Leckage vu Clientdaten aus re:Store, Samsung, Sony Center, Nike, LEGO a Street Beat Geschäfter

Lescht Woch Kommersant gemellt, datt "d'Clientbase vu Street Beat a Sony Center am Domaine public waren", awer an der Realitéit ass alles vill méi schlëmm wéi dat wat am Artikel geschriwwen ass.

Ech hu schonn eng detailléiert technesch Analyse vun dësem Leck gemaach. am Telegram Kanal, also wäerte mir hei nëmmen d'Haaptpunkte iwwergoen.

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

En aneren Elasticsearch Server mat Indexen schéngt fräi verfügbar ze sinn:

• greylog2_0
• readme
• unauth_text
• http:
• greylog2_1

В greylog2_0 enthält Logbicher vum 16.11.2018. November 2019 bis Mäerz XNUMX, an an greylog2_1 - Logbicher vum Mäerz 2019 bis 04.06.2019/XNUMX/XNUMX. Bis den Zougang zu Elasticsearch zou ass, ass d'Zuel vun den Opzeechnungen an greylog2_1 gewuess.

No der Shodan Sichmotor ass dës Elasticsearch fräi verfügbar zënter dem 12.11.2018. November 16.11.2018 (wéi uewen geschriwwen, déi éischt Entréen an de Logbicher sinn vum XNUMX. November XNUMX datéiert).

An de Logbicher, am Feld gl2_Remote_ip IP Adressen 185.156.178.58 an 185.156.178.62 goufen uginn, mat DNS Nimm srv2.inventive.ru и srv3.inventive.ru:

Ech informéiert Erfindungen Retail Group (www.inventive.ru) iwwer de Problem den 04.06.2019/18/25 um 22:30 (Moskauer Zäit) an um XNUMX:XNUMX ass de Server "roueg" vum ëffentlechen Zougang verschwonnen.

D'Logbicher enthalen (all Donnéeën sinn Schätzungen, Duplikate goufen net aus de Berechnungen geläscht, sou datt de Volume vun der realer geleckter Informatioun héchstwahrscheinlech manner ass):

• méi wéi 3 Milliounen Email Adresse vu Clienten aus re: Store, Samsung, Street Beat a Lego Geschäfter
• méi wéi 7 Milliounen Telefonsnummeren vu Clienten aus re:Store, Sony, Nike, Street Beat a Lego Geschäfter
• méi wéi 21 dausend Login / Passwuert Puer aus perséinlech Konte vun Keefer vun Sony an Street Beat Geschäfter.
• déi meescht records mat Telefonsnummeren an E-Mail enthalen och voll Nimm (dacks op Latäin) a Loyalitéitskaartnummeren.

Beispill aus dem Logbuch am Zesummenhang mam Nike Store Client (all sensibel Donnéeën ersat duerch "X" Zeechen):

"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n    [contact[phone]] => +7985026XXXXn    [contact[email]] => [email protected]    [contact[channel]] => n    [contact[subscription]] => 0n)n[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 27008290n    [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7985026XXXXn            [email] => [email protected]            [channel] => 0n            [subscription] => 0n        )nn)n","DATE":"31.03.2019 12:52:51"}",

An hei ass e Beispill wéi Login a Passwierder vu perséinleche Konte vu Keefer op Websäite gespäichert goufen sc-store.ru и street-beat.ru:

"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 26725117n    [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"

Déi offiziell IRG Ausso iwwer dësen Tëschefall kann gelies ginn hei, Auszuch dovunner:

Mir konnten dëse Punkt net ignoréieren an d'Passwuert op de perséinleche Konten vun de Clienten op temporär geännert hunn, fir déi méiglech Notzung vun Daten aus perséinleche Konten fir betrügeresch Zwecker ze vermeiden. D'Firma bestätegt keng Leckage vu perséinlechen Donnéeë vu street-beat.ru Clienten. All Projete vun Inventive Retail Group goufen zousätzlech iwwerpréift. Keng Gefore fir perséinlech Donnéeën vun de Cliente goufen festgestallt.

Et ass schlecht datt d'IRG net erausfanne kann wat geleckt ass a wat net. Hei ass e Beispill aus dem Log am Zesummenhang mam Street Beat Store Client:

"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n    [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ  GET' =nttArrayn(n    [digital_id] => 27016686n    [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7915545XXXXn            [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",

Wéi och ëmmer, loosst eis op déi wierklech schlecht Neiegkeet weidergoen an erkläre firwat dëst e Leck vu perséinlechen Donnéeën vun IRG Clienten ass.

Wann Dir d'Indexe vun dëser fräi verfügbaren Elasticsearch genau kuckt, gesitt Dir zwee Nimm an hinnen: readme и unauth_text. Dëst ass e charakteristescht Zeechen vun engem vun de ville Ransomware Scripten. Et huet méi wéi 4 dausend Elasticsearch Serveren weltwäit betraff. Inhalt readme gesäit aus wéi:

"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"

Wärend de Server mat IRG Logbicher fräi zougänglech war, huet e Ransomware Skript definitiv Zougang zu den Informatioune vun de Clienten kritt an, laut dem Message deen et hannerlooss huet, goufen d'Donnéeën erofgelueden.

Ausserdeem hunn ech keen Zweiwel datt dës Datebank virun mir fonnt gouf a scho erofgeluede gouf. Ech géif souguer soen, datt ech sécher dovunner sinn. Et ass kee Geheimnis datt esou oppe Datenbanken gezielt gesicht a gepompelt ginn.

Neiegkeeten iwwer Informatiounsleken an Insider kënnen ëmmer op mengem Telegram Kanal fonnt ginn "Informatioun Leckage" https://t.me/dataleak.

Source: will.com