Múlt héten a Kommerszant , hogy „a Street Beat és a Sony Center ügyfélbázisa közkincs volt”, de a valóságban minden sokkal rosszabb, mint ami a cikkben le van írva.
Ennek a szivárgásnak a részletes technikai elemzését már elvégeztem. , ezért itt csak a főbb pontokat fogjuk áttekinteni.
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Egy másik Elasticsearch szerver indexekkel szabadon elérhető volt:
- graylog2_0
- readme
- unauth_text
- http:
- graylog2_1
В graylog2_0 naplókat tartalmazott 16.11.2018. november 2019. és XNUMX. március között, és ben graylog2_1 – naplózás 2019. márciustól 04.06.2019-ig. Amíg az Elasticsearch hozzáférést le nem zárják, a rekordok száma be graylog2_1 nőtt.
A Shodan keresője szerint ez az Elasticsearch 12.11.2018. november 16.11.2018. óta szabadon elérhető (amint fentebb írtuk, a naplókban az első bejegyzések XNUMX. november XNUMX-i dátumúak).
A naplókban, a mezőn gl2_remote_ip 185.156.178.58 és 185.156.178.62 IP-címek kerültek megadásra, DNS-nevekkel srv2.inventive.ru и srv3.inventive.ru:
értesítettem Találékony kiskereskedelmi csoport (www.inventive.ru) a problémáról 04.06.2019-én 18:25-kor (moszkvai idő szerint) és 22:30-ra a szerver „csendben” eltűnt a nyilvános hozzáférésről.
A tartalmazott naplók (minden adat becslés, a duplikátumokat nem távolították el a számításokból, így a valós kiszivárgott információ mennyisége valószínűleg kevesebb):
- több mint 3 millió vásárló e-mail címe a re:Store, a Samsung, a Street Beat és a Lego üzletekből
- több mint 7 millió ügyfél telefonszáma a re:Store, a Sony, a Nike, a Street Beat és a Lego üzletekből
- több mint 21 ezer bejelentkezési/jelszó pár a Sony és a Street Beat üzletek vásárlóinak személyes fiókjából.
- a legtöbb telefonszámot és e-mailt tartalmazó irat teljes neveket (gyakran latinul) és törzsvásárlói kártyaszámokat is tartalmazott.
Példa a Nike áruház kliensével kapcsolatos naplóból (minden érzékeny adat „X” karakterekkel helyettesítve):
"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n [contact[phone]] => +7985026XXXXn [contact[email]] => [email protected] [contact[channel]] => n [contact[subscription]] => 0n)n[ДАННЫЕ GET] Arrayn(n [digital_id] => 27008290n [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7985026XXXXn [email] => [email protected] [channel] => 0n [subscription] => 0n )nn)n","DATE":"31.03.2019 12:52:51"}",És itt van egy példa arra, hogyan tárolták a vevők személyes fiókjaiból származó bejelentkezési neveket és jelszavakat a webhelyeken sc-store.ru и street-beat.ru:
"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ GET] Arrayn(n [digital_id] => 26725117n [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"Az esetről az IRG hivatalos közleménye olvasható , részlet belőle:
Ezt a pontot nem hagyhattuk figyelmen kívül, és az ügyfelek személyes fiókjainak jelszavait ideiglenesre cseréltük, hogy elkerüljük a személyes fiókokból származó adatok esetleges csalárd célú felhasználását. A cég nem erősíti meg a street-beat.ru ügyfelei személyes adatainak kiszivárogtatását. Az Inventive Retail Group összes projektjét ezenkívül ellenőriztük. Az ügyfelek személyes adatait érintő fenyegetést nem észleltek.
Rossz, hogy az IRG nem tudja kideríteni, mi szivárgott ki és mi nem. Íme egy példa a Street Beat áruház klienséhez kapcsolódó naplóból:
"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ GET' =nttArrayn(n [digital_id] => 27016686n [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7915545XXXXn [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",Térjünk azonban át az igazán rossz hírre, és magyarázzuk el, hogy ez miért az IRG-ügyfelek személyes adatainak kiszivárogtatása.
Ha alaposan megnézi ennek a szabadon elérhető Elasticsearch indexét, két nevet fog észrevenni bennük: readme и unauth_text. Ez a sok ransomware szkript egyikének jellegzetes jele. Több mint 4 ezer Elasticsearch szervert érintett világszerte. Tartalom readme így néz ki:
"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"Míg az IRG-naplókat tartalmazó szerver szabadon elérhető volt, egy ransomware szkript határozottan hozzáfért az ügyfelek információihoz, és az általa hagyott üzenet szerint az adatok letöltése megtörtént.
Ráadásul nincs kétségem afelől, hogy ezt az adatbázist előttem találták meg, és már letöltötték. Még azt is mondhatnám, hogy ebben biztos vagyok. Nem titok, hogy az ilyen nyílt adatbázisokat céltudatosan keresik és pumpálják ki.
Az információszivárogtatásról és a bennfentesekről szóló hírek mindig megtalálhatók a Telegram csatornámon."" .
Forrás: will.com