Pasintsemajne Kommersant , ke "la klientbazoj de Street Beat kaj Sony Center estis en la publika domeno", sed fakte ĉio estas multe pli malbona ol kio estas skribita en la artikolo.
Mi jam faris detalan teknikan analizon de ĉi tiu liko. , do ĉi tie ni trarigardos nur la ĉefajn punktojn.
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Alia Elasticsearch-servilo kun indeksoj estis libere havebla:
- graylog2_0
- README
- neaŭth_text
- http:
- graylog2_1
В graylog2_0 enhavis protokolojn de la 16.11.2018-a de novembro 2019 ĝis marto XNUMX, kaj en graylog2_1 – protokoloj de marto 2019 ĝis 04.06.2019/XNUMX/XNUMX. Ĝis aliro al Elasticsearch estas fermita, la nombro da rekordoj en graylog2_1 kreskis.
Laŭ la serĉilo Shodan, ĉi tiu Elasticsearch estas libere havebla ekde la 12.11.2018-a de novembro 16.11.2018 (kiel skribite supre, la unuaj enskriboj en la protokoloj estas datitaj la XNUMX-an de novembro XNUMX).
En la ŝtipoj, en la kampo gl2_remote_ip IP-adresoj 185.156.178.58 kaj 185.156.178.62 estis specifitaj, kun DNS-nomoj srv2.inventive.ru и srv3.inventive.ru:
mi sciigis Inventa Retail Group (www.inventive.ru) pri la problemo la 04.06.2019/18/25 je 22:30 (moskva tempo) kaj je XNUMX:XNUMX la servilo "kviete" malaperis el publika aliro.
La protokoloj enhavis (ĉiuj datumoj estas taksoj, duplikatoj ne estis forigitaj de la kalkuloj, do la kvanto de reala likita informo plej verŝajne estas malpli granda):
- pli ol 3 milionoj da retadresoj de klientoj de re:Store, Samsung, Street Beat kaj Lego-butikoj
- pli ol 7 milionoj da telefonnumeroj de klientoj de re:Store, Sony, Nike, Street Beat kaj Lego-butikoj
- pli ol 21 mil paroj de ensaluto/pasvorto el personaj kontoj de aĉetantoj de vendejoj Sony kaj Street Beat.
- la plej multaj rekordoj kun telefonnumeroj kaj retpoŝto ankaŭ enhavis plenajn nomojn (ofte en la latina) kaj lojaleckartnumerojn.
Ekzemplo el la protokolo rilata al la Nike-butiko-kliento (ĉiuj sentemaj datumoj anstataŭigitaj per "X"-signoj):
"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n [contact[phone]] => +7985026XXXXn [contact[email]] => [email protected] [contact[channel]] => n [contact[subscription]] => 0n)n[ДАННЫЕ GET] Arrayn(n [digital_id] => 27008290n [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7985026XXXXn [email] => [email protected] [channel] => 0n [subscription] => 0n )nn)n","DATE":"31.03.2019 12:52:51"}",Kaj jen ekzemplo de kiel ensalutinoj kaj pasvortoj de personaj kontoj de aĉetantoj en retejoj estis konservitaj sc-store.ru и street-beat.ru:
"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ GET] Arrayn(n [digital_id] => 26725117n [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"La oficiala deklaro de IRG pri ĉi tiu okazaĵo legeblas , eltiraĵo de ĝi:
Ni ne povis ignori ĉi tiun punkton kaj ŝanĝis la pasvortojn al personaj kontoj de klientoj al provizoraj, por eviti la eblan uzon de datumoj de personaj kontoj por fraŭdaj celoj. La kompanio ne konfirmas likojn de personaj datumoj de klientoj de street-beat.ru. Ĉiuj projektoj de Inventive Retail Group estis aldone kontrolitaj. Neniuj minacoj al personaj datumoj de klientoj estis detektitaj.
Estas malbone, ke IRG ne povas eltrovi kio likis kaj kio ne. Jen ekzemplo de la protokolo rilata al la kliento de la vendejo Street Beat:
"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ GET' =nttArrayn(n [digital_id] => 27016686n [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7915545XXXXn [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",Tamen, ni transiru al la vere malbonaj novaĵoj kaj klarigu kial ĉi tio estas liko de personaj datumoj de klientoj de IRG.
Se vi rigardas atente la indeksojn de ĉi tiu libere havebla Elasticsearch, vi rimarkos du nomojn en ili: README и neaŭth_text. Ĉi tio estas karakteriza signo de unu el la multaj ransomware-skriptoj. Ĝi influis pli ol 4 mil Elasticsearch-servilojn tra la mondo. Enhavo README similas ĉi tion:
"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"Dum la servilo kun IRG-protokoloj estis libere alirebla, ransomware-skripto certe akiris aliron al la informoj de la klientoj kaj, laŭ la mesaĝo, kiun ĝi lasis, la datumoj estis elŝutitaj.
Krome, mi ne dubas, ke ĉi tiu datumbazo estis trovita antaŭ mi kaj jam estis elŝutita. Mi eĉ dirus, ke mi estas certa pri tio. Ne estas sekreto, ke tiaj malfermitaj datumbazoj estas intence serĉataj kaj pumpitaj.
Novaĵoj pri informfuĝoj kaj internuloj ĉiam troveblas ĉe mia Telegram-kanalo "»: .
fonto: www.habr.com