Өткен аптада Коммерсант , «Street Beat және Sony Center клиенттік базалары қоғамдық игіліктерде болды», бірақ іс жүзінде бәрі мақалада жазылғаннан әлдеқайда нашар.
Мен бұл ағып кетудің егжей-тегжейлі техникалық талдауын жасадым. , сондықтан біз мұнда тек негізгі ойларды ғана қарастырамыз.
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Индекстері бар басқа Elasticsearch сервері еркін қол жетімді болды:
- graylog2_0
- readme
- unauth_text
- HTTP:
- graylog2_1
В graylog2_0 16.11.2018 жылдың 2019 қарашасынан XNUMX жылдың наурызына дейін журналдарды қамтыды graylog2_1 – журналдар 2019 жылдың наурызынан 04.06.2019 жылға дейін. Elasticsearch қолжетімділігі жабылмайынша, ішіндегі жазбалар саны graylog2_1 өсті.
Shodan іздеу жүйесіне сәйкес, бұл Elasticsearch 12.11.2018 жылдың 16.11.2018 қарашасынан бастап еркін қол жетімді (жоғарыда жазылғандай, журналдардағы алғашқы жазбалар XNUMX жылдың XNUMX қарашасында берілген).
Бөренелерде, далада gl2_remote_ip 185.156.178.58 және 185.156.178.62 IP мекенжайлары DNS атауларымен көрсетілді. srv2.inventive.ru и srv3.inventive.ru:
хабардар еттім Өнертапқыш бөлшек сауда тобы (www.inventive.ru) мәселе туралы 04.06.2019 жылы 18:25 (Мәскеу уақыты) және 22:30-да сервер жалпыға қолжетімділіктен «тыныш» жоғалып кетті.
Құрамындағы журналдар (барлық деректер бағалау болып табылады, есептеулерден көшірмелер жойылған жоқ, сондықтан нақты ағып кеткен ақпарат саны аз болуы мүмкін):
- re:Store, Samsung, Street Beat және Lego дүкендеріндегі тұтынушылардың 3 миллионнан астам электрондық пошта мекенжайлары
- re:Store, Sony, Nike, Street Beat және Lego дүкендеріндегі 7 миллионнан астам тұтынушылардың телефон нөмірлері
- Sony және Street Beat дүкендерінің сатып алушылардың жеке шоттарынан 21 мыңнан астам логин/пароль жұбы.
- телефон нөмірлері мен электрондық поштасы бар жазбалардың көпшілігінде толық атаулар (көбінесе латын тілінде) және адалдық картасының нөмірлері бар.
Nike дүкенінің клиентіне қатысты журналдан алынған мысал (барлық құпия деректер «X» таңбаларымен ауыстырылды):
"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n [contact[phone]] => +7985026XXXXn [contact[email]] => [email protected] [contact[channel]] => n [contact[subscription]] => 0n)n[ДАННЫЕ GET] Arrayn(n [digital_id] => 27008290n [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7985026XXXXn [email] => [email protected] [channel] => 0n [subscription] => 0n )nn)n","DATE":"31.03.2019 12:52:51"}",Міне, веб-сайттардағы сатып алушылардың жеке шоттарынан логиндер мен парольдер қалай сақталғанының мысалы sc-store.ru и street-beat.ru:
"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ GET] Arrayn(n [digital_id] => 26725117n [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"Бұл оқиғаға қатысты IRG ресми мәлімдемесін оқуға болады , одан үзінді:
Біз бұл мәселені назардан тыс қалдыра алмадық және жеке шоттағы деректерді алаяқтық мақсатта пайдалану мүмкіндігін болдырмау үшін клиенттердің жеке шоттарының құпия сөздерін уақытша болып өзгерттік. Компания street-beat.ru клиенттерінің жеке деректерінің ағып кетуін растамайды. Inventive Retail Group компаниясының барлық жобалары қосымша тексерілді. Клиенттердің жеке деректеріне қауіп төнген жоқ.
IRG ненің ағып кеткенін және ненің ағып кетпегенін анықтай алмайтыны жаман. Street Beat дүкенінің клиентіне қатысты журналдан мысал келтірілген:
"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ GET' =nttArrayn(n [digital_id] => 27016686n [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7915545XXXXn [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",Дегенмен, шын мәнінде жағымсыз жаңалыққа көшейік және бұл неліктен IRG клиенттерінің жеке деректерінің ағып кетуі екенін түсіндірейік.
Егер сіз осы еркін қол жетімді Elasticsearch индекстеріне мұқият қарасаңыз, оларда екі атауды байқайсыз: readme и unauth_text. Бұл көптеген төлемдік бағдарлама сценарийлерінің біріне тән белгі. Ол бүкіл әлем бойынша 4 мыңнан астам Elasticsearch серверлеріне әсер етті. Мазмұны readme Бұл ұқсайды:
"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"IRG журналдары бар сервер еркін қол жетімді болғанымен, төлемдік бағдарлама сценарийі міндетті түрде клиенттердің ақпаратына қол жеткізді және ол қалдырған хабарламаға сәйкес деректер жүктелді.
Бұған қоса, бұл дерекқор маған дейін табылғанына және қазірдің өзінде жүктелгеніне күмәнім жоқ. Мен бұған сенімдімін деп те айтар едім. Жасыратыны жоқ, мұндай ашық деректер базалары мақсатты түрде іздестіріліп, сорылып шығарылады.
Ақпараттың ағып кетуі және инсайдерлер туралы жаңалықтарды әрқашан менің Telegram каналымнан табуға болады »«: .
Ақпарат көзі: www.habr.com