Την περασμένη εβδομάδα η Kommersant , ότι «οι βάσεις πελατών της Street Beat και της Sony Center ήταν στο δημόσιο τομέα», αλλά στην πραγματικότητα όλα είναι πολύ χειρότερα από αυτά που γράφονται στο άρθρο.
Έχω ήδη κάνει μια λεπτομερή τεχνική ανάλυση αυτής της διαρροής. , οπότε εδώ θα εξετάσουμε μόνο τα κύρια σημεία.
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Ένας άλλος διακομιστής Elasticsearch με ευρετήρια ήταν δωρεάν διαθέσιμος:
- graylog2_0
- readme
- unauth_text
- http:
- graylog2_1
В graylog2_0 περιείχε αρχεία καταγραφής από τις 16.11.2018 Νοεμβρίου 2019 έως τον Μάρτιο του XNUMX και σε graylog2_1 – αρχεία καταγραφής από τον Μάρτιο του 2019 έως τις 04.06.2019/XNUMX/XNUMX. Μέχρι να κλείσει η πρόσβαση στο Elasticsearch, ο αριθμός των εγγραφών είναι μέσα graylog2_1 μεγάλωσε.
Σύμφωνα με τη μηχανή αναζήτησης Shodan, αυτό το Elasticsearch είναι δωρεάν διαθέσιμο από τις 12.11.2018 Νοεμβρίου 16.11.2018 (όπως γράφτηκε παραπάνω, οι πρώτες καταχωρίσεις στα αρχεία καταγραφής έχουν ημερομηνία XNUMX Νοεμβρίου XNUMX).
Στα κούτσουρα, στο χωράφι gl2_remote_ip Καθορίστηκαν οι διευθύνσεις IP 185.156.178.58 και 185.156.178.62, με ονόματα DNS srv2.inventive.ru и srv3.inventive.ru:
ειδοποίησα Inventive Retail Group (www.inventive.ru) σχετικά με το πρόβλημα στις 04.06.2019/18/25 στις 22:30 (ώρα Μόσχας) και στις XNUMX:XNUMX ο διακομιστής εξαφανίστηκε «αθόρυβα» από την πρόσβαση του κοινού.
Τα αρχεία καταγραφής που περιέχονται (όλα τα δεδομένα είναι εκτιμήσεις, τα διπλότυπα δεν αφαιρέθηκαν από τους υπολογισμούς, επομένως ο όγκος των πραγματικών πληροφοριών που διέρρευσαν είναι πιθανότατα μικρότερος):
- περισσότερες από 3 εκατομμύρια διευθύνσεις email πελατών από καταστήματα re:Store, Samsung, Street Beat και Lego
- περισσότεροι από 7 εκατομμύρια τηλεφωνικοί αριθμοί πελατών από καταστήματα re:Store, Sony, Nike, Street Beat και Lego
- περισσότερα από 21 χιλιάδες ζεύγη σύνδεσης/κωδικού πρόσβασης από προσωπικούς λογαριασμούς αγοραστών των καταστημάτων Sony και Street Beat.
- Τα περισσότερα αρχεία με αριθμούς τηλεφώνου και email περιείχαν επίσης πλήρη ονόματα (συχνά στα λατινικά) και αριθμούς καρτών πίστης.
Παράδειγμα από το αρχείο καταγραφής που σχετίζεται με τον πελάτη Nike store (όλα τα ευαίσθητα δεδομένα αντικαταστάθηκαν με χαρακτήρες "X"):
"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n [contact[phone]] => +7985026XXXXn [contact[email]] => [email protected] [contact[channel]] => n [contact[subscription]] => 0n)n[ДАННЫЕ GET] Arrayn(n [digital_id] => 27008290n [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7985026XXXXn [email] => [email protected] [channel] => 0n [subscription] => 0n )nn)n","DATE":"31.03.2019 12:52:51"}",Και εδώ είναι ένα παράδειγμα για το πώς αποθηκεύτηκαν τα στοιχεία σύνδεσης και οι κωδικοί πρόσβασης από προσωπικούς λογαριασμούς αγοραστών σε ιστότοπους sc-store.ru и street-beat.ru:
"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ GET] Arrayn(n [digital_id] => 26725117n [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"Μπορείτε να διαβάσετε την επίσημη δήλωση του IRG για αυτό το περιστατικό , απόσπασμα από αυτό:
Δεν μπορούσαμε να αγνοήσουμε αυτό το σημείο και αλλάξαμε τους κωδικούς πρόσβασης στους προσωπικούς λογαριασμούς των πελατών σε προσωρινούς, προκειμένου να αποφευχθεί η πιθανή χρήση δεδομένων από προσωπικούς λογαριασμούς για δόλιους σκοπούς. Η εταιρεία δεν επιβεβαιώνει διαρροές προσωπικών δεδομένων πελατών του street-beat.ru. Όλα τα έργα της Inventive Retail Group ελέγχθηκαν επιπλέον. Δεν εντοπίστηκαν απειλές για τα προσωπικά δεδομένα των πελατών.
Είναι κακό που το IRG δεν μπορεί να καταλάβει τι έχει διαρρεύσει και τι όχι. Ακολουθεί ένα παράδειγμα από το αρχείο καταγραφής που σχετίζεται με τον πελάτη του καταστήματος Street Beat:
"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ GET' =nttArrayn(n [digital_id] => 27016686n [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7915545XXXXn [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",Ωστόσο, ας περάσουμε στα πραγματικά άσχημα νέα και ας εξηγήσουμε γιατί πρόκειται για διαρροή προσωπικών δεδομένων πελατών του IRG.
Αν κοιτάξετε προσεκτικά τα ευρετήρια αυτού του ελεύθερα διαθέσιμου Elasticsearch, θα παρατηρήσετε δύο ονόματα σε αυτά: readme и unauth_text. Αυτό είναι ένα χαρακτηριστικό σημάδι ενός από τα πολλά σενάρια ransomware. Επηρέασε περισσότερους από 4 χιλιάδες διακομιστές Elasticsearch σε όλο τον κόσμο. Περιεχόμενο readme μοιάζει με αυτό:
"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"Ενώ ο διακομιστής με αρχεία καταγραφής IRG ήταν ελεύθερα προσβάσιμος, ένα σενάριο ransomware απέκτησε σίγουρα πρόσβαση στις πληροφορίες των πελατών και, σύμφωνα με το μήνυμα που άφησε, έγινε λήψη των δεδομένων.
Επιπλέον, δεν έχω καμία αμφιβολία ότι αυτή η βάση δεδομένων βρέθηκε πριν από εμένα και έχει ήδη ληφθεί. Θα έλεγα μάλιστα ότι είμαι σίγουρος για αυτό. Δεν υπάρχει μυστικό ότι τέτοιες ανοιχτές βάσεις δεδομένων αναζητούνται και αντλούνται σκόπιμα.
Μπορείτε πάντα να βρείτε ειδήσεις σχετικά με διαρροές πληροφοριών και μυστικά στοιχεία στο κανάλι μου στο Telegram "» .
Πηγή: www.habr.com