Минатата недела Комерсант , дека „базите на клиенти на Street Beat и Sony Center беа во јавна сопственост“, но во реалноста сè е многу полошо од она што е напишано во статијата.
Веќе направив детална техничка анализа на ова истекување. , па овде ќе ги разгледаме само главните точки.
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Друг сервер Elasticsearch со индекси беше слободно достапен:
- graylog2_0
- Прочитај ме
- unauth_text
- http:
- graylog2_1
В graylog2_0 содржеше дневници од 16.11.2018 ноември 2019 до март XNUMX година и во graylog2_1 – дневници од март 2019 до 04.06.2019 година. До затворање на пристапот до Elasticsearch, бројот на записи е внатре graylog2_1 порасна.
Според пребарувачот Shodan, овој Elasticsearch е бесплатно достапен од 12.11.2018 ноември 16.11.2018 година (како што е напишано погоре, првите записи во дневниците се датирани од XNUMX ноември XNUMX година).
Во дневниците, на теренот gl2_remote_ip Беа наведени IP адресите 185.156.178.58 и 185.156.178.62, со имиња на DNS srv2.inventive.ru и srv3.inventive.ru:
известив Инвентивна малопродажна групација (www.inventive.ru) за проблемот на 04.06.2019 година во 18:25 часот (московско време) и до 22:30 часот серверот „тивко“ исчезна од јавен пристап.
Дневниците содржани (сите податоци се проценки, дупликатите не беа отстранети од пресметките, така што количината на вистински протечени информации е најверојатно помала):
- повеќе од 3 милиони адреси на е-пошта на клиенти од продавниците на re:Store, Samsung, Street Beat и Lego
- повеќе од 7 милиони телефонски броеви на клиенти од продавниците на re:Store, Sony, Nike, Street Beat и Lego
- повеќе од 21 илјади парови за најава/лозинка од лични сметки на купувачи на продавниците на Sony и Street Beat.
- повеќето записи со телефонски броеви и е-пошта исто така содржеле целосни имиња (често на латиница) и броеви на картички за лојалност.
Пример од дневникот поврзан со клиентот на продавницата Nike (сите чувствителни податоци се заменети со знаци „X“):
"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n [contact[phone]] => +7985026XXXXn [contact[email]] => [email protected] [contact[channel]] => n [contact[subscription]] => 0n)n[ДАННЫЕ GET] Arrayn(n [digital_id] => 27008290n [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7985026XXXXn [email] => [email protected] [channel] => 0n [subscription] => 0n )nn)n","DATE":"31.03.2019 12:52:51"}",И еве пример за тоа како се чувале најавите и лозинките од личните сметки на купувачите на веб-страниците sc-store.ru и street-beat.ru:
"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ GET] Arrayn(n [digital_id] => 26725117n [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"Официјалното соопштение на ИРГ за овој инцидент може да се прочита , извадок од него:
Не можевме да ја игнорираме оваа точка и ги сменивме лозинките на личните сметки на клиентите во привремени, за да избегнеме евентуална употреба на податоци од лични сметки за лажни цели. Компанијата не потврдува протекување на лични податоци на клиенти на street-beat.ru. Сите проекти на Inventive Retail Group беа дополнително проверени. Не се откриени закани за личните податоци на клиентите.
Лошо е што ИРГ не може да открие што протеколо, а што не. Еве пример од дневникот поврзан со клиентот на продавницата Street Beat:
"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ GET' =nttArrayn(n [digital_id] => 27016686n [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7915545XXXXn [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",Сепак, да преминеме на навистина лошите вести и да објасниме зошто се работи за протекување на лични податоци на клиентите на IRG.
Ако внимателно ги погледнете индексите на овој слободно достапен Elasticsearch, ќе забележите две имиња во нив: Прочитај ме и unauth_text. Ова е карактеристичен знак за една од многуте скрипти за откупни софтвери. Тоа влијаеше на повеќе од 4 илјади сервери на Elasticsearch ширум светот. содржина Прочитај ме изгледа вака:
"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"Додека серверот со дневници на IRG беше слободно достапен, скрипта за откупнина дефинитивно доби пристап до информациите на клиентите и, според пораката што ја остави, податоците беа преземени.
Покрај тоа, не се сомневам дека оваа база на податоци беше пронајдена пред мене и веќе беше преземена. Дури би рекол дека сум сигурен во ова. Не постои тајна дека таквите отворени бази на податоци се намерно пребарувани и испумпани.
Вести за протекување информации и инсајдери секогаш може да се најдат на мојот канал Телеграма "" .
Извор: www.habr.com