ProHoster > Blogs > Administrācija > Klientu datu noplūde no re:Store, Samsung, Sony Centre, Nike, LEGO un Street Beat veikaliem

Klientu datu noplūde no re:Store, Samsung, Sony Centre, Nike, LEGO un Street Beat veikaliem

Pagājušajā nedēļā Kommersant ziņots, ka “Street Beat un Sony Center klientu bāzes bija publiskajā īpašumā”, taču patiesībā viss ir daudz sliktāk, nekā rakstīts rakstā.

Klientu datu noplūde no re:Store, Samsung, Sony Centre, Nike, LEGO un Street Beat veikaliem

Esmu jau veicis šīs noplūdes detalizētu tehnisko analīzi. telegrammas kanālā, tāpēc šeit mēs apskatīsim tikai galvenos punktus.

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

Vēl viens Elasticsearch serveris ar indeksiem bija brīvi pieejams:

  • graylog2_0
  • Lasi
  • unauth_text
  • http:
  • graylog2_1

В graylog2_0 saturēja žurnālus no 16.11.2018. gada 2019. novembra līdz XNUMX. gada martam, un graylog2_1 – žurnāli no 2019. gada marta līdz 04.06.2019. Kamēr piekļuve Elasticsearch nav slēgta, ierakstu skaits graylog2_1 pieauga.

Saskaņā ar Shodan meklētājprogrammu, šis Elasticsearch ir bijis brīvi pieejams kopš 12.11.2018. gada 16.11.2018. novembra (kā rakstīts iepriekš, pirmie ieraksti žurnālos ir datēti ar XNUMX. gada XNUMX. novembri).

Baļķos, laukā gl2_remote_ip Tika norādītas IP adreses 185.156.178.58 un 185.156.178.62 ar DNS nosaukumiem srv2.inventive.ru и srv3.inventive.ru:

Klientu datu noplūde no re:Store, Samsung, Sony Centre, Nike, LEGO un Street Beat veikaliem

Paziņoju Izgudrojuma mazumtirdzniecības grupa (www.inventive.ru) par problēmu 04.06.2019 plkst.18:25 (pēc Maskavas laika) un līdz 22:30 serveris “pa kluso” pazuda no publiskās piekļuves.

Iekļautie žurnāli (visi dati ir aprēķini, dublikāti no aprēķiniem netika noņemti, tāpēc reālās noplūdušās informācijas apjoms, visticamāk, ir mazāks):

  • vairāk nekā 3 miljoni klientu e-pasta adrešu no re:Store, Samsung, Street Beat un Lego veikaliem
  • vairāk nekā 7 miljoni klientu tālruņu numuru no re:Store, Sony, Nike, Street Beat un Lego veikaliem
  • vairāk nekā 21 tūkstotis pieteikšanās/paroles pāru no Sony un Street Beat veikalu pircēju personīgajiem kontiem.
  • lielākajā daļā ierakstu ar tālruņu numuriem un e-pastu bija arī pilni vārdi (bieži vien latīņu valodā) un lojalitātes karšu numuri.

Piemērs no žurnāla, kas saistīts ar Nike veikala klientu (visi sensitīvie dati aizstāti ar “X” rakstzīmēm):

"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n    [contact[phone]] => +7985026XXXXn    [contact[email]] => [email protected]    [contact[channel]] => n    [contact[subscription]] => 0n)n[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 27008290n    [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7985026XXXXn            [email] => [email protected]            [channel] => 0n            [subscription] => 0n        )nn)n","DATE":"31.03.2019 12:52:51"}",

Un šeit ir piemērs tam, kā tika saglabāti pieteikumvārdi un paroles no pircēju personīgajiem kontiem vietnēs sc-store.ru и street-beat.ru:

"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 26725117n    [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"

Oficiālo IRG paziņojumu par šo incidentu var izlasīt šeit, izvilkums no tā:

Mēs nevarējām ignorēt šo punktu un nomainījām klientu personīgo kontu paroles uz pagaidu paroles, lai izvairītos no iespējamas personas kontu datu izmantošanas krāpnieciskos nolūkos. Uzņēmums neapstiprina street-beat.ru klientu personas datu noplūdi. Visi Inventive Retail Group projekti tika papildus pārbaudīti. Nekādi draudi klientu personas datiem netika konstatēti.

Slikti, ka IRG nevar noskaidrot, kas ir noplūdis un kas nav. Šeit ir piemērs no žurnāla, kas saistīts ar Street Beat veikala klientu:

"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n    [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ  GET' =nttArrayn(n    [digital_id] => 27016686n    [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7915545XXXXn            [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",

Tomēr pāriesim pie patiešām sliktajām ziņām un paskaidrosim, kāpēc tā ir IRG klientu personas datu noplūde.

Ja uzmanīgi aplūkojat šīs brīvi pieejamās Elasticsearch indeksus, jūs pamanīsit tajos divus nosaukumus: Lasi и unauth_text. Tā ir raksturīga pazīme vienam no daudzajiem izspiedējvīrusu skriptiem. Tas skāra vairāk nekā 4 tūkstošus Elasticsearch serveru visā pasaulē. Saturs Lasi izskatās šādi:

"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"

Kamēr serveris ar IRG žurnāliem bija brīvi pieejams, ransomware skripts noteikti ieguva piekļuvi klientu informācijai un saskaņā ar ziņojumu, ko tas atstāja, dati tika lejupielādēti.

Turklāt es nešaubos, ka šī datubāze tika atrasta pirms manis un jau tika lejupielādēta. Es pat teiktu, ka esmu par to pārliecināts. Nav noslēpums, ka šādas atvērtās datu bāzes tiek mērķtiecīgi meklētas un izsūknētas.

Ziņas par informācijas noplūdi un iekšējām personām vienmēr var atrast manā Telegram kanālā "Informācijas noplūde" https://t.me/dataleak.

Avots: www.habr.com

Pievieno komentāru