Kebocoran data pelanggan daripada kedai re:Store, Samsung, Sony Centre, Nike, LEGO dan Street Beat

Minggu lepas Kommersant dilapor, bahawa "pangkalan pelanggan Street Beat dan Sony Center berada dalam domain awam," tetapi pada hakikatnya semuanya jauh lebih buruk daripada apa yang ditulis dalam artikel itu.

Saya telah pun melakukan analisis teknikal terperinci tentang kebocoran ini. dalam saluran Telegram, jadi di sini kita hanya akan membincangkan perkara utama.

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

Satu lagi pelayan Elasticsearch dengan indeks tersedia secara percuma:

• greylog2_0
• readme
• unauth_text
• http:
• greylog2_1

В greylog2_0 mengandungi log dari 16.11.2018 November 2019 hingga Mac XNUMX, dan dalam greylog2_1 – log dari Mac 2019 hingga 04.06.2019/XNUMX/XNUMX. Sehingga akses kepada Elasticsearch ditutup, bilangan rekod masuk greylog2_1 berkembang.

Menurut enjin carian Shodan, Elasticsearch ini telah tersedia secara percuma sejak 12.11.2018 November 16.11.2018 (seperti yang ditulis di atas, entri pertama dalam log bertarikh XNUMX November XNUMX).

Dalam balak, di padang gl2_remote_ip Alamat IP 185.156.178.58 dan 185.156.178.62 telah ditentukan, dengan nama DNS srv2.inventive.ru и srv3.inventive.ru:

Saya memberitahu Kumpulan Runcit Inventif (www.inventive.ru) tentang masalah pada 04.06.2019/18/25 pada 22:30 (waktu Moscow) dan pada XNUMX:XNUMX pelayan "senyap-senyap" hilang daripada akses awam.

Log yang terkandung (semua data adalah anggaran, pendua tidak dialih keluar daripada pengiraan, jadi jumlah maklumat sebenar bocor berkemungkinan kurang):

• lebih daripada 3 juta alamat e-mel pelanggan dari kedai re:Store, Samsung, Street Beat dan Lego
• lebih daripada 7 juta nombor telefon pelanggan daripada kedai re:Store, Sony, Nike, Street Beat dan Lego
• lebih daripada 21 ribu pasangan log masuk/kata laluan daripada akaun peribadi pembeli kedai Sony dan Street Beat.
• kebanyakan rekod dengan nombor telefon dan e-mel juga mengandungi nama penuh (selalunya dalam bahasa Latin) dan nombor kad kesetiaan.

Contoh daripada log yang berkaitan dengan pelanggan kedai Nike (semua data sensitif digantikan dengan aksara "X"):

"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n    [contact[phone]] => +7985026XXXXn    [contact[email]] => [email protected]    [contact[channel]] => n    [contact[subscription]] => 0n)n[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 27008290n    [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7985026XXXXn            [email] => [email protected]            [channel] => 0n            [subscription] => 0n        )nn)n","DATE":"31.03.2019 12:52:51"}",

Dan berikut ialah contoh cara log masuk dan kata laluan daripada akaun peribadi pembeli di tapak web disimpan sc-store.ru и street-beat.ru:

"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 26725117n    [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"

Kenyataan rasmi IRG mengenai kejadian ini boleh dibaca di sini, petikan daripadanya:

Kami tidak boleh mengabaikan perkara ini dan menukar kata laluan kepada akaun peribadi pelanggan kepada akaun sementara, untuk mengelakkan kemungkinan penggunaan data daripada akaun peribadi untuk tujuan penipuan. Syarikat itu tidak mengesahkan kebocoran data peribadi pelanggan street-beat.ru. Semua projek Kumpulan Peruncitan Inventif telah disemak tambahan. Tiada ancaman terhadap data peribadi pelanggan dikesan.

Adalah buruk bahawa IRG tidak dapat mengetahui apa yang telah bocor dan apa yang tidak. Berikut ialah contoh daripada log yang berkaitan dengan pelanggan kedai Street Beat:

"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n    [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ  GET' =nttArrayn(n    [digital_id] => 27016686n    [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7915545XXXXn            [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",

Walau bagaimanapun, mari kita beralih kepada berita yang sangat buruk dan terangkan mengapa ini adalah kebocoran data peribadi pelanggan IRG.

Jika anda melihat dengan teliti pada indeks Elasticsearch yang tersedia secara percuma ini, anda akan melihat dua nama di dalamnya: readme и unauth_text. Ini adalah tanda ciri salah satu daripada banyak skrip ransomware. Ia menjejaskan lebih daripada 4 ribu pelayan Elasticsearch di seluruh dunia. Kandungan readme kelihatan seperti ini:

"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"

Walaupun pelayan dengan log IRG boleh diakses secara bebas, skrip perisian tebusan pasti mendapat akses kepada maklumat pelanggan dan, mengikut mesej yang ditinggalkannya, data telah dimuat turun.

Di samping itu, saya tidak ragu-ragu bahawa pangkalan data ini ditemui sebelum saya dan telah dimuat turun. Saya juga akan mengatakan bahawa saya pasti ini. Tiada rahsia bahawa pangkalan data terbuka sedemikian sengaja dicari dan dipam keluar.

Berita tentang kebocoran maklumat dan orang dalam sentiasa boleh didapati di saluran Telegram saya "Kebocoran maklumat" https://t.me/dataleak.

Sumber: www.habr.com