ProHoster > Blog > Administrasyon an > Flit done kliyan ki soti nan magazen re:Store, Samsung, Sony Centre, Nike, LEGO ak Street Beat

Flit done kliyan ki soti nan magazen re:Store, Samsung, Sony Centre, Nike, LEGO ak Street Beat

Semèn pase a Kommersant rapòte, ke "baz kliyan Street Beat ak Sony Center yo te nan domèn piblik la," men an reyalite tout bagay se pi mal pase sa ki ekri nan atik la.

Flit done kliyan ki soti nan magazen re:Store, Samsung, Sony Centre, Nike, LEGO ak Street Beat

Mwen deja fè yon analiz teknik detaye sou koule sa a. nan chanèl Telegram la, Se konsa, isit la nou pral ale sou sèlman pwen prensipal yo.

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

Yon lòt sèvè Elasticsearch ak endèks te disponib gratis:

  • graylog2_0
  • radm
  • unaoth_text
  • http:
  • graylog2_1

В graylog2_0 te genyen mòso bwa soti 16.11.2018 novanm 2019 jiska mas XNUMX, ak nan graylog2_1 – mòso bwa soti mas 2019 jiska 04.06.2019/XNUMX/XNUMX. Jiskaske aksè nan Elasticsearch fèmen, kantite dosye ki nan graylog2_1 grandi.

Dapre motè rechèch Shodan, Elasticsearch sa a te disponib gratis depi 12.11.2018 novanm 16.11.2018 (jan sa ekri pi wo a, premye antre yo nan mòso bwa yo gen dat XNUMX novanm XNUMX).

Nan mòso bwa yo, nan jaden an gl2_remote_ip Yo te espesifye adrès IP 185.156.178.58 ak 185.156.178.62, ak non DNS. srv2.inventive.ru и srv3.inventive.ru:

Flit done kliyan ki soti nan magazen re:Store, Samsung, Sony Centre, Nike, LEGO ak Street Beat

Mwen notifye Envante Gwoup Yo Vann an Detay (www.inventive.ru) sou pwoblèm nan sou 04.06.2019/18/25 nan 22:30 (lè Moskou) ak pa XNUMX:XNUMX sèvè a "tou dousman" disparèt nan aksè piblik.

Jounal ki genyen yo (tout done yo se estimasyon, kopi yo pa t retire nan kalkil yo, kidonk kantite enfòmasyon reyèl ki koule yo gen plis chans mwens):

  • plis pase 3 milyon adrès imel kliyan ki soti nan magazen re:Store, Samsung, Street Beat ak Lego
  • plis pase 7 milyon nimewo telefòn kliyan ki soti nan magazen re:Store, Sony, Nike, Street Beat ak Lego.
  • plis pase 21 mil pè login/modpas ki soti nan kont pèsonèl achtè nan magazen Sony ak Street Beat.
  • pifò dosye ki gen nimewo telefòn ak imèl tou te genyen non konplè (souvan an laten) ak nimewo kat fidélité.

Egzanp nan jounal ki gen rapò ak kliyan magazen Nike (tout done sansib ranplase ak karaktè "X"):

"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n    [contact[phone]] => +7985026XXXXn    [contact[email]] => [email protected]    [contact[channel]] => n    [contact[subscription]] => 0n)n[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 27008290n    [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7985026XXXXn            [email] => [email protected]            [channel] => 0n            [subscription] => 0n        )nn)n","DATE":"31.03.2019 12:52:51"}",

Ak isit la se yon egzanp sou fason koneksyon ak modpas ki soti nan kont pèsonèl achtè sou sit entènèt yo te estoke sc-store.ru и lari-beat.ru:

"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 26725117n    [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"

Ou ka li deklarasyon ofisyèl IRG sou ensidan sa a isit la, ekstrè nan li:

Nou pa t 'kapab inyore pwen sa a epi chanje modpas yo nan kont pèsonèl kliyan yo nan kont tanporè, yo nan lòd yo evite itilizasyon posib nan done ki soti nan kont pèsonèl pou rezon fwod. Konpayi an pa konfime fwit done pèsonèl kliyan street-beat.ru. Tout pwojè Inventive Retail Group yo te tcheke anplis. Yo pa detekte okenn menas sou done pèsonèl kliyan yo.

Li pa bon ke IRG pa ka konnen sa ki te koule ak sa ki pa. Men yon egzanp nan jounal ki gen rapò ak kliyan magazen Street Beat la:

"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n    [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ  GET' =nttArrayn(n    [digital_id] => 27016686n    [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7915545XXXXn            [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",

Sepandan, ann ale nan move nouvèl la vrèman epi eksplike poukisa sa a se yon fwit nan done pèsonèl kliyan IRG yo.

Si w gade ak anpil atansyon nan endis Elasticsearch sa a ki disponib gratis, w ap remake de non nan yo: radm и unaoth_text. Sa a se yon siy karakteristik youn nan anpil script ransomware. Li afekte plis pase 4 mil Elasticsearch serveurs atravè mond lan. Kontni radm sanble tankou sa a:

"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"

Pandan ke sèvè a ak mòso bwa IRG yo te aksesib lib, yon script ransomware definitivman te jwenn aksè a enfòmasyon kliyan yo epi, dapre mesaj li te kite a, done yo te telechaje.

Anplis de sa, mwen pa gen okenn dout ke baz done sa a te jwenn anvan mwen epi li te deja telechaje. Mwen ta menm di ke mwen sèten de sa. Pa gen okenn sekrè ke baz done sa yo louvri yo fè espre chèche epi ponpe deyò.

Nouvèl sou fwit enfòmasyon ak inisye yo ka toujou jwenn sou chanèl Telegram mwen an ".Enfòmasyon koule' https://t.me/dataleak.

Sous: www.habr.com

Add nouvo kòmantè