प्रोहोस्टर > ब्लॉग > प्रशासन > री:स्टोर, सैमसंग, सोनी सेंटर, नाइके, लेगो और स्ट्रीट बीट स्टोर्स से ग्राहक डेटा का रिसाव

री:स्टोर, सैमसंग, सोनी सेंटर, नाइके, लेगो और स्ट्रीट बीट स्टोर्स से ग्राहक डेटा का रिसाव

पिछले सप्ताह कोमर्सेंट सूचना, कि "स्ट्रीट बीट और सोनी सेंटर के ग्राहक आधार सार्वजनिक डोमेन में थे," लेकिन वास्तव में सब कुछ लेख में लिखी गई बातों से कहीं अधिक खराब है।

री:स्टोर, सैमसंग, सोनी सेंटर, नाइके, लेगो और स्ट्रीट बीट स्टोर्स से ग्राहक डेटा का रिसाव

मैंने पहले ही इस लीक का विस्तृत तकनीकी विश्लेषण कर लिया है। टेलीग्राम चैनल में, इसलिए यहां हम केवल मुख्य बिंदुओं पर ही चर्चा करेंगे।

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

इंडेक्स के साथ एक और इलास्टिक्स खोज सर्वर स्वतंत्र रूप से उपलब्ध था:

  • ग्रेलॉग2_0
  • रीडमी
  • unauth_text
  • एचटीटीपी:
  • ग्रेलॉग2_1

В ग्रेलॉग2_0 इसमें 16.11.2018 नवंबर, 2019 से मार्च XNUMX और उससे आगे के लॉग शामिल हैं ग्रेलॉग2_1 – मार्च 2019 से 04.06.2019/XNUMX/XNUMX तक लॉग। जब तक Elasticsearch तक पहुंच बंद नहीं हो जाती, तब तक रिकॉर्ड की संख्या ग्रेलॉग2_1 बढ़ी।

Shodan सर्च इंजन के अनुसार, यह Elasticsearch 12.11.2018 नवंबर, 16.11.2018 से स्वतंत्र रूप से उपलब्ध है (जैसा कि ऊपर लिखा गया है, लॉग में पहली प्रविष्टियां XNUMX नवंबर, XNUMX की हैं)।

लॉग में, फ़ील्ड में gl2_remote_ip DNS नामों के साथ IP पते 185.156.178.58 और 185.156.178.62 निर्दिष्ट किए गए थे srv2.inventive.ru и srv3.inventive.ru:

री:स्टोर, सैमसंग, सोनी सेंटर, नाइके, लेगो और स्ट्रीट बीट स्टोर्स से ग्राहक डेटा का रिसाव

मैंने सूचित किया आविष्कारशील खुदरा समूह (www.inventive.ru) समस्या के बारे में 04.06.2019/18/25 को 22:30 (मास्को समय) पर और XNUMX:XNUMX तक सर्वर "चुपचाप" सार्वजनिक पहुंच से गायब हो गया।

शामिल लॉग (सभी डेटा अनुमान हैं, डुप्लिकेट को गणना से नहीं हटाया गया था, इसलिए वास्तविक लीक हुई जानकारी की मात्रा कम होने की संभावना है):

  • री:स्टोर, सैमसंग, स्ट्रीट बीट और लेगो स्टोर्स के ग्राहकों के 3 मिलियन से अधिक ईमेल पते
  • री:स्टोर, सोनी, नाइकी, स्ट्रीट बीट और लेगो स्टोर्स के ग्राहकों के 7 मिलियन से अधिक फोन नंबर
  • सोनी और स्ट्रीट बीट स्टोर्स के खरीदारों के व्यक्तिगत खातों से 21 हजार से अधिक लॉगिन/पासवर्ड जोड़े।
  • फ़ोन नंबर और ईमेल वाले अधिकांश रिकॉर्ड में पूरा नाम (अक्सर लैटिन में) और लॉयल्टी कार्ड नंबर भी शामिल होते हैं।

