La semaine dernière Kommersant , que «les bases de clients de Street Beat et du Sony Center étaient dans le domaine public», mais en réalité tout est bien pire que ce qui est écrit dans l'article.
J'ai déjà fait une analyse technique détaillée de cette fuite. , nous ne retiendrons donc ici que les points principaux.
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Un autre serveur Elasticsearch avec des index était disponible gratuitement :
- graylog2_0
- readme
- unauth_text
- http:
- graylog2_1
В graylog2_0 contenait des journaux du 16.11.2018 novembre 2019 à mars XNUMX, et dans graylog2_1 – journaux de mars 2019 au 04.06.2019/XNUMX/XNUMX. Jusqu'à la fermeture de l'accès à Elasticsearch, le nombre d'enregistrements dans graylog2_1 grandi.
Selon le moteur de recherche Shodan, cet Elasticsearch est disponible gratuitement depuis le 12.11.2018 novembre 16.11.2018 (comme indiqué ci-dessus, les premières entrées dans les journaux sont datées du XNUMX novembre XNUMX).
Dans les journaux, sur le terrain gl2_remote_ip Les adresses IP 185.156.178.58 et 185.156.178.62 ont été spécifiées, avec des noms DNS srv2.inventive.ru и srv3.inventive.ru:
j'ai notifié Groupe de distribution inventif (www.inventive.ru) sur le problème le 04.06.2019/18/25 à 22h30 (heure de Moscou) et à XNUMXhXNUMX, le serveur a « discrètement » disparu de l'accès public.
Les journaux contenus (toutes les données sont des estimations, les doublons n'ont pas été supprimés des calculs, donc la quantité d'informations réelles divulguées est probablement moindre) :
- plus de 3 millions d'adresses e-mail de clients des magasins re:Store, Samsung, Street Beat et Lego
- plus de 7 millions de numéros de téléphone de clients des magasins re:Store, Sony, Nike, Street Beat et Lego
- plus de 21 XNUMX paires login/mot de passe provenant de comptes personnels d'acheteurs des magasins Sony et Street Beat.
- la plupart des enregistrements contenant des numéros de téléphone et des adresses e-mail contenaient également des noms complets (souvent en latin) et des numéros de carte de fidélité.
Exemple tiré du journal lié au client de la boutique Nike (toutes les données sensibles remplacées par des caractères « X ») :
"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n [contact[phone]] => +7985026XXXXn [contact[email]] => [email protected] [contact[channel]] => n [contact[subscription]] => 0n)n[ДАННЫЕ GET] Arrayn(n [digital_id] => 27008290n [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7985026XXXXn [email] => [email protected] [channel] => 0n [subscription] => 0n )nn)n","DATE":"31.03.2019 12:52:51"}",Et voici un exemple de la façon dont les identifiants et les mots de passe des comptes personnels des acheteurs sur les sites Web ont été stockés sc-store.ru и street-beat.ru:
"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ GET] Arrayn(n [digital_id] => 26725117n [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"La déclaration officielle de l'IRG sur cet incident peut être lue , extrait de celui-ci :
Nous ne pouvions pas ignorer ce point et avons remplacé les mots de passe des comptes personnels des clients par des mots de passe temporaires, afin d’éviter une éventuelle utilisation des données des comptes personnels à des fins frauduleuses. La société ne confirme pas les fuites de données personnelles des clients de street-beat.ru. Tous les projets d'Inventive Retail Group ont également été vérifiés. Aucune menace contre les données personnelles des clients n'a été détectée.
C’est dommage qu’IRG ne puisse pas déterminer ce qui a fuité et ce qui n’a pas fuité. Voici un exemple tiré du journal lié au client du magasin Street Beat :
"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ GET' =nttArrayn(n [digital_id] => 27016686n [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7915545XXXXn [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",Cependant, passons à la très mauvaise nouvelle et expliquons pourquoi il s'agit d'une fuite de données personnelles des clients de l'IRG.
Si vous regardez attentivement les index de cet Elasticsearch disponible gratuitement, vous y remarquerez deux noms : readme и unauth_text. C’est un signe caractéristique d’un des nombreux scripts de ransomware. Cela a affecté plus de 4 XNUMX serveurs Elasticsearch dans le monde. Contenu readme Il ressemble à ceci:
"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"Alors que le serveur contenant les journaux IRG était librement accessible, un script de ransomware a définitivement accédé aux informations des clients et, selon le message qu'il a laissé, les données ont été téléchargées.
De plus, je n'ai aucun doute sur le fait que cette base de données a été trouvée avant moi et déjà téléchargée. Je dirais même que j'en suis sûr. Ce n’est un secret pour personne que ces bases de données ouvertes sont délibérément recherchées et exploitées.
Les nouvelles sur les fuites d'informations et les initiés peuvent toujours être trouvées sur ma chaîne Telegram "»: .
Source: habr.com