ಮರು: ಸ್ಟೋರ್, ಸ್ಯಾಮ್‌ಸಂಗ್, ಸೋನಿ ಸೆಂಟರ್, ನೈಕ್, ಲೆಗೋ ಮತ್ತು ಸ್ಟ್ರೀಟ್ ಬೀಟ್ ಸ್ಟೋರ್‌ಗಳಿಂದ ಗ್ರಾಹಕರ ಡೇಟಾ ಸೋರಿಕೆ

ಕಳೆದ ವಾರ ಕೊಮ್ಮರ್ಸ್ಯಾಂಟ್ ವರದಿ ಮಾಡಿದೆ, "ಸ್ಟ್ರೀಟ್ ಬೀಟ್ ಮತ್ತು ಸೋನಿ ಸೆಂಟರ್‌ನ ಕ್ಲೈಂಟ್ ಬೇಸ್‌ಗಳು ಸಾರ್ವಜನಿಕ ಡೊಮೇನ್‌ನಲ್ಲಿದ್ದವು" ಆದರೆ ವಾಸ್ತವದಲ್ಲಿ ಎಲ್ಲವೂ ಲೇಖನದಲ್ಲಿ ಬರೆಯಲ್ಪಟ್ಟಿದ್ದಕ್ಕಿಂತ ಕೆಟ್ಟದಾಗಿದೆ.

ನಾನು ಈಗಾಗಲೇ ಈ ಸೋರಿಕೆಯ ವಿವರವಾದ ತಾಂತ್ರಿಕ ವಿಶ್ಲೇಷಣೆಯನ್ನು ಮಾಡಿದ್ದೇನೆ. ಟೆಲಿಗ್ರಾಮ್ ಚಾನೆಲ್‌ನಲ್ಲಿ, ಇಲ್ಲಿ ನಾವು ಮುಖ್ಯ ಅಂಶಗಳ ಮೇಲೆ ಮಾತ್ರ ಹೋಗುತ್ತೇವೆ.

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

ಸೂಚಿಕೆಗಳೊಂದಿಗೆ ಮತ್ತೊಂದು ಸ್ಥಿತಿಸ್ಥಾಪಕ ಹುಡುಕಾಟ ಸರ್ವರ್ ಉಚಿತವಾಗಿ ಲಭ್ಯವಿದೆ:

• ಗ್ರೇಲಾಗ್2_0
• README
• unauth_text
• HTTP:
• ಗ್ರೇಲಾಗ್2_1

В ಗ್ರೇಲಾಗ್2_0 ನವೆಂಬರ್ 16.11.2018, 2019 ರಿಂದ ಮಾರ್ಚ್ XNUMX ರವರೆಗಿನ ಲಾಗ್‌ಗಳನ್ನು ಮತ್ತು ಇನ್ ಗ್ರೇಲಾಗ್2_1 - ಮಾರ್ಚ್ 2019 ರಿಂದ 04.06.2019/XNUMX/XNUMX ರವರೆಗಿನ ದಾಖಲೆಗಳು. Elasticsearch ಗೆ ಪ್ರವೇಶವನ್ನು ಮುಚ್ಚುವವರೆಗೆ, ದಾಖಲೆಗಳ ಸಂಖ್ಯೆ ಗ್ರೇಲಾಗ್2_1 ಬೆಳೆಯಿತು.

ಶೋಡಾನ್ ಸರ್ಚ್ ಇಂಜಿನ್ ಪ್ರಕಾರ, ಈ ಸ್ಥಿತಿಸ್ಥಾಪಕ ಹುಡುಕಾಟವು ನವೆಂಬರ್ 12.11.2018, 16.11.2018 ರಿಂದ ಉಚಿತವಾಗಿ ಲಭ್ಯವಿದೆ (ಮೇಲೆ ಬರೆದಂತೆ, ಲಾಗ್‌ಗಳಲ್ಲಿನ ಮೊದಲ ನಮೂದುಗಳು ನವೆಂಬರ್ XNUMX, XNUMX ರ ದಿನಾಂಕವಾಗಿದೆ).