नाइके स्टोर क्लाइंट से संबंधित लॉग से उदाहरण (सभी संवेदनशील डेटा को "X" वर्णों से बदल दिया गया है):

"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n    [contact[phone]] => +7985026XXXXn    [contact[email]] => [email protected]    [contact[channel]] => n    [contact[subscription]] => 0n)n[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 27008290n    [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7985026XXXXn            [email] => [email protected]            [channel] => 0n            [subscription] => 0n        )nn)n","DATE":"31.03.2019 12:52:51"}",

और यहां एक उदाहरण दिया गया है कि वेबसाइटों पर खरीदारों के व्यक्तिगत खातों से लॉगिन और पासवर्ड कैसे संग्रहीत किए गए थे sc-store.ru и स्ट्रीट-बीट.ru:

"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 26725117n    [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"

इस घटना पर आईआरजी का आधिकारिक बयान पढ़ा जा सकता है यहां, इसका अंश:

हम इस बिंदु को नजरअंदाज नहीं कर सके और धोखाधड़ी वाले उद्देश्यों के लिए व्यक्तिगत खातों से डेटा के संभावित उपयोग से बचने के लिए ग्राहकों के व्यक्तिगत खातों के पासवर्ड को अस्थायी रूप से बदल दिया। कंपनी स्ट्रीट-बीट.आरयू ग्राहकों के व्यक्तिगत डेटा के लीक की पुष्टि नहीं करती है। इन्वेंटिव रिटेल ग्रुप की सभी परियोजनाओं की अतिरिक्त जाँच की गई। ग्राहकों के व्यक्तिगत डेटा पर कोई ख़तरा नहीं पाया गया।

यह बुरा है कि आईआरजी यह पता नहीं लगा सका कि क्या लीक हुआ है और क्या नहीं। यहां स्ट्रीट बीट स्टोर क्लाइंट से संबंधित लॉग का एक उदाहरण दिया गया है:

"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n    [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ  GET' =nttArrayn(n    [digital_id] => 27016686n    [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7915545XXXXn            [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",

हालाँकि, आइए वास्तव में बुरी खबर पर चलते हैं और बताते हैं कि यह आईआरजी ग्राहकों के व्यक्तिगत डेटा का लीक क्यों है।

यदि आप इस स्वतंत्र रूप से उपलब्ध इलास्टिक्स खोज के सूचकांकों को ध्यान से देखें, तो आपको उनमें दो नाम दिखाई देंगे: रीडमी и unauth_text. यह कई रैनसमवेयर स्क्रिप्ट में से एक का एक विशिष्ट संकेत है। इससे दुनिया भर के 4 हजार से ज्यादा Elasticsearch सर्वर प्रभावित हुए। सामग्री रीडमी यह इस तरह दिखता है:

"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"

जबकि आईआरजी लॉग वाला सर्वर स्वतंत्र रूप से पहुंच योग्य था, एक रैंसमवेयर स्क्रिप्ट ने निश्चित रूप से ग्राहकों की जानकारी तक पहुंच प्राप्त की और, इसके द्वारा छोड़े गए संदेश के अनुसार, डेटा डाउनलोड किया गया था।

इसके अलावा, मुझे इसमें कोई संदेह नहीं है कि यह डेटाबेस मुझसे पहले पाया गया था और पहले ही डाउनलोड किया जा चुका था। मैं तो यहां तक ​​कहूंगा कि मुझे इस बात का यकीन है. इसमें कोई रहस्य नहीं है कि ऐसे खुले डेटाबेस को जानबूझकर खोजा जाता है और बाहर निकाला जाता है।

सूचना लीक और अंदरूनी सूत्रों के बारे में समाचार हमेशा मेरे टेलीग्राम चैनल पर पाए जा सकते हैं।सूचना लीक»: https://t.me/dataleak.

स्रोत: www.habr.com

एक टिप्पणी जोड़ें