ProHoster > Blogi > Haldamine > Kliendiandmete lekkimine kauplustest re:Store, Samsung, Sony Centre, Nike, LEGO ja Street Beat

Kliendiandmete lekkimine kauplustest re:Store, Samsung, Sony Centre, Nike, LEGO ja Street Beat

Eelmisel nädalal Kommersant teatatud, et "Street Beati ja Sony Centeri kliendibaasid olid avalikud", kuid tegelikult on kõik palju hullem, kui artiklis kirjutatakse.

Kliendiandmete lekkimine kauplustest re:Store, Samsung, Sony Centre, Nike, LEGO ja Street Beat

Olen juba teinud selle lekke üksikasjaliku tehnilise analüüsi. Telegrami kanalis, seega käsitleme siin ainult põhipunkte.

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

Veel üks indeksitega Elasticsearchi server oli vabalt saadaval:

  • halllog2_0
  • readme
  • unauth_text
  • http:
  • halllog2_1

В halllog2_0 sisaldas logisid 16.11.2018. novembrist 2019 kuni märtsini XNUMX ja aastal halllog2_1 – logib märtsist 2019 kuni 04.06.2019/XNUMX/XNUMX. Kuni juurdepääs Elasticsearchile on suletud, kirjete arv sisse halllog2_1 kasvas.

Shodani otsingumootori andmetel on see Elasticsearch olnud vabalt saadaval alates 12.11.2018. novembrist 16.11.2018 (nagu ülalpool kirjutatud, on esimesed sissekanded logides kuupäevaga XNUMX. november XNUMX).

Palkides, põllul gl2_remote_ip Määrati IP-aadressid 185.156.178.58 ja 185.156.178.62 koos DNS-nimedega srv2.inventive.ru и srv3.inventive.ru:

Kliendiandmete lekkimine kauplustest re:Store, Samsung, Sony Centre, Nike, LEGO ja Street Beat

andsin teada Leidlik jaemüügigrupp (www.inventive.ru) probleemist 04.06.2019 kell 18:25 (Moskva aja järgi) ja kell 22:30 kadus server “vaikselt” avalikust juurdepääsust.

Sisaldatud logid (kõik andmed on hinnangulised, duplikaate arvutustest ei eemaldatud, seega on tegeliku lekkinud teabe hulk tõenäoliselt väiksem):

  • enam kui 3 miljonit klientide e-posti aadressi kauplustest re:Store, Samsung, Street Beat ja Lego
  • enam kui 7 miljonit klientide telefoninumbrit kauplustest re:Store, Sony, Nike, Street Beat ja Lego
  • rohkem kui 21 tuhat sisselogimis-/paroolipaari Sony ja Street Beati kaupluste ostjate isiklikelt kontodelt.
  • enamik telefoninumbreid ja e-posti sisaldavaid kirjeid sisaldasid ka täisnimesid (sageli ladina keeles) ja kliendikaartide numbreid.

Näide Nike poe kliendiga seotud logist (kõik tundlikud andmed on asendatud tähemärkidega X):

"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n    [contact[phone]] => +7985026XXXXn    [contact[email]] => [email protected]    [contact[channel]] => n    [contact[subscription]] => 0n)n[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 27008290n    [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7985026XXXXn            [email] => [email protected]            [channel] => 0n            [subscription] => 0n        )nn)n","DATE":"31.03.2019 12:52:51"}",

Ja siin on näide sellest, kuidas veebisaitidel ostjate isiklike kontode sisselogimisi ja paroole salvestati sc-store.ru и street-beat.ru:

"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 26725117n    [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"

IRG ametlikku avaldust selle juhtumi kohta saab lugeda siin, väljavõte sellest:

Me ei saanud seda punkti ignoreerida ja muutsime klientide isiklike kontode paroolid ajutiste vastu, et vältida isiklike kontode andmete võimalikku kasutamist pettuse eesmärgil. Ettevõte ei kinnita street-beat.ru klientide isikuandmete lekkimist. Täiendavalt kontrolliti kõiki Inventive Retail Groupi projekte. Ühtegi ohtu klientide isikuandmetele ei tuvastatud.

On halb, et IRG ei saa aru, mis on lekkinud ja mis mitte. Siin on näide Street Beat poe kliendiga seotud logist:

"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n    [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ  GET' =nttArrayn(n    [digital_id] => 27016686n    [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7915545XXXXn            [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",

Liigume aga edasi tõeliselt halbade uudiste juurde ja selgitame, miks on tegemist IRG klientide isikuandmete lekkega.

Kui vaatate tähelepanelikult selle vabalt saadaoleva Elasticsearchi indekseid, märkate neis kahte nime: readme и unauth_text. See on iseloomulik märk ühele paljudest lunavaraskriptidest. See mõjutas enam kui 4 tuhat Elasticsearchi serverit üle maailma. Sisu readme näeb välja selline:

"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"

Kui IRG logidega server oli vabalt ligipääsetav, siis lunavara skript pääses kindlasti ligi klientide teabele ja vastavalt sõnumile, mille ta jättis, laaditi andmed alla.

Lisaks ei kahtle ma, et see andmebaas leiti enne mind ja oli juba alla laaditud. Ma isegi ütleksin, et olen selles kindel. Pole saladus, et selliseid avatud andmebaase otsitakse ja pumbatakse sihikindlalt välja.

Uudiseid teabelekete ja siseringi inimeste kohta leiate alati minu Telegrami kanalilt "Infolekked" https://t.me/dataleak.

Allikas: www.habr.com

Lisa kommentaar