ProHoster > Blog > Bestjoer > Lekke fan klantgegevens út re:Store, Samsung, Sony Centre, Nike, LEGO en Street Beat winkels

Lekke fan klantgegevens út re:Store, Samsung, Sony Centre, Nike, LEGO en Street Beat winkels

Ferline wike Kommersant melde, dat "de kliïntbasen fan Street Beat en Sony Center yn it publike domein wiene," mar yn 'e realiteit is alles folle slimmer as wat yn it artikel skreaun is.

Lekke fan klantgegevens út re:Store, Samsung, Sony Centre, Nike, LEGO en Street Beat winkels

Ik haw al in detaillearre technyske analyze fan dit lek dien. yn it Telegram-kanaal, dus sille wy hjir allinich de haadpunten gean.

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

In oare Elasticsearch-tsjinner mei yndeksen wie frij beskikber:

  • greylog2_0
  • README
  • unauth_text
  • http:
  • greylog2_1

В greylog2_0 befette logs fan 16.11.2018 novimber 2019 oant maart XNUMX, en yn greylog2_1 - logs fan maart 2019 oant 04.06.2019/XNUMX/XNUMX. Oant tagong ta Elasticsearch is sletten, is it oantal records yn greylog2_1 groeide.

Neffens de Shodan-sykmasjine is dizze Elasticsearch sûnt novimber 12.11.2018, 16.11.2018 frij beskikber (lykas hjirboppe skreaun, de earste yngongen yn 'e logs binne datearre novimber XNUMX, XNUMX).

Yn de logs, yn it fjild gl2_remote_ip IP-adressen 185.156.178.58 en 185.156.178.62 waarden oantsjutte, mei DNS-nammen srv2.inventive.ru и srv3.inventive.ru:

Lekke fan klantgegevens út re:Store, Samsung, Sony Centre, Nike, LEGO en Street Beat winkels

Ik haw op 'e hichte brocht Inventive Retail Group (www.inventive.ru) oer it probleem op 04.06.2019/18/25 om 22:30 (Moskou-tiid) en troch XNUMX:XNUMX ferdwûn de tsjinner "rêstich" út iepenbiere tagong.

De logs befette (alle gegevens binne rûzingen, duplikaten waarden net fuortsmiten fan 'e berekkeningen, sadat it bedrach fan echte lekke ynformaasje nei alle gedachten minder is):

  • mear as 3 miljoen e-postadressen fan klanten út re: Store, Samsung, Street Beat en Lego winkels
  • mear dan 7 miljoen telefoannûmers fan klanten út re: Store, Sony, Nike, Street Beat en Lego winkels
  • mear as 21 tûzen oanmeld- / wachtwurdpearen fan persoanlike akkounts fan keapers fan Sony- en Street Beat-winkels.
  • de measte records mei telefoannûmers en e-post befette ek folsleine nammen (faak yn it Latyn) en loyaliteit card nûmers.

Foarbyld fan it log yn ferbân mei de Nike winkel client (alle gefoelige gegevens ferfongen troch "X" karakters):

"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n    [contact[phone]] => +7985026XXXXn    [contact[email]] => [email protected]    [contact[channel]] => n    [contact[subscription]] => 0n)n[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 27008290n    [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7985026XXXXn            [email] => [email protected]            [channel] => 0n            [subscription] => 0n        )nn)n","DATE":"31.03.2019 12:52:51"}",

En hjir is in foarbyld fan hoe't logins en wachtwurden fan persoanlike akkounts fan keapers op websiden waarden opslein sc-store.ru и street-beat.ru:

"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 26725117n    [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"

De offisjele IRG-ferklearring oer dit ynsidint kin lêzen wurde hjir, úttreksel derút:

Wy koene dit punt net negearje en feroare de wachtwurden yn 'e persoanlike akkounts fan kliïnten nei tydlike, om it mooglike gebrûk fan gegevens fan persoanlike akkounts foar frauduleuze doelen te foarkommen. It bedriuw befêstiget gjin lekken fan persoanlike gegevens fan street-beat.ru-kliïnten. Alle projekten fan Inventive Retail Group binne ek kontrolearre. Gjin bedrigingen foar persoanlike gegevens fan kliïnten waarden ûntdutsen.

It is slim dat IRG net kin útfine wat is lekke en wat net. Hjir is in foarbyld út it log yn ferbân mei de Street Beat-winkelklient:

"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n    [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ  GET' =nttArrayn(n    [digital_id] => 27016686n    [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7915545XXXXn            [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",

Litte wy lykwols trochgean nei it echt minne nijs en útlizze wêrom dit in lek is fan persoanlike gegevens fan IRG-kliïnten.

As jo ​​de yndeksen fan dizze frij beskikbere Elasticsearch goed besjen, sille jo twa nammen yn har fernimme: README и unauth_text. Dit is in karakteristyk teken fan ien fan 'e protte ransomware-skripts. It beynfloede mear dan 4 tûzen Elasticsearch-tsjinners om 'e wrâld. Ynhâld README sjocht der sa út:

"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"

Wylst de server mei IRG-logs frij tagonklik wie, krige in ransomware-skript definityf tagong ta de ynformaasje fan 'e kliïnten en, neffens it berjocht dat it liet, waarden de gegevens ynladen.

Derneist haw ik gjin twifel dat dizze databank foar my fûn is en al is ynladen. Ik soe sels sizze dat ik hjir wis fan bin. Der is gjin geheim dat sokke iepen databases doelbewust socht en útpompt wurde.

Nijs oer ynformaasjelekken en ynsiders kinne altyd fûn wurde op myn Telegram-kanaal "Ynformaasje lekken»: https://t.me/dataleak.

Boarne: www.habr.com

Add a comment