Өнгөрсөн долоо хоногт Коммерсант , "Street Beat болон Sony Center-ийн үйлчлүүлэгчдийн баазууд олон нийтийн эзэмшилд байсан" гэсэн боловч бодит байдал дээр бүх зүйл нийтлэлд бичсэнээс хамаагүй дор байна.
Би энэ алдагдсан техникийн нарийвчилсан шинжилгээг аль хэдийн хийсэн. , тиймээс бид энд зөвхөн гол санааг авч үзэх болно.
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Индексүүдтэй өөр Elasticsearch сервер чөлөөтэй байсан:
- graylog2_0
- README
- баталгаажуулаагүй_текст
- HTTP:
- graylog2_1
В graylog2_0 16.11.2018 оны 2019-р сарын XNUMX-наас XNUMX оны XNUMX-р сар хүртэл бүртгэлүүдийг агуулж байсан ба graylog2_1 – 2019 оны 04.06.2019-р сараас XNUMX оны XNUMX-р сарын XNUMX-ний өдрийг хүртэлх бүртгэлүүд. Elasticsearch-д хандах хандалтыг хаах хүртэл доторх бичлэгийн тоо graylog2_1 өссөн.
Shodan хайлтын системийн мэдээлснээр энэхүү Elasticsearch нь 12.11.2018 оны 16.11.2018-р сарын XNUMX-ноос эхлэн чөлөөтэй ашиглах боломжтой болсон (дээр бичсэнчлэн, логуудын эхний бичилтүүд XNUMX оны XNUMX-р сарын XNUMX-ны өдөр).
Гуалин дээр, талбайд gl2_remote_ip 185.156.178.58 ба 185.156.178.62 IP хаягуудыг DNS нэртэй зааж өгсөн. srv2.inventive.ru и srv3.inventive.ru:
Би мэдэгдсэн Шинэ бүтээлийн жижиглэн худалдааны групп (www.inventive.ru) асуудлын талаар 04.06.2019 оны 18-р сарын 25-ний өдрийн 22:30 цагт (Москвагийн цагаар) XNUMX:XNUMX гэхэд сервер олон нийтийн хандалтаас "чимээгүй" алга болсон.
Бүртгэгдсэн бүртгэлүүд (бүх өгөгдөл нь тооцоолол, давхардлыг тооцооллоос хасаагүй тул алдагдсан бодит мэдээллийн хэмжээ бага байх магадлалтай):
- re:Store, Samsung, Street Beat, Lego дэлгүүрүүдийн үйлчлүүлэгчдийн 3 сая гаруй имэйл хаяг
- re:Store, Sony, Nike, Street Beat, Lego дэлгүүрүүдийн 7 сая гаруй хэрэглэгчийн утасны дугаар
- Sony болон Street Beat дэлгүүрүүдийн худалдан авагчдын хувийн данснаас 21 мянга гаруй нэвтрэх/нууц үгийн хос.
- Утасны дугаар, цахим шуудан бүхий ихэнх бүртгэлд бүтэн нэр (ихэвчлэн латин хэлээр) болон үнэнч картын дугаар орсон байдаг.
Nike дэлгүүрийн үйлчлүүлэгчтэй холбоотой бүртгэлээс авсан жишээ (бүх эмзэг өгөгдлийг "X" тэмдэгтээр сольсон):
"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n [contact[phone]] => +7985026XXXXn [contact[email]] => [email protected] [contact[channel]] => n [contact[subscription]] => 0n)n[ДАННЫЕ GET] Arrayn(n [digital_id] => 27008290n [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7985026XXXXn [email] => [email protected] [channel] => 0n [subscription] => 0n )nn)n","DATE":"31.03.2019 12:52:51"}",Вэбсайт дахь худалдан авагчдын хувийн данснаас нэвтрэх нэр, нууц үг хэрхэн хадгалагдаж байсан жишээ энд байна sc-store.ru и street-beat.ru:
"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ GET] Arrayn(n [digital_id] => 26725117n [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"Энэ үйл явдлын талаар IRG-ийн албан ёсны мэдэгдлийг уншиж болно , үүнээс ишлэл:
Бид энэ цэгийг үл тоомсорлож чадаагүй бөгөөд хувийн дансны өгөгдлийг залилан мэхлэх зорилгоор ашиглахаас зайлсхийхийн тулд үйлчлүүлэгчийн хувийн дансны нууц үгийг түр зуурын нууц үг болгон өөрчилсөн. Тус компани street-beat.ru-ийн үйлчлүүлэгчдийн хувийн мэдээлэл алдагдсаныг батлаагүй байна. Inventive Retail Group-ийн бүх төслүүдийг нэмэлтээр шалгасан. Үйлчлүүлэгчийн хувийн мэдээлэлд заналхийлсэн зүйл илрээгүй.
IRG юу алдагдсан, юу нь алдагдаагүй байгааг олж чадахгүй байгаа нь муу юм. Street Beat дэлгүүрийн үйлчлүүлэгчтэй холбоотой бүртгэлээс авсан жишээ энд байна:
"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ GET' =nttArrayn(n [digital_id] => 27016686n [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7915545XXXXn [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",Гэсэн хэдий ч үнэхээр муу мэдээ рүү шилжиж, энэ нь яагаад IRG үйлчлүүлэгчдийн хувийн мэдээлэл алдагдсан болохыг тайлбарлая.
Хэрэв та энэхүү чөлөөтэй ашиглах боломжтой Elasticsearch-ийн индексүүдийг анхааралтай ажиглавал тэдгээрээс хоёр нэрийг анзаарах болно: README и баталгаажуулаагүй_текст. Энэ нь олон ransomware скриптүүдийн нэгний шинж тэмдэг юм. Энэ нь дэлхий даяар 4 мянга гаруй Elasticsearch серверт нөлөөлсөн. Агуулга README иймэрхүү харагдаж байна:
"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"IRG бүртгэлтэй серверт чөлөөтэй нэвтрэх боломжтой байсан ч ransomware скрипт нь үйлчлүүлэгчийн мэдээлэлд нэвтрэх боломжтой болсон бөгөөд түүний үлдээсэн мессежийн дагуу өгөгдлийг татаж авсан.
Нэмж хэлэхэд, энэ мэдээллийн санг надаас өмнө олж, аль хэдийн татаж авсан гэдэгт би эргэлзэхгүй байна. Би үүнд итгэлтэй байна гэж хүртэл хэлмээр байна. Ийм нээлттэй мэдээллийн санг зориудаар хайж, шахдаг нь нууц биш юм.
Мэдээлэл алдагдсан болон инсайдеруудын талаарх мэдээг миний Telegram сувгаас үргэлж авах боломжтой "" .
Эх сурвалж: www.habr.com