Letzte Woche Kommersant , dass „die Kundenstämme von Street Beat und Sony Center gemeinfrei waren“, aber in Wirklichkeit ist alles viel schlimmer als das, was in dem Artikel geschrieben steht.
Ich habe bereits eine detaillierte technische Analyse dieses Lecks durchgeführt. Daher gehen wir hier nur auf die Hauptpunkte ein.
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Ein weiterer Elasticsearch-Server mit Indizes war frei verfügbar:
- greylog2_0
- readme
- unauth_text
- http:
- greylog2_1
В greylog2_0 Enthaltene Protokolle vom 16.11.2018. November 2019 bis März XNUMX und in greylog2_1 – Protokolle von März 2019 bis 04.06.2019. Bis der Zugriff auf Elasticsearch geschlossen wird, beträgt die Anzahl der Datensätze greylog2_1 wuchs.
Laut der Suchmaschine Shodan ist diese Elasticsearch seit dem 12.11.2018. November 16.11.2018 frei verfügbar (wie oben geschrieben, die ersten Einträge in den Protokollen stammen vom XNUMX. November XNUMX).
In den Protokollen, im Feld gl2_remote_ip Es wurden die IP-Adressen 185.156.178.58 und 185.156.178.62 mit DNS-Namen angegeben srv2.inventive.ru и srv3.inventive.ru:
Ich habe benachrichtigt Erfinderische Einzelhandelsgruppe (www.inventive.ru) über das Problem am 04.06.2019 um 18:25 Uhr (Moskauer Zeit) und um 22:30 Uhr verschwand der Server „leise“ aus dem öffentlichen Zugriff.
Die enthaltenen Protokolle (alle Daten sind Schätzungen, Duplikate wurden nicht aus den Berechnungen entfernt, sodass die Menge der tatsächlich durchgesickerten Informationen höchstwahrscheinlich geringer ist):
- mehr als 3 Millionen E-Mail-Adressen von Kunden aus re:Store-, Samsung-, Street Beat- und Lego-Stores
- mehr als 7 Millionen Telefonnummern von Kunden aus re:Store-, Sony-, Nike-, Street Beat- und Lego-Stores
- mehr als 21 Login-/Passwortpaare aus persönlichen Konten von Käufern von Sony- und Street Beat-Stores.
- Die meisten Datensätze mit Telefonnummern und E-Mail-Adressen enthielten auch vollständige Namen (oft in lateinischer Sprache) und Kundenkartennummern.
Beispiel aus dem Protokoll zum Nike Store-Client (alle sensiblen Daten durch „X“-Zeichen ersetzt):
"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n [contact[phone]] => +7985026XXXXn [contact[email]] => [email protected] [contact[channel]] => n [contact[subscription]] => 0n)n[ДАННЫЕ GET] Arrayn(n [digital_id] => 27008290n [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7985026XXXXn [email] => [email protected] [channel] => 0n [subscription] => 0n )nn)n","DATE":"31.03.2019 12:52:51"}",Und hier ist ein Beispiel dafür, wie Logins und Passwörter von persönlichen Konten von Käufern auf Websites gespeichert wurden sc-store.ru и street-beat.ru:
"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ GET] Arrayn(n [digital_id] => 26725117n [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"Die offizielle IRG-Erklärung zu diesem Vorfall kann nachgelesen werden , Auszug daraus:
Wir konnten diesen Punkt nicht ignorieren und haben die Passwörter der persönlichen Konten der Kunden in temporäre Passwörter geändert, um eine mögliche Verwendung der Daten persönlicher Konten für betrügerische Zwecke zu verhindern. Das Unternehmen bestätigt keine Weitergabe personenbezogener Daten von Kunden von street-beat.ru. Alle Projekte der Inventive Retail Group wurden zusätzlich geprüft. Es wurden keine Bedrohungen für die persönlichen Daten der Kunden festgestellt.
Es ist schlimm, dass IRG nicht herausfinden kann, was durchgesickert ist und was nicht. Hier ist ein Beispiel aus dem Protokoll zum Street Beat Store-Client:
"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ GET' =nttArrayn(n [digital_id] => 27016686n [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7915545XXXXn [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",Kommen wir jedoch zu den wirklich schlechten Nachrichten und erklären, warum es sich hierbei um ein Leck persönlicher Daten von IRG-Kunden handelt.
Wenn Sie sich die Indizes dieses frei verfügbaren Elasticsearch genau ansehen, werden Ihnen zwei Namen darin auffallen: readme и unauth_text. Dies ist ein charakteristisches Zeichen für eines der vielen Ransomware-Skripte. Es betraf mehr als 4 Elasticsearch-Server auf der ganzen Welt. Inhalt readme Es sieht wie folgt aus:
"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"Während der Server mit den IRG-Protokollen frei zugänglich war, verschaffte sich ein Ransomware-Skript definitiv Zugriff auf die Informationen der Clients und laut der hinterlassenen Nachricht wurden die Daten heruntergeladen.
Darüber hinaus habe ich keinen Zweifel daran, dass diese Datenbank vor mir gefunden und bereits heruntergeladen wurde. Ich würde sogar sagen, dass ich mir dessen sicher bin. Es ist kein Geheimnis, dass solche offenen Datenbanken gezielt durchsucht und ausgepumpt werden.
Neuigkeiten zu Informationslecks und Insidern finden Sie immer auf meinem Telegram-Kanal.»: .
Source: habr.com