ProHoster > Блог > Administrasi > Kebocoran data pelanggan saka toko re: Store, Samsung, Sony Center, Nike, LEGO lan Street Beat

Kebocoran data pelanggan saka toko re: Store, Samsung, Sony Center, Nike, LEGO lan Street Beat

Minggu kepungkur Kommersant kacarita, yen "basis klien Street Beat lan Sony Center ana ing domain umum," nanging nyatane kabeh luwih elek tinimbang sing ditulis ing artikel kasebut.

Kebocoran data pelanggan saka toko re: Store, Samsung, Sony Center, Nike, LEGO lan Street Beat

Aku wis nindakake analisis teknis sing rinci babagan bocor iki. ing saluran Telegram, dadi ing kene kita bakal ngrembug mung poin-poin utama.

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

Server Elasticsearch liyane kanthi indeks kasedhiya kanthi gratis:

  • graylog2_0
  • README
  • unauth_text
  • http:
  • graylog2_1

В graylog2_0 ngemot log saka 16.11.2018 November 2019 nganti Maret XNUMX, lan ing graylog2_1 - log saka Maret 2019 nganti 04.06.2019/XNUMX/XNUMX. Nganti akses menyang Elasticsearch ditutup, jumlah cathetan ing graylog2_1 mundhak.

Miturut mesin telusur Shodan, Elasticsearch iki kasedhiya kanthi bebas wiwit 12.11.2018 November 16.11.2018 (kaya sing ditulis ing ndhuwur, entri pisanan ing log tanggal XNUMX November XNUMX).

Ing log, ing lapangan gl2_remote_ip Alamat IP 185.156.178.58 lan 185.156.178.62 ditemtokake, kanthi jeneng DNS srv2.inventive.ru и srv3.inventive.ru:

Kebocoran data pelanggan saka toko re: Store, Samsung, Sony Center, Nike, LEGO lan Street Beat

Aku ngabari Grup Ritel Inventif (www.inventive.ru) babagan masalah ing 04.06.2019/18/25 ing 22:30 (wektu Moscow) lan ing XNUMX:XNUMX server "sepi" ilang saka akses umum.

Log sing ana (kabeh data minangka prakiraan, duplikat ora dicopot saka petungan, saengga jumlah informasi sing bocor nyata luwih sithik):

  • luwih saka 3 yuta alamat email pelanggan saka re: Toko, Samsung, Street Beat lan toko Lego
  • luwih saka 7 yuta nomer telpon pelanggan saka re: Toko, Sony, Nike, Street Beat lan toko Lego
  • luwih saka 21 ewu pasangan mlebu / sandhi saka akun pribadi para panuku toko Sony lan Street Beat.
  • paling cathetan karo nomer telpon lan email uga ngemot jeneng lengkap (asring ing Latin) lan nomer kertu kasetyan.

Conto saka log sing ana gandhengane karo klien toko Nike (kabeh data sensitif diganti karo karakter "X"):

"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n    [contact[phone]] => +7985026XXXXn    [contact[email]] => [email protected]    [contact[channel]] => n    [contact[subscription]] => 0n)n[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 27008290n    [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7985026XXXXn            [email] => [email protected]            [channel] => 0n            [subscription] => 0n        )nn)n","DATE":"31.03.2019 12:52:51"}",

Lan iki minangka conto carane login lan sandhi saka akun pribadhi para panuku ing situs web disimpen sc-store.ru и street-beat.ru:

"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 26725117n    [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"

Pernyataan resmi IRG babagan kedadeyan iki bisa diwaca kene, kutipan saka iku:

Kita ora bisa nglirwakake titik iki lan ngganti tembung sandhi menyang akun pribadi klien dadi sauntara, supaya ora bisa nggunakake data saka akun pribadhi kanggo tujuan penipuan. Perusahaan ora konfirmasi bocor data pribadhi klien street-beat.ru. Kabeh proyek Inventive Retail Group uga dicenthang. Ora ana ancaman kanggo data pribadhi klien sing dideteksi.

Iku ala sing IRG ora bisa tokoh metu apa wis bocor lan apa ora. Iki conto saka log sing ana gandhengane karo klien toko Street Beat:

"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n    [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ  GET' =nttArrayn(n    [digital_id] => 27016686n    [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7915545XXXXn            [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",

Nanging, ayo pindhah menyang warta sing ala banget lan jelasake kenapa iki bocor data pribadhi klien IRG.

Yen sampeyan ndeleng kanthi teliti ing indeks saka Elasticsearch sing kasedhiya kanthi bebas iki, sampeyan bakal weruh rong jeneng kasebut: README и unauth_text. Iki minangka tandha karakteristik salah sawijining skrip ransomware. Iki kena pengaruh luwih saka 4 ewu server Elasticsearch ing saindenging jagad. Isi README katon kaya iki:

"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"

Nalika server kanthi log IRG bisa diakses kanthi bebas, skrip ransomware mesthi entuk akses menyang informasi klien lan, miturut pesen sing ditinggalake, data kasebut diundhuh.

Kajaba iku, aku ora mangu manawa database iki ditemokake sadurunge aku lan wis diundhuh. Aku malah bakal ngomong yen aku yakin iki. Ora ana rahasia manawa database mbukak kasebut sengaja digoleki lan dipompa metu.

Warta babagan bocor informasi lan wong njero mesthi bisa ditemokake ing saluran Telegramku "Informasi bocor" https://t.me/dataleak.

Source: www.habr.com

Add a comment