An tseachtain seo caite Kommersant , go raibh “bunáit cliant Street Beat agus Sony Center i mbéal an phobail,” ach i ndáiríre tá gach rud i bhfad níos measa ná mar atá scríofa san alt.
Tá anailís theicniúil mhionsonraithe déanta agam ar an sceitheadh seo cheana féin. , mar sin anseo beidh muid ag dul thar ach na príomhphointí.
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Bhí freastalaí Elasticsearch eile le hinnéacsanna ar fáil saor in aisce:
- liathlog2_0
- EOLAIS
- unauth_text
- http:
- liathlog2_1
В liathlog2_0 ina raibh logaí ó 16.11.2018 Samhain, 2019 go Márta XNUMX, agus i liathlog2_1 – logaí ó Mhárta 2019 go dtí 04.06.2019/XNUMX/XNUMX. Go dtí go ndúntar rochtain ar Elasticsearch, líon na dtaifead i liathlog2_1 d'fhás.
De réir inneall cuardaigh Shodan, tá an Elasticsearch seo ar fáil go saor ó 12.11.2018 Samhain, 16.11.2018 (mar atá scríofa thuas, tá na chéad iontrálacha sna logaí dar dáta XNUMX Samhain, XNUMX).
Sna logs, sa réimse gl2_iargúlta_ip Sonraíodh seoltaí IP 185.156.178.58 agus 185.156.178.62, le hainmneacha DNS srv2.inventive.ru и srv3.inventive.ru:
chuir mé fios Grúpa Miondíola Airgtheach (www.inventive.ru) faoin bhfadhb ar 04.06.2019/18/25 ag 22:30 (am Moscó) agus faoi XNUMX:XNUMX bhí an freastalaí “go ciúin” imithe ó rochtain phoiblí.
Na logaí a chuimsítear (meastacháin iad na sonraí go léir, níor baineadh dúblaigh as na ríomhanna, mar sin is dócha gur lú an méid faisnéise iarbhír a sceitheadh):
- níos mó ná 3 mhilliún seoladh ríomhphoist ó chustaiméirí ó re:Store, Samsung, Street Beat agus Lego
- níos mó ná 7 milliún uimhir theileafóin custaiméirí ó siopaí re:Store, Sony, Nike, Street Beat agus Lego
- níos mó ná 21 míle péire logáil isteach/pasfhocail ó chuntais phearsanta cheannaitheoirí siopaí Sony agus Street Beat.
- Bhí ainmneacha iomlána (i Laidin go minic) agus uimhreacha cártaí dílseachta i bhformhór na dtaifead le huimhreacha gutháin agus ríomhphoist.
Sampla ón logáil a bhaineann le cliant siopa Nike (cuirtear carachtair “X” in ionad na sonraí íogaire go léir):
"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n [contact[phone]] => +7985026XXXXn [contact[email]] => [email protected] [contact[channel]] => n [contact[subscription]] => 0n)n[ДАННЫЕ GET] Arrayn(n [digital_id] => 27008290n [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7985026XXXXn [email] => [email protected] [channel] => 0n [subscription] => 0n )nn)n","DATE":"31.03.2019 12:52:51"}",Agus seo sampla de conas a stóráiltear logáil isteach agus pasfhocail ó chuntais phearsanta ceannaitheoirí ar láithreáin ghréasáin sc-siopa.ru и sráid-buille.ru:
"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ GET] Arrayn(n [digital_id] => 26725117n [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"Is féidir ráiteas oifigiúil an IRG faoin eachtra seo a léamh , sliocht uaidh:
Níorbh fhéidir linn neamhaird a dhéanamh den phointe seo agus d’athraigh muid na pasfhocail chuig cuntais phearsanta na gcliant go cinn shealadacha, chun úsáid fhéideartha sonraí ó chuntais phearsanta chun críocha calaoiseacha a sheachaint. Ní dhearbhaíonn an chuideachta sceitheadh sonraí pearsanta na gcliant street-beat.ru. Seiceáladh gach tionscadal de chuid an Ghrúpa Miondíola Airgtheach freisin. Níor aimsíodh aon bhagairt ar shonraí pearsanta na gcliant.
Is olc an rud nach féidir leis an IRG a dhéanamh amach cad atá tar éis sceitheadh agus cad nach bhfuil. Seo sampla ón logáil a bhaineann leis an gcliant siopa Street Beat:
"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ GET' =nttArrayn(n [digital_id] => 27016686n [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7915545XXXXn [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",Mar sin féin, déanaimis bogadh ar aghaidh go dtí an drochscéal agus mínigh cén fáth gur sceitheadh sonraí pearsanta na gcliant IRG é seo.
Má fhéachann tú go géar ar innéacsanna an Elasticsearch seo atá ar fáil go héasca, tabharfaidh tú dhá ainm faoi deara iontu: EOLAIS и unauth_text. Is sainchomhartha é seo de cheann de na go leor scripteanna ransomware. Chuir sé isteach ar níos mó ná 4 mhíle freastalaithe Elasticsearch ar fud an domhain. Ábhar EOLAIS tá an chuma air seo:
"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"Cé go raibh an freastalaí le logaí IRG inrochtana go héasca, is cinnte go bhfuair script ransomware rochtain ar fhaisnéis na gcliant agus, de réir na teachtaireachta a d’fhág sé, íoslódáladh na sonraí.
Ina theannta sin, níl aon amhras orm ach go bhfuarthas an bunachar sonraí seo romham agus go ndearnadh é a íoslódáil cheana féin. Déarfainn fiú go bhfuilim muiníneach as seo. Níl aon rún ann go ndéantar bunachair shonraí oscailte den sórt sin a chuardach agus a phumpáil amach.
Is féidir nuacht faoi sceitheadh faisnéise agus daoine cos istigh a fháil i gcónaí ar mo chainéal Telegram "»: .
Foinse: will.com