ದಾಖಲೆಗಳಲ್ಲಿ, ಕ್ಷೇತ್ರದಲ್ಲಿ gl2_remote_ip IP ವಿಳಾಸಗಳು 185.156.178.58 ಮತ್ತು 185.156.178.62 ಅನ್ನು DNS ಹೆಸರುಗಳೊಂದಿಗೆ ನಿರ್ದಿಷ್ಟಪಡಿಸಲಾಗಿದೆ srv2.inventive.ru и srv3.inventive.ru:

ನಾನು ಸೂಚನೆ ನೀಡಿದೆ ಇನ್ವೆಂಟಿವ್ ಚಿಲ್ಲರೆ ಗುಂಪು (www.inventive.ru04.06.2019/18/25 ರಂದು 22:30 (ಮಾಸ್ಕೋ ಸಮಯ) ಕ್ಕೆ ಸಮಸ್ಯೆಯ ಕುರಿತು ಮತ್ತು XNUMX:XNUMX ರ ಹೊತ್ತಿಗೆ ಸರ್ವರ್ “ಸದ್ದಿಲ್ಲದೆ” ಸಾರ್ವಜನಿಕ ಪ್ರವೇಶದಿಂದ ಕಣ್ಮರೆಯಾಯಿತು.

ಒಳಗೊಂಡಿರುವ ಲಾಗ್‌ಗಳು (ಎಲ್ಲಾ ಡೇಟಾ ಅಂದಾಜುಗಳು, ನಕಲುಗಳನ್ನು ಲೆಕ್ಕಾಚಾರದಿಂದ ತೆಗೆದುಹಾಕಲಾಗಿಲ್ಲ, ಆದ್ದರಿಂದ ನೈಜ ಸೋರಿಕೆಯಾದ ಮಾಹಿತಿಯ ಪ್ರಮಾಣವು ಕಡಿಮೆ ಇರುತ್ತದೆ):

• ಮರು: ಸ್ಟೋರ್, ಸ್ಯಾಮ್‌ಸಂಗ್, ಸ್ಟ್ರೀಟ್ ಬೀಟ್ ಮತ್ತು ಲೆಗೊ ಸ್ಟೋರ್‌ಗಳಿಂದ ಗ್ರಾಹಕರ 3 ಮಿಲಿಯನ್‌ಗಿಂತಲೂ ಹೆಚ್ಚು ಇಮೇಲ್ ವಿಳಾಸಗಳು
• ಮರು: ಸ್ಟೋರ್, ಸೋನಿ, ನೈಕ್, ಸ್ಟ್ರೀಟ್ ಬೀಟ್ ಮತ್ತು ಲೆಗೊ ಸ್ಟೋರ್‌ಗಳಿಂದ ಗ್ರಾಹಕರ 7 ಮಿಲಿಯನ್‌ಗಿಂತಲೂ ಹೆಚ್ಚು ಫೋನ್ ಸಂಖ್ಯೆಗಳು
• ಸೋನಿ ಮತ್ತು ಸ್ಟ್ರೀಟ್ ಬೀಟ್ ಸ್ಟೋರ್‌ಗಳ ಖರೀದಿದಾರರ ವೈಯಕ್ತಿಕ ಖಾತೆಗಳಿಂದ 21 ಸಾವಿರಕ್ಕೂ ಹೆಚ್ಚು ಲಾಗಿನ್/ಪಾಸ್‌ವರ್ಡ್ ಜೋಡಿಗಳು.
• ಫೋನ್ ಸಂಖ್ಯೆಗಳು ಮತ್ತು ಇಮೇಲ್‌ನೊಂದಿಗೆ ಹೆಚ್ಚಿನ ದಾಖಲೆಗಳು ಪೂರ್ಣ ಹೆಸರುಗಳನ್ನು (ಸಾಮಾನ್ಯವಾಗಿ ಲ್ಯಾಟಿನ್‌ನಲ್ಲಿ) ಮತ್ತು ಲಾಯಲ್ಟಿ ಕಾರ್ಡ್ ಸಂಖ್ಯೆಗಳನ್ನು ಒಳಗೊಂಡಿರುತ್ತವೆ.

