Praėjusią savaitę Kommersant , kad „Street Beat ir Sony Center klientų bazės buvo viešai prieinamos“, tačiau iš tikrųjų viskas yra daug blogiau, nei rašoma straipsnyje.
Jau atlikau išsamią šio nutekėjimo techninę analizę. , todėl čia apžvelgsime tik pagrindinius dalykus.
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Kitas Elasticsearch serveris su indeksais pasirodė esąs laisvai prieinamas:
- graylog2_0
- Readme
- unauth_text
- http:
- graylog2_1
В graylog2_0 buvo žurnalai nuo 16.11.2018 m. lapkričio 2019 d. iki XNUMX m. kovo d graylog2_1 – žurnalai nuo 2019-04.06.2019-XNUMX iki XNUMX-XNUMX-XNUMX. Kol nebus uždaryta prieiga prie Elasticsearch, įrašų skaičius graylog2_1 augo.
„Shodan“ paieškos sistemos duomenimis, šis „Elasticsearch“ buvo laisvai prieinamas nuo 12.11.2018 m. lapkričio 16.11.2018 d. (kaip parašyta aukščiau, pirmieji įrašai žurnaluose yra XNUMX m. lapkričio XNUMX d.).
Rąstuose, lauke gl2_remote_ip Buvo nurodyti IP adresai 185.156.178.58 ir 185.156.178.62 su DNS pavadinimais srv2.inventive.ru и srv3.inventive.ru:
Aš pranešiau Išradinga mažmeninės prekybos grupė (www.inventive.ru) apie problemą 04.06.2019-18-25 22:30 (Maskvos laiku) ir iki XNUMX:XNUMX serveris „tyliai“ dingo iš viešos prieigos.
Pateikiami žurnalai (visi duomenys yra apytiksliai, dublikatai iš skaičiavimų nebuvo pašalinti, todėl tikrosios nutekėjusios informacijos kiekis greičiausiai yra mažesnis):
- daugiau nei 3 milijonai klientų el. pašto adresų iš re:Store, Samsung, Street Beat ir Lego parduotuvių
- daugiau nei 7 milijonai klientų telefonų numerių iš „re:Store“, „Sony“, „Nike“, „Street Beat“ ir „Lego“ parduotuvių
- daugiau nei 21 tūkstantis prisijungimo/slaptažodžių porų iš asmeninių Sony ir Street Beat parduotuvių pirkėjų paskyrų.
- daugumoje įrašų su telefono numeriais ir el. pašto adresais taip pat buvo pilni vardai (dažnai lotyniškai) ir lojalumo kortelių numeriai.
Pavyzdys iš žurnalo, susijusio su „Nike Store“ klientu (visi neskelbtini duomenys pakeisti „X“ simboliais):
"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n [contact[phone]] => +7985026XXXXn [contact[email]] => XXX@mail.run [contact[channel]] => n [contact[subscription]] => 0n)n[ДАННЫЕ GET] Arrayn(n [digital_id] => 27008290n [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7985026XXXXn [email] => XXX@mail.run [channel] => 0n [subscription] => 0n )nn)n","DATE":"31.03.2019 12:52:51"}",Ir čia yra pavyzdys, kaip buvo saugomi prisijungimai ir slaptažodžiai iš asmeninių pirkėjų paskyrų svetainėse sc-store.ru и street-beat.ru:
"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ GET] Arrayn(n [digital_id] => 26725117n [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"Galima perskaityti oficialų IRG pareiškimą apie šį incidentą , ištrauka iš jo:
Negalėjome to nepaisyti ir klientų asmeninių paskyrų slaptažodžius pakeitėme į laikinuosius, siekdami išvengti galimo asmeninių paskyrų duomenų panaudojimo nesąžiningais tikslais. Bendrovė nepatvirtina street-beat.ru klientų asmens duomenų nutekėjimo. Visi „Išradingos mažmeninės prekybos grupės“ projektai buvo papildomai tikrinami. Grėsmių klientų asmens duomenims nenustatyta.
Blogai, kad IRG negali išsiaiškinti, kas nutekėjo, o kas ne. Štai pavyzdys iš žurnalo, susijusio su „Street Beat“ parduotuvės klientu:
"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ GET' =nttArrayn(n [digital_id] => 27016686n [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7915545XXXXn [email] => XXX@gmail.com","Дата":"01.04.2019 08:33:48"}",Tačiau pereikime prie tikrai blogų naujienų ir paaiškinkime, kodėl tai yra IRG klientų asmeninių duomenų nutekinimas.
Jei atidžiai pažvelgsite į šios laisvai prieinamos Elasticsearch rodyklės, jose pastebėsite du pavadinimus: Readme и unauth_text. Tai būdingas vieno iš daugelio išpirkos reikalaujančių scenarijų požymis. Tai paveikė daugiau nei 4 tūkstančius Elasticsearch serverių visame pasaulyje. Turinys Readme atrodo taip:
"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"Nors serveris su IRG žurnalais buvo laisvai pasiekiamas, išpirkos reikalaujantis scenarijus neabejotinai gavo prieigą prie klientų informacijos ir, remiantis jo paliktu pranešimu, duomenys buvo atsisiųsti.
Be to, neabejoju, kad ši duomenų bazė buvo rasta prieš mane ir jau buvo atsisiųsta. Netgi sakyčiau, kad esu tuo tikras. Ne paslaptis, kad tokios atviros duomenų bazės yra tikslingai ieškomos ir išpumpuojamos.
Naujienos apie informacijos nutekėjimą ir viešai neatskleistą informaciją visada galite rasti mano „Telegram“ kanale “" .
Šaltinis: www.habr.com
