Joan den astean Kommersant , "Street Beat eta Sony Center-en bezero-baseak jabari publikokoak zirela", baina errealitatean dena artikuluan idatzitakoa baino askoz okerragoa da.
Dagoeneko egin dut filtrazio honen azterketa tekniko zehatza. , beraz, hemen puntu nagusiak bakarrik aztertuko ditugu.
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Indizeak dituen Elasticsearch beste zerbitzari bat doan eskuragarri zegoen:
- greylog2_0
- readme
- unauth_text
- http:
- greylog2_1
В greylog2_0 16.11.2018ko azaroaren 2019tik XNUMXko martxora bitarteko erregistroak izan zituen eta barne greylog2_1 – 2019ko martxotik 04.06.2019/XNUMX/XNUMXra bitarteko erregistroak. Elasticsearch-erako sarbidea itxi arte, sartutako erregistro kopurua greylog2_1 hazi zen.
Shodan bilatzailearen arabera, Elasticsearch hau doan eskuragarri dago 12.11.2018ko azaroaren 16.11.2018tik (goian idatzi bezala, erregistroetako lehen sarrerak XNUMXko azaroaren XNUMXkoak dira).
Erregistroetan, zelaian gl2_urruneko_ip 185.156.178.58 eta 185.156.178.62 IP helbideak zehaztu ziren, DNS izenekin srv2.inventive.ru и srv3.inventive.ru:
jakinarazi nuen Asmatzaile Txikizkako Taldea (www.inventive.ru) arazoari buruz 04.06.2019/18/25an 22:30ean (Moskuko ordua) eta XNUMX:XNUMXerako zerbitzaria "isilik" desagertu zen sarbide publikotik.
Dauden erregistroak (datu guztiak estimazioak dira, bikoiztuak ez dira kendu kalkuluetatik, beraz, filtratutako informazio errealaren kopurua txikiagoa da ziurrenik):
- re:Store, Samsung, Street Beat eta Lego dendetako bezeroen 3 milioi helbide elektroniko baino gehiago
- re:Store, Sony, Nike, Street Beat eta Lego dendetako bezeroen 7 milioi telefono-zenbaki baino gehiago
- 21 mila saio-hasiera/pasahitz bikote baino gehiago Sony eta Street Beat dendetako erosleen kontu pertsonaletatik.
- Telefono zenbakiak eta posta elektronikoa duten erregistro gehienek izen-abizenak (askotan latinez) eta leialtasun txartelaren zenbakiak ere jasotzen zituzten.
Nike denda bezeroarekin erlazionatutako erregistroko adibidea (datu sentikor guztiak "X" karaktereekin ordezkatuta):
"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n [contact[phone]] => +7985026XXXXn [contact[email]] => [email protected] [contact[channel]] => n [contact[subscription]] => 0n)n[ДАННЫЕ GET] Arrayn(n [digital_id] => 27008290n [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7985026XXXXn [email] => [email protected] [channel] => 0n [subscription] => 0n )nn)n","DATE":"31.03.2019 12:52:51"}",Hona hemen webguneetako erosleen kontu pertsonaletako saio-hasiera eta pasahitzak nola gordetzen ziren adibide bat sc-store.ru и street-beat.ru:
"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ GET] Arrayn(n [digital_id] => 26725117n [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"Gertaera honi buruzko IRGren adierazpen ofiziala irakur daiteke , horren zatia:
Ezin izan dugu puntu hau alde batera utzi eta bezeroen kontu pertsonalen pasahitzak aldi baterako aldatu ditugu, kontu pertsonaletako datuak iruzurrezko helburuetarako balizko erabilera ekiditeko. Konpainiak ez du berresten street-beat.ru bezeroen datu pertsonalen filtrazioak. Inventive Retail Group-en proiektu guztiak ere egiaztatu ziren. Ez da bezeroen datu pertsonaletarako mehatxurik hauteman.
Txarra da IRGk ezin asmatzea zer filtratutako eta zer ez. Hona hemen Street Beat denda bezeroarekin erlazionatutako erregistroko adibide bat:
"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ GET' =nttArrayn(n [digital_id] => 27016686n [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7915545XXXXn [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",Hala ere, joan gaitezen albiste benetan txarretara eta azaldu dezagun zergatik den IRG bezeroen datu pertsonalen filtrazioa.
Doan eskuragarri dagoen Elasticsearch honen aurkibideak arretaz begiratzen badituzu, bi izen nabarituko dituzu horietan: readme и unauth_text. Hau ransomware script askoren seinale bereizgarria da. Mundu osoko 4 mila Elasticsearch zerbitzari baino gehiagori eragin die. Edukia readme hau itxura du:
"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"IRG erregistroak zituen zerbitzaria libreki eskuragarri zegoen bitartean, ransomware script batek bezeroen informaziorako sarbidea lortu zuen behin betiko eta, utzitako mezuaren arabera, datuak deskargatu ziren.
Gainera, ez dut zalantzarik datu-base hau nire aurretik aurkitu zela eta dagoeneko deskargatuta zegoela. Honetaz ziur nagoela ere esango nuke. Ez dago sekreturik datu-base ireki horiek nahita bilatu eta botatzen direnik.
Informazio filtrazioei eta barrukoei buruzko albisteak beti aurki daitezke nire Telegram kanalean "' .
Iturria: www.habr.com