Gollyngiad o ddata cwsmeriaid o siopau re:Store, Samsung, Sony Centre, Nike, LEGO a Street Beat

Yr wythnos ddiweddaf Kommersant adroddwyd, bod “sylfeini cleientiaid Street Beat a Sony Center yn gyhoeddus,” ond mewn gwirionedd mae popeth yn waeth o lawer na'r hyn sydd wedi'i ysgrifennu yn yr erthygl.

Rwyf eisoes wedi gwneud dadansoddiad technegol manwl o'r gollyngiad hwn. yn y sianel Telegram, felly dyma ni yn mynd dros y prif bwyntiau yn unig.

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

Roedd gweinydd Elasticsearch arall gyda mynegeion ar gael am ddim:

• llwydlog2_0
• readme
• unauth_testun
• http:
• llwydlog2_1

В llwydlog2_0 yn cynnwys logiau rhwng Tachwedd 16.11.2018, 2019 a Mawrth XNUMX, ac yn llwydlog2_1 – logiau o fis Mawrth 2019 i 04.06.2019/XNUMX/XNUMX. Hyd nes y bydd mynediad i Elasticsearch ar gau, mae nifer y cofnodion yn llwydlog2_1 tyfodd.

Yn ôl peiriant chwilio Shodan, mae'r Elasticsearch hwn wedi bod ar gael am ddim ers Tachwedd 12.11.2018, 16.11.2018 (fel yr ysgrifennwyd uchod, mae'r cofnodion cyntaf yn y logiau yn ddyddiedig Tachwedd XNUMX, XNUMX).

Yn y logiau, yn y cae gl2_remote_ip Pennwyd cyfeiriadau IP 185.156.178.58 a 185.156.178.62, gydag enwau DNS srv2.inventive.ru и srv3.inventive.ru:

hysbysais Grŵp Manwerthu Dyfeisgar (www.inventive.ru) am y broblem ar 04.06.2019/18/25 am 22:30 (amser Moscow) ac erbyn XNUMX:XNUMX roedd y gweinydd “yn dawel” wedi diflannu o fynediad cyhoeddus.

Y logiau sydd wedi'u cynnwys (amcangyfrifon yw'r holl ddata, ni chafodd copïau dyblyg eu tynnu o'r cyfrifiadau, felly mae swm y wybodaeth wirioneddol a ddatgelwyd yn fwyaf tebygol yn llai):

• mwy na 3 miliwn o gyfeiriadau e-bost cwsmeriaid o siopau re:Store, Samsung, Street Beat a Lego
• mwy na 7 miliwn o rifau ffôn o gwsmeriaid o siopau re:Store, Sony, Nike, Street Beat a Lego
• mwy na 21 mil o barau mewngofnodi/cyfrinair o gyfrifon personol prynwyr siopau Sony a Street Beat.
• roedd y rhan fwyaf o gofnodion gyda rhifau ffôn ac e-bost hefyd yn cynnwys enwau llawn (yn Lladin yn aml) a rhifau cardiau teyrngarwch.

Enghraifft o'r log sy'n ymwneud â chleient siop Nike (mae nodau "X" yn cymryd lle'r holl ddata sensitif):

"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n    [contact[phone]] => +7985026XXXXn    [contact[email]] => [email protected]    [contact[channel]] => n    [contact[subscription]] => 0n)n[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 27008290n    [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7985026XXXXn            [email] => [email protected]            [channel] => 0n            [subscription] => 0n        )nn)n","DATE":"31.03.2019 12:52:51"}",

A dyma enghraifft o sut y cafodd mewngofnodi a chyfrineiriau o gyfrifon personol prynwyr ar wefannau eu storio sc-store.ru и stryd-beat.ru:

"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 26725117n    [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"

Gellir darllen datganiad swyddogol yr IRG ar y digwyddiad hwn yma, dyfyniad ohono:

Ni allem anwybyddu'r pwynt hwn a newidiwyd y cyfrineiriau i gyfrifon personol cleientiaid i rai dros dro, er mwyn osgoi'r defnydd posibl o ddata o gyfrifon personol at ddibenion twyllodrus. Nid yw'r cwmni'n cadarnhau gollyngiadau o ddata personol cleientiaid street-beat.ru. Cafodd holl brosiectau Inventive Retail Group eu gwirio hefyd. Ni chanfuwyd unrhyw fygythiadau i ddata personol cleientiaid.

Mae'n ddrwg na all IRG ddarganfod beth sydd wedi gollwng a beth sydd heb. Dyma enghraifft o'r log sy'n ymwneud â chleient siop Street Beat:

"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n    [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ  GET' =nttArrayn(n    [digital_id] => 27016686n    [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7915545XXXXn            [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",

Fodd bynnag, gadewch i ni symud ymlaen at y newyddion drwg iawn ac esbonio pam mae hwn yn gollyngiad o ddata personol cleientiaid IRG.

Os edrychwch yn ofalus ar fynegeion yr Elasticsearch hwn sydd ar gael am ddim, fe sylwch ar ddau enw ynddynt: readme и unauth_testun. Mae hyn yn arwydd nodweddiadol o un o'r sgriptiau ransomware niferus. Effeithiodd ar fwy na 4 mil o weinyddion Elasticsearch ledled y byd. Cynnwys readme yn edrych fel hyn:

"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"

Er bod y gweinydd gyda logiau IRG ar gael yn rhwydd, roedd sgript ransomware yn bendant wedi cael mynediad at wybodaeth y cleientiaid ac, yn ôl y neges a adawodd, cafodd y data ei lawrlwytho.

Yn ogystal, nid oes gennyf unrhyw amheuaeth bod y gronfa ddata hon wedi'i chanfod o'm blaen a'i bod eisoes wedi'i llwytho i lawr. Byddwn hyd yn oed yn dweud fy mod yn siŵr o hyn. Nid oes unrhyw gyfrinach bod cronfeydd data agored o'r fath yn cael eu chwilio'n bwrpasol a'u pwmpio allan.

Mae newyddion am ollyngiadau gwybodaeth a mewnwyr i'w gweld bob amser ar fy sianel Telegram "Gwybodaeth yn gollwng' https://t.me/dataleak.

Ffynhonnell: hab.com