ProHoster > Blog > administration > Lækage af kundedata fra re:Store, Samsung, Sony Centre, Nike, LEGO og Street Beat butikker

Lækage af kundedata fra re:Store, Samsung, Sony Centre, Nike, LEGO og Street Beat butikker

I sidste uge Kommersant rapporteret, at "kundebaserne i Street Beat og Sony Center var i det offentlige domæne", men i virkeligheden er alt meget værre end det, der står i artiklen.

Lækage af kundedata fra re:Store, Samsung, Sony Centre, Nike, LEGO og Street Beat butikker

Jeg har allerede lavet en detaljeret teknisk analyse af denne lækage. i Telegram-kanalen, så her vil vi kun gennemgå hovedpunkterne.

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

En anden Elasticsearch-server med indekser var frit tilgængelig:

  • graylog2_0
  • readme
  • unauth_text
  • http:
  • graylog2_1

В graylog2_0 indeholdt logfiler fra 16.11.2018. november 2019 til marts XNUMX og i graylog2_1 – logs fra marts 2019 til 04.06.2019/XNUMX/XNUMX. Indtil adgangen til Elasticsearch er lukket, er antallet af poster i graylog2_1 voksede.

Ifølge Shodan-søgemaskinen har denne Elasticsearch været frit tilgængelig siden 12.11.2018. november 16.11.2018 (som skrevet ovenfor er de første poster i loggene dateret XNUMX. november XNUMX).

I loggene, i marken gl2_remote_ip IP-adresserne 185.156.178.58 og 185.156.178.62 blev angivet med DNS-navne srv2.inventive.ru и srv3.inventive.ru:

Lækage af kundedata fra re:Store, Samsung, Sony Centre, Nike, LEGO og Street Beat butikker

jeg meddelte Opfindsom Retail Group (www.inventive.ru) om problemet den 04.06.2019/18/25 kl. 22:30 (Moskva-tid) og kl. XNUMX:XNUMX forsvandt serveren "stille" fra offentlig adgang.

Logfilerne indeholdt (alle data er estimater, dubletter blev ikke fjernet fra beregningerne, så mængden af ​​reelle lækkede oplysninger er højst sandsynligt mindre):

  • mere end 3 millioner e-mailadresser på kunder fra re:Store, Samsung, Street Beat og Lego butikker
  • mere end 7 millioner telefonnumre på kunder fra re:Store, Sony, Nike, Street Beat og Lego butikker
  • mere end 21 tusinde login/adgangskodepar fra personlige konti hos købere af Sony og Street Beat butikker.
  • de fleste poster med telefonnumre og e-mail indeholdt også fulde navne (ofte på latin) og loyalitetskortnumre.

Eksempel fra loggen relateret til Nike Store-klienten (alle følsomme data erstattet med "X"-tegn):

"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n    [contact[phone]] => +7985026XXXXn    [contact[email]] => [email protected]    [contact[channel]] => n    [contact[subscription]] => 0n)n[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 27008290n    [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7985026XXXXn            [email] => [email protected]            [channel] => 0n            [subscription] => 0n        )nn)n","DATE":"31.03.2019 12:52:51"}",

Og her er et eksempel på, hvordan logins og adgangskoder fra købers personlige konti på hjemmesider blev gemt sc-store.ru и street-beat.ru:

"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 26725117n    [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"

Den officielle IRG-erklæring om denne hændelse kan læses her, uddrag af det:

Vi kunne ikke ignorere dette punkt og ændrede adgangskoder til klienters personlige konti til midlertidige for at undgå mulig brug af data fra personlige konti til svigagtige formål. Virksomheden bekræfter ikke lækager af personlige data fra street-beat.ru-kunder. Alle projekter i Inventive Retail Group blev desuden kontrolleret. Ingen trusler mod klienters personlige data blev opdaget.

Det er slemt, at IRG ikke kan finde ud af, hvad der er lækket, og hvad der ikke er. Her er et eksempel fra loggen relateret til Street Beat-butiksklienten:

"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n    [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ  GET' =nttArrayn(n    [digital_id] => 27016686n    [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7915545XXXXn            [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",

Lad os dog gå videre til de virkelig dårlige nyheder og forklare, hvorfor dette er et læk af personlige data fra IRG-kunder.

Hvis du ser nærmere på indekserne for denne frit tilgængelige Elasticsearch, vil du bemærke to navne i dem: readme и unauth_text. Dette er et karakteristisk tegn på et af de mange ransomware-scripts. Det påvirkede mere end 4 tusinde Elasticsearch-servere rundt om i verden. Indhold readme ser sådan ud:

"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"

Mens serveren med IRG-logfiler var frit tilgængelig, fik et ransomware-script helt sikkert adgang til klienternes oplysninger, og ifølge den besked, den efterlod, blev dataene downloadet.

Derudover er jeg ikke i tvivl om, at denne database blev fundet før mig og allerede var downloadet. Jeg vil endda sige, at jeg er sikker på dette. Der er ingen hemmelighed, at sådanne åbne databaser målrettet søges efter og pumpes ud.

Nyheder om informationslækager og insidere kan altid findes på min Telegram-kanal "Informationslækker»: https://t.me/dataleak.

Kilde: www.habr.com

Tilføj en kommentar