ProHoster > وبلاگ > اداره > نشت اطلاعات مشتری از فروشگاه‌های Re:Store، Samsung، Sony Centre، Nike، LEGO و Street Beat

نشت اطلاعات مشتری از فروشگاه‌های Re:Store، Samsung، Sony Centre، Nike، LEGO و Street Beat

هفته گذشته کومرسانت گزارش شده، که "پایگاه مشتریان Street Beat و Sony Center در مالکیت عمومی بودند"، اما در واقعیت همه چیز بسیار بدتر از آنچه در مقاله نوشته شده است.

نشت اطلاعات مشتری از فروشگاه‌های Re:Store، Samsung، Sony Centre، Nike، LEGO و Street Beat

من قبلاً یک تحلیل فنی دقیق از این نشت انجام داده ام. در کانال تلگرام، بنابراین در اینجا فقط به نکات اصلی می پردازیم.

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

یکی دیگر از سرورهای Elasticsearch با فهرست به صورت رایگان در دسترس بود:

  • graylog2_0
  • صفحهی راهنمای ترجمهها
  • unauth_text
  • HTTP:
  • graylog2_1

В graylog2_0 شامل گزارش‌هایی از 16.11.2018 نوامبر 2019 تا مارس XNUMX، و در graylog2_1 - از مارس 2019 تا 04.06.2019/XNUMX/XNUMX ثبت می شود. تا زمانی که دسترسی به Elasticsearch بسته نشود، تعداد رکوردها در graylog2_1 رشد کرد.

با توجه به موتور جستجوی Shodan، این Elasticsearch از 12.11.2018 نوامبر 16.11.2018 به صورت رایگان در دسترس بوده است (همانطور که در بالا نوشته شد، اولین ورودی ها در گزارش ها به تاریخ XNUMX نوامبر XNUMX می رسد).

در سیاهههای مربوط، در زمینه gl2_remote_ip آدرس های IP 185.156.178.58 و 185.156.178.62 با نام های DNS مشخص شد srv2.inventive.ru и srv3.inventive.ru:

نشت اطلاعات مشتری از فروشگاه‌های Re:Store، Samsung، Sony Centre، Nike، LEGO و Street Beat

اطلاع دادم گروه خرده فروشی مبتکر (www.inventive.ru) در مورد مشکل در تاریخ 04.06.2019/18/25 ساعت 22:30 (به وقت مسکو) و تا ساعت XNUMX:XNUMX سرور "بی سر و صدا" از دسترسی عمومی ناپدید شد.

گزارش‌های موجود (همه داده‌ها تخمینی هستند، موارد تکراری از محاسبات حذف نشدند، بنابراین مقدار اطلاعات واقعی درز شده به احتمال زیاد کمتر است):

  • بیش از 3 میلیون آدرس ایمیل مشتریان از فروشگاه‌های re:Store، Samsung، Street Beat و Lego
  • بیش از ۷ میلیون شماره تلفن مشتری از فروشگاه‌های Re:Store، Sony، Nike، Street Beat و Lego
  • بیش از 21 هزار جفت ورود / رمز عبور از حساب های شخصی خریداران فروشگاه های سونی و استریت بیت.
  • اکثر سوابق با شماره تلفن و ایمیل همچنین حاوی نام کامل (اغلب به زبان لاتین) و شماره کارت وفاداری بودند.

مثالی از گزارش مربوط به سرویس گیرنده فروشگاه Nike (همه داده های حساس با نویسه های "X" جایگزین شده اند):

"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n    [contact[phone]] => +7985026XXXXn    [contact[email]] => [email protected]    [contact[channel]] => n    [contact[subscription]] => 0n)n[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 27008290n    [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7985026XXXXn            [email] => [email protected]            [channel] => 0n            [subscription] => 0n        )nn)n","DATE":"31.03.2019 12:52:51"}",

و در اینجا نمونه ای از نحوه ذخیره ورود و رمز عبور از حساب های شخصی خریداران در وب سایت ها آورده شده است sc-store.ru и street-beat.ru:

"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 26725117n    [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"

بیانیه رسمی سپاه درباره این حادثه قابل خواندن است اینجا، گزیده ای از آن:

ما نتوانستیم این نکته را نادیده بگیریم و برای جلوگیری از استفاده احتمالی از داده‌های حساب‌های شخصی برای مقاصد تقلبی، رمزهای عبور حساب‌های شخصی مشتریان را به حساب‌های موقت تغییر دادیم. این شرکت نشت اطلاعات شخصی مشتریان street-beat.ru را تایید نمی کند. تمامی پروژه های Inventive Retail Group نیز بررسی شدند. هیچ تهدیدی برای اطلاعات شخصی مشتریان شناسایی نشد.

بد است که IRG نمی تواند بفهمد چه چیزی درز کرده است و چه چیزی نیست. در اینجا یک مثال از گزارش مربوط به مشتری فروشگاه Street Beat آورده شده است:

"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n    [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ  GET' =nttArrayn(n    [digital_id] => 27016686n    [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7915545XXXXn            [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",

با این حال، اجازه دهید به سراغ خبرهای واقعا بد برویم و توضیح دهیم که چرا این نشت اطلاعات شخصی مشتریان سپاه است.

اگر به نمایه های این Elasticsearch رایگان در دسترس نگاه کنید، متوجه دو نام در آنها خواهید شد: صفحهی راهنمای ترجمهها и unauth_text. این نشانه مشخصه یکی از اسکریپت های باج افزار بسیار است. بیش از 4 هزار سرور Elasticsearch در سراسر جهان را تحت تأثیر قرار داد. محتوا صفحهی راهنمای ترجمهها به نظر می رسد این:

"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"

در حالی که سرور با گزارش‌های IRG آزادانه در دسترس بود، یک اسکریپت باج‌افزار قطعاً به اطلاعات مشتریان دسترسی پیدا کرد و با توجه به پیامی که گذاشت، داده‌ها دانلود شد.

علاوه بر این، من شک ندارم که این پایگاه داده قبل از من پیدا شده و قبلاً دانلود شده است. حتی می توانم بگویم که از این موضوع مطمئن هستم. هیچ رازی وجود ندارد که چنین پایگاه داده های باز به طور هدفمند جستجو و پمپاژ می شوند.

اخبار مربوط به درز اطلاعات و خودی ها را همیشه می توانید در کانال تلگرام من پیدا کنید.نشت اطلاعات»: https://t.me/dataleak.

منبع: www.habr.com

اضافه کردن نظر