu Telegram "Úniky informací»: https://t.me/dataleak.

Zdroj: www.habr.com

Přidat komentář