ProHoster > Blog > uprava > Curenje podataka kupaca iz trgovina re:Store, Samsung, Sony Centre, Nike, LEGO i Street Beat

Curenje podataka kupaca iz trgovina re:Store, Samsung, Sony Centre, Nike, LEGO i Street Beat

Prošli tjedan Kommersant izvijestio, da su "baze klijenata Street Beata i Sony Centera bile u javnoj domeni", no u stvarnosti je sve puno gore od onoga što piše u članku.

Curenje podataka kupaca iz trgovina re:Store, Samsung, Sony Centre, Nike, LEGO i Street Beat

Već sam napravio detaljnu tehničku analizu ovog curenja. u Telegram kanalu, stoga ćemo ovdje proći samo glavne točke.

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

Drugi Elasticsearch poslužitelj s indeksima bio je besplatno dostupan:

  • graylog2_0
  • obavijesna
  • neovlašteni_tekst
  • http:
  • graylog2_1

В graylog2_0 sadržavao je zapise od 16.11.2018. studenog 2019. do ožujka XNUMX. i u graylog2_1 – dnevnici od ožujka 2019. do 04.06.2019. Dok se ne zatvori pristup Elasticsearchu, broj zapisa u graylog2_1 rastao.

Prema tražilici Shodan, ovaj Elasticsearch je besplatno dostupan od 12.11.2018. studenog 16.11.2018. (kao što je gore napisano, prvi unosi u zapisnike datirani su XNUMX. studenog XNUMX.).

U kladama, u polju gl2_udaljeni_ip Navedene su IP adrese 185.156.178.58 i 185.156.178.62 s DNS imenima srv2.inventive.ru и srv3.inventive.ru:

Curenje podataka kupaca iz trgovina re:Store, Samsung, Sony Centre, Nike, LEGO i Street Beat

obavijestio sam Inventive Retail Group (www.inventive.ru) o problemu 04.06.2019. u 18:25 (po moskovskom vremenu) i do 22:30 server je "tiho" nestao iz javnog pristupa.

Dnevnici su sadržavali (svi podaci su procjene, duplikati nisu uklonjeni iz izračuna, tako da je količina stvarnih informacija koje su procurile najvjerojatnije manja):

  • više od 3 milijuna email adresa kupaca iz re:Store, Samsung, Street Beat i Lego trgovina
  • više od 7 milijuna telefonskih brojeva kupaca iz re:Store, Sony, Nike, Street Beat i Lego trgovina
  • više od 21 tisuće parova login/password s osobnih računa kupaca Sony i Street Beat trgovina.
  • većina zapisa s telefonskim brojevima i e-poštom također je sadržavala puna imena (često na latinici) i brojeve kartica vjernosti.

Primjer iz dnevnika koji se odnosi na klijent Nike trgovine (svi osjetljivi podaci zamijenjeni znakovima “X”):

"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n    [contact[phone]] => +7985026XXXXn    [contact[email]] => [email protected]    [contact[channel]] => n    [contact[subscription]] => 0n)n[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 27008290n    [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7985026XXXXn            [email] => [email protected]            [channel] => 0n            [subscription] => 0n        )nn)n","DATE":"31.03.2019 12:52:51"}",

Evo primjera kako su pohranjene prijave i lozinke s osobnih računa kupaca na web stranicama sc-store.ru и street-beat.ru:

"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 26725117n    [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"

Službeno priopćenje IRG-a o ovom incidentu možete pročitati ovdje, izvadak iz njega:

Nismo mogli zanemariti ovu točku i promijenili smo lozinke osobnih računa klijenata u privremene, kako bismo izbjegli moguću upotrebu podataka s osobnih računa u lažne svrhe. Tvrtka ne potvrđuje curenje osobnih podataka klijenata street-beat.ru. Svi projekti Inventive Retail Group dodatno su provjereni. Nisu otkrivene prijetnje osobnim podacima klijenata.

Loše je što IRG ne može otkriti što je procurilo, a što nije. Evo primjera iz dnevnika koji se odnosi na klijent trgovine Street Beat:

"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n    [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ  GET' =nttArrayn(n    [digital_id] => 27016686n    [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7915545XXXXn            [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",

Ipak, prijeđimo na stvarno loše vijesti i objasnimo zašto je riječ o curenju osobnih podataka klijenata IRG-a.

Ako pažljivo pogledate indekse ovog besplatno dostupnog Elasticsearcha, primijetit ćete dva imena u njima: obavijesna и neovlašteni_tekst. Ovo je karakterističan znak jedne od mnogih skripti ransomwarea. Utjecao je na više od 4 tisuće Elasticsearch poslužitelja diljem svijeta. Sadržaj obavijesna izgleda ovako:

"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"

Dok je poslužitelj s IRG zapisnicima bio slobodno dostupan, ransomware skripta je definitivno dobila pristup informacijama klijenata i, prema poruci koju je ostavila, podaci su preuzeti.

Osim toga, ne sumnjam da je ova baza podataka pronađena prije mene i da je već preuzeta. Čak bih rekao da sam siguran u to. Nije tajna da se takve otvorene baze ciljano traže i ispumpavaju.

Vijesti o curenju informacija i insajderima uvijek možete pronaći na mom Telegram kanalu "Curenje informacija' https://t.me/dataleak.

Izvor: www.habr.com

Dodajte komentar