ProHoster > Blog > Stjórnsýsla > Leki viðskiptavinagagna frá re:Store, Samsung, Sony Centre, Nike, LEGO og Street Beat verslunum

Leki viðskiptavinagagna frá re:Store, Samsung, Sony Centre, Nike, LEGO og Street Beat verslunum

Í síðustu viku Kommersant greint frá, að „viðskiptavinir Street Beat og Sony Center voru í almenningseigu,“ en í raun er allt miklu verra en það sem er skrifað í greininni.

Leki viðskiptavinagagna frá re:Store, Samsung, Sony Centre, Nike, LEGO og Street Beat verslunum

Ég hef þegar gert ítarlega tæknilega greiningu á þessum leka. í Telegram rásinni, svo hér verður aðeins farið yfir aðalatriðin.

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

Annar Elasticsearch netþjónn með vísitölum var ókeypis fáanlegur:

  • greylog2_0
  • README
  • unauth_text
  • http:
  • greylog2_1

В greylog2_0 innihélt annála frá 16.11.2018. nóvember 2019 til mars XNUMX og inn greylog2_1 – annálar frá mars 2019 til 04.06.2019/XNUMX/XNUMX. Þar til aðgangur að Elasticsearch er lokaður mun fjöldi skráa inn greylog2_1 óx.

Samkvæmt Shodan leitarvélinni hefur þessi Elasticsearch verið aðgengileg síðan 12.11.2018. nóvember 16.11.2018 (eins og skrifað er hér að ofan eru fyrstu færslurnar í annálunum dagsettar XNUMX. nóvember XNUMX).

Í annálunum, á sviði gl2_fjarstýring_ip IP tölur 185.156.178.58 og 185.156.178.62 voru tilgreindar, með DNS nöfnum srv2.inventive.ru и srv3.inventive.ru:

Leki viðskiptavinagagna frá re:Store, Samsung, Sony Centre, Nike, LEGO og Street Beat verslunum

Ég lét vita Uppfinningasamur verslunarhópur (www.inventive.ru) um vandamálið 04.06.2019/18/25 kl. 22:30 (Moskvutíma) og um XNUMX:XNUMX hvarf þjónninn „hljóðlega“ úr almennum aðgangi.

Logarnir innihéldu (öll gögn eru áætlanir, afrit voru ekki fjarlægð úr útreikningunum, þannig að magn raunverulegra leka upplýsinga er líklega minna):

  • meira en 3 milljón netföng viðskiptavina frá re:Store, Samsung, Street Beat og Lego verslunum
  • meira en 7 milljónir símanúmera viðskiptavina frá re:Store, Sony, Nike, Street Beat og Lego verslunum
  • meira en 21 þúsund innskráningar-/lykilorðspör frá persónulegum reikningum kaupenda Sony og Street Beat verslana.
  • flestar skrár með símanúmerum og tölvupósti innihéldu einnig full nöfn (oft á latínu) og vildarkortanúmer.

Dæmi úr skránni sem tengist Nike Store viðskiptavininum (öllum viðkvæmum gögnum skipt út fyrir „X“ stafi):

"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n    [contact[phone]] => +7985026XXXXn    [contact[email]] => [email protected]    [contact[channel]] => n    [contact[subscription]] => 0n)n[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 27008290n    [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7985026XXXXn            [email] => [email protected]            [channel] => 0n            [subscription] => 0n        )nn)n","DATE":"31.03.2019 12:52:51"}",

Og hér er dæmi um hvernig innskráningar og lykilorð frá persónulegum reikningum kaupenda á vefsíðum voru geymdar sc-store.ru и street-beat.ru:

"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 26725117n    [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"

Opinbera yfirlýsingu IRG um þetta atvik má lesa hér, brot úr henni:

Við gátum ekki hunsað þetta atriði og breyttum lykilorðum á persónulega reikninga viðskiptavina í tímabundna, til að forðast hugsanlega notkun gagna frá persónulegum reikningum í sviksamlegum tilgangi. Fyrirtækið staðfestir ekki leka á persónulegum gögnum viðskiptavina street-beat.ru. Öll verkefni Inventive Retail Group voru aukin skoðuð. Engar ógnir við persónuupplýsingar viðskiptavina fundust.

Það er slæmt að IRG geti ekki fundið út hvað hefur lekið og hvað ekki. Hér er dæmi úr skránni sem tengist Street Beat verslunarviðskiptavininum:

"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n    [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ  GET' =nttArrayn(n    [digital_id] => 27016686n    [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7915545XXXXn            [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",

Hins vegar skulum við halda áfram að mjög slæmu fréttunum og útskýra hvers vegna þetta er leki á persónulegum gögnum viðskiptavina IRG.

Ef þú lítur vel á vísitölur þessarar frjálslega fáanlegu Elasticsearch muntu taka eftir tveimur nöfnum í þeim: README и unauth_text. Þetta er einkennandi merki um eitt af mörgum lausnarforskriftum. Það hafði áhrif á meira en 4 þúsund Elasticsearch netþjóna um allan heim. Efni README lítur svona út:

"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"

Þó að þjónninn með IRG annálum væri frjálst aðgengilegur, fékk lausnarforrit örugglega aðgang að upplýsingum viðskiptavinarins og samkvæmt skilaboðunum sem það skildi eftir var gögnunum hlaðið niður.

Auk þess efast ég ekki um að þessi gagnagrunnur hafi fundist á undan mér og var þegar hlaðinn niður. Ég myndi jafnvel segja að ég væri viss um þetta. Það er ekkert launungarmál að markvisst er leitað að slíkum opnum gagnagrunnum og þeim dælt út.

Fréttir um upplýsingaleka og innherja má alltaf finna á Telegram rásinni minni "Upplýsingaleki' https://t.me/dataleak.

Heimild: www.habr.com

Bæta við athugasemd