Nike ಸ್ಟೋರ್ ಕ್ಲೈಂಟ್‌ಗೆ ಸಂಬಂಧಿಸಿದ ಲಾಗ್‌ನಿಂದ ಉದಾಹರಣೆ (ಎಲ್ಲಾ ಸೂಕ್ಷ್ಮ ಡೇಟಾವನ್ನು "X" ಅಕ್ಷರಗಳೊಂದಿಗೆ ಬದಲಾಯಿಸಲಾಗಿದೆ):

"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n    [contact[phone]] => +7985026XXXXn    [contact[email]] => [email protected]    [contact[channel]] => n    [contact[subscription]] => 0n)n[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 27008290n    [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7985026XXXXn            [email] => [email protected]            [channel] => 0n            [subscription] => 0n        )nn)n","DATE":"31.03.2019 12:52:51"}",

ಮತ್ತು ವೆಬ್‌ಸೈಟ್‌ಗಳಲ್ಲಿನ ಖರೀದಿದಾರರ ವೈಯಕ್ತಿಕ ಖಾತೆಗಳಿಂದ ಲಾಗಿನ್‌ಗಳು ಮತ್ತು ಪಾಸ್‌ವರ್ಡ್‌ಗಳನ್ನು ಹೇಗೆ ಸಂಗ್ರಹಿಸಲಾಗಿದೆ ಎಂಬುದರ ಉದಾಹರಣೆ ಇಲ್ಲಿದೆ sc-store.ru и ಸ್ಟ್ರೀಟ್-ಬೀಟ್.ರು:

"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 26725117n    [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"

ಈ ಘಟನೆಯ ಅಧಿಕೃತ IRG ಹೇಳಿಕೆಯನ್ನು ಓದಬಹುದು ಇಲ್ಲಿ, ಅದರಿಂದ ಆಯ್ದ ಭಾಗಗಳು:

ನಾವು ಈ ಅಂಶವನ್ನು ನಿರ್ಲಕ್ಷಿಸಲು ಸಾಧ್ಯವಾಗಲಿಲ್ಲ ಮತ್ತು ವಂಚನೆಯ ಉದ್ದೇಶಗಳಿಗಾಗಿ ವೈಯಕ್ತಿಕ ಖಾತೆಗಳಿಂದ ಡೇಟಾದ ಸಂಭವನೀಯ ಬಳಕೆಯನ್ನು ತಪ್ಪಿಸುವ ಸಲುವಾಗಿ ಕ್ಲೈಂಟ್‌ಗಳ ವೈಯಕ್ತಿಕ ಖಾತೆಗಳಿಗೆ ಪಾಸ್‌ವರ್ಡ್‌ಗಳನ್ನು ತಾತ್ಕಾಲಿಕವಾಗಿ ಬದಲಾಯಿಸಿದ್ದೇವೆ. ಸ್ಟ್ರೀಟ್-ಬೀಟ್.ರು ಕ್ಲೈಂಟ್‌ಗಳ ವೈಯಕ್ತಿಕ ಡೇಟಾದ ಸೋರಿಕೆಯನ್ನು ಕಂಪನಿಯು ದೃಢೀಕರಿಸುವುದಿಲ್ಲ. ಇನ್ವೆಂಟಿವ್ ರೀಟೇಲ್ ಗ್ರೂಪ್‌ನ ಎಲ್ಲಾ ಯೋಜನೆಗಳನ್ನು ಹೆಚ್ಚುವರಿಯಾಗಿ ಪರಿಶೀಲಿಸಲಾಗಿದೆ. ಗ್ರಾಹಕರ ವೈಯಕ್ತಿಕ ಡೇಟಾಗೆ ಯಾವುದೇ ಬೆದರಿಕೆಗಳು ಪತ್ತೆಯಾಗಿಲ್ಲ.

ಏನು ಸೋರಿಕೆಯಾಗಿದೆ ಮತ್ತು ಏನಾಗಿಲ್ಲ ಎಂಬುದನ್ನು IRG ಲೆಕ್ಕಾಚಾರ ಮಾಡಲು ಸಾಧ್ಯವಿಲ್ಲ ಎಂಬುದು ಕೆಟ್ಟದು. ಸ್ಟ್ರೀಟ್ ಬೀಟ್ ಸ್ಟೋರ್ ಕ್ಲೈಂಟ್‌ಗೆ ಸಂಬಂಧಿಸಿದ ಲಾಗ್‌ನಿಂದ ಒಂದು ಉದಾಹರಣೆ ಇಲ್ಲಿದೆ:

