Il-ġimgħa li għaddiet Kommersant , li "il-bażijiet tal-klijenti ta 'Street Beat u Sony Center kienu fid-dominju pubbliku," iżda fir-realtà kollox huwa ħafna agħar minn dak miktub fl-artiklu.
Diġà għamilt analiżi teknika dettaljata ta' dan it-tnixxija. , għalhekk hawn se mmorru fuq biss il-punti ewlenin.
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Server Elasticsearch ieħor b'indiċi kien disponibbli b'mod liberu:
- graylog2_0
- README
- unauth_test
- http:
- graylog2_1
В graylog2_0 kien fihom zkuk mis-16.11.2018 ta’ Novembru, 2019 sa Marzu XNUMX, u fi graylog2_1 – zkuk minn Marzu 2019 sas-04.06.2019/XNUMX/XNUMX. Sakemm jingħalaq l-aċċess għal Elasticsearch, in-numru ta' rekords ġewwa graylog2_1 kiber.
Skont il-magna tat-tiftix Shodan, din l-Elasticsearch ilha disponibbli b'mod liberu mit-12.11.2018 ta 'Novembru 16.11.2018 (kif miktub hawn fuq, l-ewwel daħliet fir-zkuk huma datati XNUMX ta' Novembru XNUMX).
Fiz-zkuk, fil-għalqa gl2_remote_ip L-indirizzi IP 185.156.178.58 u 185.156.178.62 ġew speċifikati, bl-ismijiet DNS srv2.inventive.ru и srv3.inventive.ru:
Innotifikajt Grupp bl-imnut inventiv (www.inventive.ru) dwar il-problema fis-04.06.2019/18/25 f'22:30 (ħin ta 'Moska) u sa XNUMX:XNUMX is-server "bil-kwiet" sparixxa mill-aċċess pubbliku.
Iċ-zkuk li jinsabu (id-dejta kollha hija stimi, id-duplikati ma tneħħewx mill-kalkoli, għalhekk l-ammont ta 'informazzjoni reali leaked huwa probabbli inqas):
- aktar minn 3 miljun indirizz elettroniku tal-klijenti mill-ħwienet re:Store, Samsung, Street Beat u Lego
- aktar minn 7 miljun numru tat-telefon ta' klijenti minn re:Store, Sony, Nike, Street Beat u ħwienet Lego
- aktar minn 21 elf par login/password minn kontijiet personali tax-xerrejja tal-ħwienet Sony u Street Beat.
- il-biċċa l-kbira tar-rekords bin-numri tat-telefon u l-email kien fihom ukoll ismijiet sħaħ (ħafna drabi bil-Latin) u numri tal-karti ta’ lealtà.
Eżempju mir-reġistru relatat mal-klijent tal-maħżen Nike (id-dejta sensittiva kollha mibdula b'karattri “X”):
"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n [contact[phone]] => +7985026XXXXn [contact[email]] => [email protected] [contact[channel]] => n [contact[subscription]] => 0n)n[ДАННЫЕ GET] Arrayn(n [digital_id] => 27008290n [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7985026XXXXn [email] => [email protected] [channel] => 0n [subscription] => 0n )nn)n","DATE":"31.03.2019 12:52:51"}",U hawn eżempju ta 'kif inħażnu logins u passwords minn kontijiet personali ta' xerrejja fuq websajts sc-store.ru и street-beat.ru:
"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ GET] Arrayn(n [digital_id] => 26725117n [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"Id-dikjarazzjoni uffiċjali tal-IRG dwar dan l-inċident tista’ tinqara , silta minnha:
Ma stajniex ninjoraw dan il-punt u biddlu l-passwords għall-kontijiet personali tal-klijenti għal dawk temporanji, sabiex jiġi evitat l-użu possibbli ta 'dejta minn kontijiet personali għal skopijiet frawdolenti. Il-kumpanija ma tikkonfermax tnixxijiet ta 'dejta personali ta' klijenti street-beat.ru. Il-proġetti kollha ta' Inventive Retail Group ġew iċċekkjati wkoll. Ma nstabet ebda theddid għad-dejta personali tal-klijenti.
Huwa ħażin li l-IRG ma jistax jifhem dak li nixxew u dak li ma kienx. Hawn eżempju mill-ġurnal relatat mal-klijent tal-maħżen Street Beat:
"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ GET' =nttArrayn(n [digital_id] => 27016686n [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7915545XXXXn [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",Madankollu, ejja ngħaddu għall-aħbar tassew ħżiena u nispjega għaliex din hija tnixxija ta 'dejta personali tal-klijenti tal-IRG.
Jekk tħares mill-qrib lejn l-indiċi ta’ dan Elasticsearch disponibbli b’xejn, tinnota żewġ ismijiet fihom: README и unauth_test. Dan huwa sinjal karatteristiku ta 'wieħed mill-ħafna skripts ransomware. Affettwa aktar minn 4 elf servers Elasticsearch madwar id-dinja. Kontenut README tidher bħal din:
"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"Filwaqt li s-server bi zkuk IRG kien aċċessibbli liberament, script ransomware definittivament kiseb aċċess għall-informazzjoni tal-klijenti u, skont il-messaġġ li ħalla, id-dejta ġiet imniżżla.
Barra minn hekk, m'għandi l-ebda dubju li din id-database nstabet quddiemi u kienet diġà mniżżla. Saħansitra ngħid li jien ċert minn dan. M'hemm l-ebda sigriet li tali databases miftuħa huma mfittxija apposta u ppumpjati.
Aħbarijiet dwar tnixxijiet ta’ informazzjoni u persuni minn ġewwa jistgħu dejjem jinstabu fuq il-kanal Telegram tiegħi "" .
Sors: www.habr.com