先週のコメルサント では、「ストリートビートとソニーセンターの顧客ベースはパブリックドメインにあった」と書かれていましたが、実際には記事に書かれていることよりもはるかに悪い状況です。
私はすでにこのリークに関する詳細な技術分析を行っています。 , そのため、ここでは要点だけを説明します。
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.インデックスを備えた別の Elasticsearch サーバーは無料で利用できました。
- グレイログ2_0
- README
- unauth_text
- http:
- グレイログ2_1
В グレイログ2_0 16.11.2018 年 2019 月 XNUMX 日から XNUMX 年 XNUMX 月までのログが含まれていました。 グレイログ2_1 – 2019 年 04.06.2019 月から XNUMX 年 XNUMX 月 XNUMX 日までのログ。 Elasticsearch へのアクセスが閉じられるまで、 グレイログ2_1 成長した。
Shodan 検索エンジンによると、この Elasticsearch は 12.11.2018 年 16.11.2018 月 XNUMX 日から無料で利用できるようになりました (上で述べたように、ログの最初のエントリの日付は XNUMX 年 XNUMX 月 XNUMX 日です)。
ログで、フィールドで gl2_remote_ip IP アドレス 185.156.178.58 および 185.156.178.62 が DNS 名とともに指定されました。 srv2.inventive.ru и srv3.inventive.ru:
通知しました 発明小売グループ (www.inventive.ru)この問題については、04.06.2019年18月25日22時30分(モスクワ時間)に報告され、XNUMX時XNUMX分までにサーバーは「静かに」一般アクセスから消えました。
含まれるログ (すべてのデータは推定値であり、重複は計算から削除されていないため、実際に漏洩した情報の量はおそらくこれより少ない):
- re:Store、Samsung、Street Beat、Lego ストアの顧客の 3 万件を超える電子メール アドレス
- re:Store、Sony、Nike、Street Beat、Lego ストアの顧客の 7 万以上の電話番号
- Sony ストアと Street Beat ストアの購入者の個人アカウントからの 21 を超えるログイン/パスワードのペア。
- 電話番号と電子メールを含むほとんどの記録には、フルネーム (多くの場合ラテン語) とポイントカード番号も含まれていました。
Nike ストア クライアントに関連するログの例 (すべての機密データは「X」文字に置き換えられます):
"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n [contact[phone]] => +7985026XXXXn [contact[email]] => [email protected] [contact[channel]] => n [contact[subscription]] => 0n)n[ДАННЫЕ GET] Arrayn(n [digital_id] => 27008290n [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7985026XXXXn [email] => [email protected] [channel] => 0n [subscription] => 0n )nn)n","DATE":"31.03.2019 12:52:51"}",これは、Web サイト上の購入者の個人アカウントのログインとパスワードがどのように保存されているかの例です。 sc-store.ru и ストリートビート.ru:
"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ GET] Arrayn(n [digital_id] => 26725117n [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"この事件に関する IRG の公式声明はこちらで読むことができます 、そこからの抜粋:
この点を無視することはできず、個人アカウントのデータが不正に使用される可能性を回避するために、お客様の個人アカウントのパスワードを一時的なものに変更しました。 同社は、street-beat.ru クライアントの個人データの漏洩を確認していません。 Inventive Retail Group のすべてのプロジェクトがさらにチェックされました。 顧客の個人データに対する脅威は検出されませんでした。
IRG が何が漏洩し、何が漏洩していないかを把握できないのは問題です。 以下は、Street Beat ストア クライアントに関連するログの例です。
"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ GET' =nttArrayn(n [digital_id] => 27016686n [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7915545XXXXn [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",しかし、本当に悪いニュースに移り、なぜこれが IRG クライアントの個人データの漏洩なのかを説明しましょう。
この無料で利用可能な Elasticsearch のインデックスをよく見ると、その中に XNUMX つの名前があることに気づきます。 README и unauth_text。 これは、多くのランサムウェア スクリプトの 4 つにおける特徴的な兆候です。 世界中の XNUMX 以上の Elasticsearch サーバーに影響がありました。 コンテンツ README それは次のようになります。
"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"IRG ログのあるサーバーには自由にアクセスできましたが、ランサムウェア スクリプトが確実にクライアントの情報にアクセスし、残されたメッセージによれば、データがダウンロードされました。
さらに、このデータベースは私よりも前に発見され、すでにダウンロードされていたことに疑いの余地はありません。 私はそれを確信しているとさえ言いたい。 このようなオープンなデータベースが意図的に検索され、汲み上げられていることは周知の事実です。
情報漏洩や内部関係者に関するニュースはいつでも私の Telegram チャンネルで見つけることができます。」»: .
出所: habr.com