"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n    [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ  GET' =nttArrayn(n    [digital_id] => 27016686n    [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7915545XXXXn            [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",

ಆದಾಗ್ಯೂ, ನಿಜವಾಗಿಯೂ ಕೆಟ್ಟ ಸುದ್ದಿಗೆ ಹೋಗೋಣ ಮತ್ತು ಇದು IRG ಕ್ಲೈಂಟ್‌ಗಳ ವೈಯಕ್ತಿಕ ಡೇಟಾದ ಸೋರಿಕೆ ಏಕೆ ಎಂದು ವಿವರಿಸೋಣ.

ಉಚಿತವಾಗಿ ಲಭ್ಯವಿರುವ ಈ ಸ್ಥಿತಿಸ್ಥಾಪಕ ಹುಡುಕಾಟದ ಸೂಚಿಕೆಗಳನ್ನು ನೀವು ಹತ್ತಿರದಿಂದ ನೋಡಿದರೆ, ಅವುಗಳಲ್ಲಿ ಎರಡು ಹೆಸರುಗಳನ್ನು ನೀವು ಗಮನಿಸಬಹುದು: README и unauth_text. ಇದು ಅನೇಕ ransomware ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳಲ್ಲಿ ಒಂದರ ವಿಶಿಷ್ಟ ಚಿಹ್ನೆಯಾಗಿದೆ. ಇದು ಪ್ರಪಂಚದಾದ್ಯಂತ 4 ಸಾವಿರಕ್ಕೂ ಹೆಚ್ಚು ಸ್ಥಿತಿಸ್ಥಾಪಕ ಹುಡುಕಾಟ ಸರ್ವರ್‌ಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರಿತು. ವಿಷಯ README ಈ ರೀತಿ ಕಾಣುತ್ತದೆ:

"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"

IRG ಲಾಗ್‌ಗಳೊಂದಿಗಿನ ಸರ್ವರ್ ಮುಕ್ತವಾಗಿ ಪ್ರವೇಶಿಸಬಹುದಾದರೂ, ransomware ಸ್ಕ್ರಿಪ್ಟ್ ಖಂಡಿತವಾಗಿಯೂ ಗ್ರಾಹಕರ ಮಾಹಿತಿಗೆ ಪ್ರವೇಶವನ್ನು ಪಡೆಯುತ್ತದೆ ಮತ್ತು ಅದು ಬಿಟ್ಟ ಸಂದೇಶದ ಪ್ರಕಾರ, ಡೇಟಾವನ್ನು ಡೌನ್‌ಲೋಡ್ ಮಾಡಲಾಗಿದೆ.

ಹೆಚ್ಚುವರಿಯಾಗಿ, ಈ ಡೇಟಾಬೇಸ್ ನನಗೆ ಮೊದಲು ಕಂಡುಬಂದಿದೆ ಮತ್ತು ಈಗಾಗಲೇ ಡೌನ್‌ಲೋಡ್ ಮಾಡಲಾಗಿದೆ ಎಂದು ನನಗೆ ಸಂದೇಹವಿಲ್ಲ. ನಾನು ಇದನ್ನು ಖಚಿತವಾಗಿ ಹೇಳುತ್ತೇನೆ. ಅಂತಹ ತೆರೆದ ಡೇಟಾಬೇಸ್‌ಗಳನ್ನು ಉದ್ದೇಶಪೂರ್ವಕವಾಗಿ ಹುಡುಕಲಾಗುತ್ತದೆ ಮತ್ತು ಪಂಪ್ ಮಾಡಲಾಗುತ್ತದೆ ಎಂಬುದು ರಹಸ್ಯವಲ್ಲ.

ಮಾಹಿತಿ ಸೋರಿಕೆಗಳು ಮತ್ತು ಒಳಗಿನವರ ಬಗ್ಗೆ ಸುದ್ದಿ ಯಾವಾಗಲೂ ನನ್ನ ಟೆಲಿಗ್ರಾಮ್ ಚಾನಲ್‌ನಲ್ಲಿ ಕಾಣಬಹುದು "ಮಾಹಿತಿ ಸೋರಿಕೆ»: https://t.me/dataleak.

ಮೂಲ: www.habr.com