지난주 코메르산트 , "Street Beat 및 Sony Center의 클라이언트 기반은 공개 도메인에 있었다"고 말했지만 실제로는 기사에 쓰여진 것보다 모든 것이 훨씬 더 나쁩니다.
나는 이미 이 유출에 대한 자세한 기술적 분석을 수행했습니다. , 그래서 여기서는 주요 사항만 살펴보겠습니다.
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.인덱스가 있는 또 다른 Elasticsearch 서버가 무료로 제공되었습니다.
- 회색로그2_0
- 추가 정보
- unauth_text
- HTTP :
- 회색로그2_1
В 회색로그2_0 16.11.2018년 2019월 XNUMX일부터 XNUMX년 XNUMX월까지의 로그가 포함되어 있으며, 회색로그2_1 – 2019년 04.06.2019월부터 XNUMX년 XNUMX월 XNUMX일까지의 로그입니다. Elasticsearch에 대한 접근이 종료될 때까지 회색로그2_1 자랐다.
Shodan 검색 엔진에 따르면 이 Elasticsearch는 12.11.2018년 16.11.2018월 XNUMX일부터 무료로 사용할 수 있습니다(위에 작성된 대로 로그의 첫 번째 항목 날짜는 XNUMX년 XNUMX월 XNUMX일입니다).
로그에서, 현장에서 gl2_remote_ip IP 주소 185.156.178.58 및 185.156.178.62가 DNS 이름으로 지정되었습니다. srv2.inventive.ru и srv3.inventive.ru:
나는 알렸다 인벤티브 리테일 그룹 (www.inventive.ru) 04.06.2019년 18월 25일 22시 30분(모스크바 시간)에 문제가 발생했고 XNUMX시 XNUMX분에 서버가 공개 액세스에서 "조용히" 사라졌습니다.
포함된 로그(모든 데이터는 추정치이며, 중복된 데이터는 계산에서 제거되지 않았으므로 실제로 유출된 정보의 양은 더 적을 가능성이 높습니다):
- re:Store, Samsung, Street Beat 및 Lego 매장 고객의 3만 개 이상의 이메일 주소
- re:Store, Sony, Nike, Street Beat 및 Lego 매장의 7만 개 이상의 고객 전화번호
- Sony 및 Street Beat 매장 구매자의 개인 계정에서 수집된 21개 이상의 로그인/비밀번호 쌍.
- 전화번호와 이메일이 포함된 대부분의 기록에는 성명(주로 라틴어)과 포인트 카드 번호도 포함되어 있습니다.
Nike 매장 클라이언트와 관련된 로그의 예(모든 민감한 데이터는 "X" 문자로 대체됨):
"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n [contact[phone]] => +7985026XXXXn [contact[email]] => [email protected] [contact[channel]] => n [contact[subscription]] => 0n)n[ДАННЫЕ GET] Arrayn(n [digital_id] => 27008290n [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7985026XXXXn [email] => [email protected] [channel] => 0n [subscription] => 0n )nn)n","DATE":"31.03.2019 12:52:51"}",다음은 웹사이트 구매자 개인 계정의 로그인 정보와 비밀번호가 어떻게 저장되었는지 보여주는 예입니다. sc-store.ru и street-beat.ru:
"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ GET] Arrayn(n [digital_id] => 26725117n [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"이 사건에 대한 공식 IRG 성명을 읽을 수 있습니다. , 발췌:
우리는 사기 목적으로 개인 계정의 데이터를 사용할 가능성을 피하기 위해 이 점을 무시할 수 없었고 고객 개인 계정의 비밀번호를 임시 비밀번호로 변경했습니다. 회사는 street-beat.ru 고객의 개인정보 유출을 확인하지 않습니다. Inventive Retail Group의 모든 프로젝트를 추가로 점검했습니다. 고객의 개인 데이터에 대한 위협은 감지되지 않았습니다.
IRG가 유출된 내용과 유출되지 않은 내용을 파악할 수 없다는 점은 안타깝습니다. 다음은 Street Beat 스토어 클라이언트와 관련된 로그의 예입니다.
"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ GET' =nttArrayn(n [digital_id] => 27016686n [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7915545XXXXn [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",그러나 정말 나쁜 소식으로 넘어가 이것이 IRG 고객의 개인 데이터 유출인 이유를 설명하겠습니다.
무료로 제공되는 이 Elasticsearch의 인덱스를 자세히 살펴보면 그 안에 두 가지 이름이 있음을 알 수 있습니다. 추가 정보 и unauth_text. 이는 많은 랜섬웨어 스크립트 중 하나의 특징적인 징후입니다. 이는 전 세계 4개 이상의 Elasticsearch 서버에 영향을 미쳤습니다. 콘텐츠 추가 정보 그것은 다음과 같습니다 :
"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"IRG 로그가 있는 서버는 자유롭게 액세스할 수 있었지만 랜섬웨어 스크립트는 분명히 클라이언트 정보에 액세스할 수 있었고, 남긴 메시지에 따르면 데이터가 다운로드되었습니다.
게다가 나는 이 데이터베이스가 나보다 먼저 발견되었고 이미 다운로드되었다는 사실에 의심의 여지가 없습니다. 나는 이것을 확신한다고 말하고 싶습니다. 그러한 공개 데이터베이스가 의도적으로 검색되어 펌핑된다는 비밀은 없습니다.
정보 유출 및 내부자에 대한 소식은 언제나 제 텔레그램 채널에서 확인하실 수 있습니다."»: .
출처 : habr.com