La semana pasada Kommersant , que “las bases de clientes de Street Beat y Sony Center eran de dominio público”, pero en realidad todo es mucho peor de lo que está escrito en el artículo.
Ya hice un análisis técnico detallado de esta filtración. , por lo que aquí repasaremos sólo los puntos principales.
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Otro servidor Elasticsearch con índices estaba disponible gratuitamente:
- grislog2_0
- readme
- texto_unauth
- http:
- grislog2_1
В grislog2_0 contenía registros desde el 16.11.2018 de noviembre de 2019 hasta marzo de XNUMX, y en grislog2_1 – registros de marzo de 2019 al 04.06.2019/XNUMX/XNUMX. Hasta que se cierre el acceso a Elasticsearch, el número de registros en grislog2_1 creció.
Según el motor de búsqueda Shodan, este Elasticsearch está disponible gratuitamente desde el 12.11.2018 de noviembre de 16.11.2018 (como se indicó anteriormente, las primeras entradas en los registros datan del XNUMX de noviembre de XNUMX).
En los troncos, en el campo. gl2_remote_ip Se especificaron las direcciones IP 185.156.178.58 y 185.156.178.62, con nombres DNS srv2.inventive.ru и srv3.inventive.ru:
notifiqué Grupo inventivo minorista (www.inventive.ru) sobre el problema el 04.06.2019/18/25 a las 22:30 (hora de Moscú) y a las XNUMX:XNUMX el servidor desapareció "silenciosamente" del acceso público.
Los registros contenidos (todos los datos son estimaciones, los duplicados no se eliminaron de los cálculos, por lo que la cantidad de información real filtrada probablemente sea menor):
- Más de 3 millones de direcciones de correo electrónico de clientes de las tiendas re:Store, Samsung, Street Beat y Lego.
- más de 7 millones de números de teléfono de clientes de tiendas re:Store, Sony, Nike, Street Beat y Lego
- más de 21 mil pares de inicio de sesión/contraseña de cuentas personales de compradores de las tiendas Sony y Street Beat.
- la mayoría de los registros con números de teléfono y correo electrónico también contenían nombres completos (a menudo en latín) y números de tarjetas de fidelidad.
Ejemplo del registro relacionado con el cliente de la tienda Nike (todos los datos confidenciales reemplazados por caracteres "X"):
"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n [contact[phone]] => +7985026XXXXn [contact[email]] => [email protected] [contact[channel]] => n [contact[subscription]] => 0n)n[ДАННЫЕ GET] Arrayn(n [digital_id] => 27008290n [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7985026XXXXn [email] => [email protected] [channel] => 0n [subscription] => 0n )nn)n","DATE":"31.03.2019 12:52:51"}",Y aquí hay un ejemplo de cómo se almacenaron los inicios de sesión y contraseñas de las cuentas personales de los compradores en los sitios web. sc-store.ru и street-beat.ru:
"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ GET] Arrayn(n [digital_id] => 26725117n [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"Se puede leer la declaración oficial del IRG sobre este incidente. , extracto del mismo:
No pudimos ignorar este punto y cambiamos las contraseñas de las cuentas personales de los clientes por contraseñas temporales, para evitar el posible uso de datos de cuentas personales con fines fraudulentos. La empresa no confirma la filtración de datos personales de los clientes de street-beat.ru. Además se comprobaron todos los proyectos de Inventive Retail Group. No se detectaron amenazas a los datos personales de los clientes.
Es malo que el IRG no pueda descubrir qué se ha filtrado y qué no. A continuación se muestra un ejemplo del registro relacionado con el cliente de la tienda Street Beat:
"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ GET' =nttArrayn(n [digital_id] => 27016686n [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7915545XXXXn [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",Sin embargo, pasemos a las realmente malas noticias y expliquemos por qué se trata de una filtración de datos personales de clientes de IRG.
Si observa detenidamente los índices de este Elasticsearch disponible gratuitamente, notará dos nombres en ellos: readme и texto_unauth. Este es un signo característico de uno de los muchos scripts de ransomware. Afectó a más de 4 mil servidores de Elasticsearch en todo el mundo. Contenido readme Se ve así:
"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"Si bien se podía acceder libremente al servidor con los registros de IRG, un script de ransomware definitivamente obtuvo acceso a la información de los clientes y, según el mensaje que dejó, los datos se descargaron.
Además, no tengo ninguna duda de que esta base de datos fue encontrada antes que yo y ya fue descargada. Incluso diría que estoy seguro de ello. No es ningún secreto que estas bases de datos abiertas se buscan y extraen intencionalmente.
Las noticias sobre filtraciones de información y personas con información privilegiada siempre se pueden encontrar en mi canal de Telegram "»: .
Fuente: habr.com