A semana pasada Kommersant , que "as bases de clientes de Street Beat e Sony Center eran de dominio público", pero en realidade todo é moito peor do que está escrito no artigo.
Xa fixen unha análise técnica detallada desta fuga. , polo que aquí repasaremos só os puntos principais.
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Outro servidor Elasticsearch con índices estaba dispoñible gratuitamente:
- greylog2_0
- README
- texto_non autorizado
- http:
- greylog2_1
В greylog2_0 contiñan rexistros desde o 16.11.2018 de novembro de 2019 ata marzo de XNUMX e en greylog2_1 – rexistros de marzo de 2019 a 04.06.2019/XNUMX/XNUMX. Ata que se peche o acceso a Elasticsearch, o número de rexistros en greylog2_1 medrou.
Segundo o buscador Shodan, este Elasticsearch está dispoñible gratuitamente desde o 12.11.2018 de novembro de 16.11.2018 (como se escribiu anteriormente, as primeiras entradas dos rexistros datan do XNUMX de novembro de XNUMX).
Nos rexistros, no campo gl2_remote_ip Especificáronse os enderezos IP 185.156.178.58 e 185.156.178.62, con nomes DNS srv2.inventive.ru и srv3.inventive.ru:
avisei Grupo de venda polo miúdo inventiva (www.inventive.ru) sobre o problema o 04.06.2019/18/25 ás 22:30 (hora de Moscova) e ás XNUMX:XNUMX o servidor desapareceu "en silencio" do acceso público.
Os rexistros contidos (todos os datos son estimacións, os duplicados non se eliminaron dos cálculos, polo que a cantidade de información filtrada é moi probable que sexa menor):
- máis de 3 millóns de enderezos de correo electrónico de clientes das tendas re:Store, Samsung, Street Beat e Lego
- máis de 7 millóns de números de teléfono de clientes das tendas re:Store, Sony, Nike, Street Beat e Lego
- máis de 21 mil pares de inicio de sesión/contrasinal de contas persoais dos compradores das tendas Sony e Street Beat.
- a maioría dos rexistros con números de teléfono e correo electrónico tamén contiñan nomes completos (a miúdo en latín) e números de tarxetas de fidelidade.
Exemplo do rexistro relacionado co cliente da tenda Nike (todos os datos confidenciais substituíronse por caracteres "X"):
"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n [contact[phone]] => +7985026XXXXn [contact[email]] => [email protected] [contact[channel]] => n [contact[subscription]] => 0n)n[ДАННЫЕ GET] Arrayn(n [digital_id] => 27008290n [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7985026XXXXn [email] => [email protected] [channel] => 0n [subscription] => 0n )nn)n","DATE":"31.03.2019 12:52:51"}",E aquí tes un exemplo de como se almacenaron os inicios de sesión e contrasinais das contas persoais dos compradores nos sitios web sc-store.ru и street-beat.ru:
"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ GET] Arrayn(n [digital_id] => 26725117n [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"Pódese ler o comunicado oficial do IRG sobre este incidente , extracto dela:
Non puidemos ignorar este punto e cambiamos os contrasinais das contas persoais dos clientes por outras temporais, co fin de evitar o posible uso dos datos das contas persoais con fins fraudulentos. A empresa non confirma filtracións de datos persoais dos clientes de street-beat.ru. Comprobáronse ademais todos os proxectos de Inventive Retail Group. Non se detectaron ameazas aos datos persoais dos clientes.
É malo que IRG non poida descubrir o que se filtrou e o que non. Aquí tes un exemplo do rexistro relacionado co cliente da tenda Street Beat:
"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ GET' =nttArrayn(n [digital_id] => 27016686n [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7915545XXXXn [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",Non obstante, pasemos ás moi malas noticias e expliquemos por que se trata dunha filtración de datos persoais dos clientes do IRG.
Se observas detidamente os índices deste Elasticsearch dispoñible gratuitamente, notarás neles dous nomes: README и texto_non autorizado. Este é un sinal característico dun dos moitos scripts de ransomware. Afectou a máis de 4 mil servidores de Elasticsearch en todo o mundo. Contido README parece así:
"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"Aínda que o servidor con rexistros IRG era de libre acceso, un script de ransomware definitivamente accedeu á información dos clientes e, segundo a mensaxe que deixou, os datos foron descargados.
Ademais, non teño dúbida de que esta base de datos se atopou antes que eu e xa estaba descargada. Incluso diría que estou seguro diso. Non hai ningún segredo de que tales bases de datos abertas son buscadas e extraídas a propósito.
As noticias sobre filtracións de información e información privilegiada sempre pódense atopar na miña canle de Telegram "" .
Fonte: www.habr.com