La settimana scorsa Kommersant , che "la clientela di Street Beat e Sony Center era di pubblico dominio", ma in realtà è tutto molto peggio di quanto scritto nell'articolo.
Ho già effettuato un'analisi tecnica dettagliata di questa perdita. , quindi qui tratteremo solo i punti principali.
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Un altro server Elasticsearch con indici era disponibile gratuitamente:
- greylog2_0
- readme
- unauth_text
- http:
- greylog2_1
В greylog2_0 conteneva registri dal 16.11.2018 novembre 2019 a marzo XNUMX e in greylog2_1 – log da marzo 2019 al 04.06.2019/XNUMX/XNUMX. Fino alla chiusura dell'accesso a Elasticsearch, il numero di record in greylog2_1 cresciuto.
Secondo il motore di ricerca Shodan, questo Elasticsearch è disponibile gratuitamente dal 12.11.2018 novembre 16.11.2018 (come scritto sopra, le prime voci nei log sono datate XNUMX novembre XNUMX).
Nei registri, sul campo gl2_remote_ip Sono stati specificati gli indirizzi IP 185.156.178.58 e 185.156.178.62, con nomi DNS srv2.inventive.ru и srv3.inventive.ru:
Ho avvisato Gruppo al dettaglio inventivo (www.inventive.ru) riguardo al problema il 04.06.2019 alle 18:25 (ora di Mosca) e alle 22:30 il server è "silenzioso" scomparso dall'accesso pubblico.
I registri contenuti (tutti i dati sono stime, i duplicati non sono stati rimossi dai calcoli, quindi la quantità di informazioni reali trapelate è molto probabilmente inferiore):
- più di 3 milioni di indirizzi email di clienti dei negozi re:Store, Samsung, Street Beat e Lego
- più di 7 milioni di numeri telefonici di clienti dei negozi re:Store, Sony, Nike, Street Beat e Lego
- più di 21mila coppie login/password provenienti da account personali di acquirenti dei negozi Sony e Street Beat.
- la maggior parte dei record con numeri di telefono ed e-mail contenevano anche nomi completi (spesso in latino) e numeri di carte fedeltà.
Esempio dal log relativo al client del negozio Nike (tutti i dati sensibili sostituiti con i caratteri “X”):
"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n [contact[phone]] => +7985026XXXXn [contact[email]] => [email protected] [contact[channel]] => n [contact[subscription]] => 0n)n[ДАННЫЕ GET] Arrayn(n [digital_id] => 27008290n [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7985026XXXXn [email] => [email protected] [channel] => 0n [subscription] => 0n )nn)n","DATE":"31.03.2019 12:52:51"}",Ed ecco un esempio di come sono stati archiviati i login e le password degli account personali degli acquirenti sui siti web sc-store.ru и street-beat.ru:
"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ GET] Arrayn(n [digital_id] => 26725117n [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"Si può leggere la dichiarazione ufficiale dell'IRG su questo incidente , estratto da esso:
Non potevamo ignorare questo punto e abbiamo cambiato le password degli account personali dei clienti con password temporanee, al fine di evitare il possibile utilizzo dei dati degli account personali per scopi fraudolenti. La società non conferma le fughe di dati personali dei clienti di street-beat.ru. Tutti i progetti di Inventive Retail Group sono stati inoltre controllati. Non è stata rilevata alcuna minaccia ai dati personali dei clienti.
È un peccato che l’IRG non riesca a capire cosa è trapelato e cosa no. Ecco un esempio dal registro relativo al client del negozio Street Beat:
"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ GET' =nttArrayn(n [digital_id] => 27016686n [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7915545XXXXn [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",Passiamo però alle notizie davvero brutte e spieghiamo perché si tratta di una fuga di dati personali dei clienti IRG.
Se osservi attentamente gli indici di questo Elasticsearch disponibile gratuitamente, noterai due nomi al loro interno: readme и unauth_text. Questo è un segno caratteristico di uno dei tanti script ransomware. Ha colpito più di 4mila server Elasticsearch in tutto il mondo. Contenuto readme Ecco come si presenta:
"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"Mentre il server con i log IRG era liberamente accessibile, uno script ransomware è riuscito sicuramente ad accedere alle informazioni dei clienti e, secondo il messaggio lasciato, i dati sono stati scaricati.
Inoltre, non ho dubbi che questo database sia stato trovato prima di me e fosse già stato scaricato. Direi addirittura che ne sono sicuro. Non è un segreto che tali database aperti vengano cercati e estratti intenzionalmente.
Notizie su fughe di informazioni e addetti ai lavori possono sempre essere trovate sul mio canale Telegram "" .
Fonte: habr.com