Minggu lalu Kommersant , bahwa “basis klien Street Beat dan Sony Center berada dalam domain publik”, tetapi kenyataannya semuanya jauh lebih buruk daripada apa yang tertulis di artikel tersebut.
Saya sudah melakukan analisis teknis mendetail terhadap kebocoran ini. , jadi di sini kita hanya akan membahas poin-poin utamanya saja.
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Server Elasticsearch lain dengan indeks tersedia secara gratis:
- greylog2_0
- readme
- unauth_text
- http:
- greylog2_1
В greylog2_0 berisi log dari 16.11.2018 November 2019 hingga Maret XNUMX, dan masuk greylog2_1 – log dari Maret 2019 hingga 04.06.2019/XNUMX/XNUMX. Hingga akses ke Elasticsearch ditutup, jumlah record yang masuk greylog2_1 tumbuh.
Menurut mesin pencari Shodan, Elasticsearch ini telah tersedia secara gratis sejak 12.11.2018 November 16.11.2018 (seperti yang tertulis di atas, entri pertama di log bertanggal XNUMX November XNUMX).
Di log, di lapangan gl2_remote_ip Alamat IP 185.156.178.58 dan 185.156.178.62 ditentukan, dengan nama DNS srv2.inventif.ru и srv3.inventif.ru:
saya beri tahu Grup Ritel Inventif (www.inventif.ru) tentang masalah tersebut pada 04.06.2019/18/25 pukul 22:30 (waktu Moskow) dan pada pukul XNUMX:XNUMX server “diam-diam” menghilang dari akses publik.
Log yang terdapat (semua data merupakan perkiraan, duplikat tidak dihapus dari perhitungan, sehingga jumlah informasi sebenarnya yang bocor kemungkinan besar lebih sedikit):
- lebih dari 3 juta alamat email pelanggan dari toko re:Store, Samsung, Street Beat, dan Lego
- lebih dari 7 juta nomor telepon pelanggan dari toko re:Store, Sony, Nike, Street Beat, dan Lego
- lebih dari 21 ribu pasangan login/password dari akun pribadi pembeli toko Sony dan Street Beat.
- sebagian besar catatan dengan nomor telepon dan email juga berisi nama lengkap (sering kali dalam bahasa Latin) dan nomor kartu loyalitas.
Contoh dari log yang terkait dengan klien toko Nike (semua data sensitif diganti dengan karakter “X”):
"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n [contact[phone]] => +7985026XXXXn [contact[email]] => [email protected] [contact[channel]] => n [contact[subscription]] => 0n)n[ДАННЫЕ GET] Arrayn(n [digital_id] => 27008290n [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7985026XXXXn [email] => [email protected] [channel] => 0n [subscription] => 0n )nn)n","DATE":"31.03.2019 12:52:51"}",Dan berikut adalah contoh bagaimana login dan password dari akun pribadi pembeli di website disimpan sc-store.ru и street-beat.ru:
"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ GET] Arrayn(n [digital_id] => 26725117n [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"Pernyataan resmi IRG mengenai kejadian ini dapat dibaca , kutipan darinya:
Kami tidak dapat mengabaikan hal ini dan mengubah kata sandi akun pribadi klien menjadi kata sandi sementara, untuk menghindari kemungkinan penggunaan data dari akun pribadi untuk tujuan penipuan. Perusahaan tidak mengonfirmasi kebocoran data pribadi klien street-beat.ru. Semua proyek Grup Ritel Inventif juga diperiksa. Tidak ada ancaman terhadap data pribadi klien yang terdeteksi.
Sayang sekali IRG tidak bisa mengetahui apa yang bocor dan apa yang tidak. Berikut ini contoh log yang terkait dengan klien toko Street Beat:
"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ GET' =nttArrayn(n [digital_id] => 27016686n [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7915545XXXXn [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",Namun, mari kita beralih ke berita buruk dan menjelaskan mengapa ini merupakan kebocoran data pribadi klien IRG.
Jika Anda melihat lebih dekat pada indeks Elasticsearch yang tersedia secara gratis ini, Anda akan melihat dua nama di dalamnya: readme и unauth_text. Ini adalah tanda khas dari salah satu dari banyak skrip ransomware. Ini mempengaruhi lebih dari 4 ribu server Elasticsearch di seluruh dunia. Isi readme Ini terlihat seperti ini:
"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"Meskipun server dengan log IRG dapat diakses secara bebas, skrip ransomware pasti mendapatkan akses ke informasi klien dan, berdasarkan pesan yang ditinggalkannya, data telah diunduh.
Selain itu, saya yakin database ini telah ditemukan sebelum saya dan telah diunduh. Saya bahkan akan mengatakan bahwa saya yakin akan hal ini. Bukan rahasia lagi bahwa database terbuka seperti itu sengaja dicari dan dipompa keluar.
Berita tentang kebocoran informasi dan orang dalam selalu dapat ditemukan di saluran Telegram saya "»: .
Sumber: www.habr.com