Հաճախորդների տվյալների արտահոսք re:Store, Samsung, Sony Centre, Nike, LEGO և Street Beat խանութներից

Անցյալ շաբաթ Կոմերսանտ հաղորդում է The Guardian- ը, որ «Street Beat-ի և Sony Center-ի հաճախորդների բազաները գտնվում էին հանրային տիրույթում», բայց իրականում ամեն ինչ շատ ավելի վատ է, քան գրված է հոդվածում։

Ես արդեն կատարել եմ այս արտահոսքի մանրամասն տեխնիկական վերլուծություն: Telegram ալիքում, ուստի այստեղ մենք կանդրադառնանք միայն հիմնական կետերին:

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

Ինդեքսներով մեկ այլ Elasticsearch սերվեր անվճար հասանելի էր.

• graylog2_0
• readme
• unauth_text
• http:
• graylog2_1

В graylog2_0 պարունակել են տեղեկամատյաններ 16.11.2018 թվականի նոյեմբերի 2019-ից մինչև XNUMX թվականի մարտը, և ք graylog2_1 – գրանցամատյաններ 2019 թվականի մարտից մինչև 04.06.2019/XNUMX/XNUMX: Մինչև Elasticsearch-ի հասանելիությունը փակված է, գրանցումների քանակը կա graylog2_1 աճել է.

Ըստ Shodan որոնողական համակարգի՝ այս Elasticsearch-ն անվճար հասանելի է 12.11.2018 թվականի նոյեմբերի 16.11.2018-ից (ինչպես գրված է վերևում, տեղեկամատյաններում առաջին գրառումները թվագրված են XNUMX թվականի նոյեմբերի XNUMX-ով):

Գերանների մեջ, դաշտում gl2_remote_ip Նշված են 185.156.178.58 և 185.156.178.62 IP հասցեները՝ DNS անուններով srv2.inventive.ru и srv3.inventive.ru:

ծանուցել եմ Inventive Retail Group (www.inventive.ru) խնդրի մասին 04.06.2019-ին ժամը 18:25-ին (Մոսկվայի ժամանակով) և ժամը 22:30-ի դրությամբ սերվերը «հանգիստ» անհետացել է հանրային հասանելիությունից:

Ներառված տեղեկամատյանները (բոլոր տվյալները գնահատականներ են, կրկնօրինակները չեն հեռացվել հաշվարկներից, ուստի իրական արտահոսքի տեղեկատվության քանակը, ամենայն հավանականությամբ, ավելի քիչ է).

• Re:Store, Samsung, Street Beat և Lego խանութներից հաճախորդների ավելի քան 3 միլիոն էլփոստի հասցեներ
• Re:Store, Sony, Nike, Street Beat և Lego խանութներից հաճախորդների ավելի քան 7 միլիոն հեռախոսահամար
• ավելի քան 21 հազար մուտք/գաղտնաբառ զույգ Sony և Street Beat խանութների գնորդների անձնական հաշիվներից։
• Հեռախոսահամարներով և էլփոստով գրառումների մեծ մասը պարունակում էր նաև լրիվ անուններ (հաճախ լատիներեն) և հավատարմության քարտի համարներ:

Օրինակ Nike խանութի հաճախորդի հետ կապված մատյանից (բոլոր զգայուն տվյալները փոխարինված են «X» նիշերով).

"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n    [contact[phone]] => +7985026XXXXn    [contact[email]] => [email protected]    [contact[channel]] => n    [contact[subscription]] => 0n)n[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 27008290n    [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7985026XXXXn            [email] => [email protected]            [channel] => 0n            [subscription] => 0n        )nn)n","DATE":"31.03.2019 12:52:51"}",

Եվ ահա մի օրինակ, թե ինչպես են պահպանվել կայքերում գնորդների անձնական հաշիվներից մուտքերն ու գաղտնաբառերը sc-store.ru и street-beat.ru:

"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 26725117n    [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"

Այս միջադեպի վերաբերյալ IRG-ի պաշտոնական հայտարարությունը կարելի է կարդալ այստեղ, հատված դրանից.

Մենք չկարողացանք անտեսել այս կետը և փոխեցինք հաճախորդների անձնական հաշիվների գաղտնաբառերը ժամանակավորի, որպեսզի խուսափենք անձնական հաշիվներից տվյալների հնարավոր օգտագործումից խարդախության նպատակով: Ընկերությունը չի հաստատում street-beat.ru-ի հաճախորդների անձնական տվյալների արտահոսքը։ Inventive Retail Group-ի բոլոր նախագծերը լրացուցիչ ստուգվել են։ Հաճախորդների անձնական տվյալներին ուղղված սպառնալիքներ չեն հայտնաբերվել:

Վատ է, որ IRG-ն չի կարողանում պարզել, թե ինչն է արտահոսել և ինչը՝ ոչ: Ահա օրինակ Street Beat խանութի հաճախորդի հետ կապված գրանցամատյանից.

"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n    [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ  GET' =nttArrayn(n    [digital_id] => 27016686n    [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7915545XXXXn            [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",

Այնուամենայնիվ, եկեք անցնենք իսկապես վատ նորությանը և բացատրենք, թե ինչու է սա IRG-ի հաճախորդների անձնական տվյալների արտահոսք:

Եթե ​​ուշադիր նայեք այս անվճար հասանելի Elasticsearch-ի ինդեքսներին, ապա դրանցում կնկատեք երկու անուն. readme и unauth_text. Սա փրկագին ծրագրերի բազմաթիվ սցենարներից մեկի բնորոշ նշանն է: Այն ազդել է ավելի քան 4 հազար Elasticsearch սերվերների վրա ամբողջ աշխարհում։ Բովանդակություն readme կարծես սա:

"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"

Մինչդեռ IRG տեղեկամատյաններով սերվերն ազատ հասանելի էր, փրկագին ծրագրերի սկրիպտը միանշանակ հասանելի էր դառնում հաճախորդների տեղեկատվությանը և, ըստ թողած հաղորդագրության, տվյալները ներբեռնվում էին:

Բացի այդ, ես կասկած չունեմ, որ այս տվյալների բազան գտնվել է ինձանից առաջ և արդեն ներբեռնվել է։ Ես նույնիսկ կասեի, որ համոզված եմ սրանում։ Գաղտնիք չկա, որ նման բաց տվյալների բազաները նպատակաուղղված են որոնվում և դուրս են մղվում:

Տեղեկատվության արտահոսքի և ինսայդերների մասին լուրերը միշտ կարելի է գտնել իմ Telegram ալիքում»:Տեղեկատվության արտահոսք»: https://t.me/dataleak.

Source: www.habr.com