Afgelopen week Kommersant , dat “de klantenbestanden van Street Beat en Sony Center zich in het publieke domein bevonden”, maar in werkelijkheid is alles veel erger dan wat er in het artikel staat.
Ik heb al een gedetailleerde technische analyse van dit lek uitgevoerd. , dus hier zullen we alleen de hoofdpunten bespreken.
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Een andere Elasticsearch-server met indexen was gratis beschikbaar:
- grijslog2_0
- readme
- unauth_text
- http:
- grijslog2_1
В grijslog2_0 bevatte logboeken van 16.11.2018 november 2019 tot maart XNUMX, en in grijslog2_1 – logs van maart 2019 tot 04.06.2019/XNUMX/XNUMX. Totdat de toegang tot Elasticsearch wordt gesloten, wordt het aantal records in grijslog2_1 groeide.
Volgens de Shodan-zoekmachine is deze Elasticsearch sinds 12.11.2018 november 16.11.2018 gratis beschikbaar (zoals hierboven geschreven zijn de eerste vermeldingen in de logs gedateerd XNUMX november XNUMX).
In de logboeken, in het veld gl2_remote_ip IP-adressen 185.156.178.58 en 185.156.178.62 zijn opgegeven, met DNS-namen srv2.inventive.ru и srv3.inventive.ru:
Ik heb het gemeld Inventieve Retail Group (www.inventive.ru) over het probleem op 04.06.2019/18/25 om 22:30 (Moskou-tijd) en om XNUMX:XNUMX uur verdween de server “stilletjes” uit de openbare toegang.
De aanwezige logboeken (alle gegevens zijn schattingen, duplicaten zijn niet uit de berekeningen verwijderd, dus de hoeveelheid echt gelekte informatie is hoogstwaarschijnlijk minder):
- meer dan 3 miljoen e-mailadressen van klanten uit re:Store-, Samsung-, Street Beat- en Lego-winkels
- meer dan 7 miljoen telefoonnummers van klanten uit re:Store-, Sony-, Nike-, Street Beat- en Lego-winkels
- meer dan 21 duizend login/wachtwoordparen van persoonlijke accounts van kopers van Sony- en Street Beat-winkels.
- de meeste records met telefoonnummers en e-mailadres bevatten ook volledige namen (vaak in het Latijn) en klantenkaartnummers.
Voorbeeld uit het logboek met betrekking tot de Nike Store-client (alle gevoelige gegevens vervangen door 'X'-tekens):
"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n [contact[phone]] => +7985026XXXXn [contact[email]] => [email protected] [contact[channel]] => n [contact[subscription]] => 0n)n[ДАННЫЕ GET] Arrayn(n [digital_id] => 27008290n [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7985026XXXXn [email] => [email protected] [channel] => 0n [subscription] => 0n )nn)n","DATE":"31.03.2019 12:52:51"}",En hier is een voorbeeld van hoe logins en wachtwoorden van persoonlijke accounts van kopers op websites werden opgeslagen sc-store.ru и street-beat.ru:
"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ GET] Arrayn(n [digital_id] => 26725117n [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"De officiële IRG-verklaring over dit incident kunt u lezen , fragment daaruit:
We konden dit punt niet negeren en hebben de wachtwoorden voor de persoonlijke accounts van klanten gewijzigd in tijdelijke wachtwoorden, om het mogelijke gebruik van gegevens van persoonlijke accounts voor frauduleuze doeleinden te voorkomen. Het bedrijf bevestigt geen lekken van persoonlijke gegevens van street-beat.ru-klanten. Alle projecten van Inventive Retail Group werden extra gecontroleerd. Er zijn geen bedreigingen voor de persoonlijke gegevens van klanten gedetecteerd.
Het is slecht dat IRG er niet achter kan komen wat er gelekt heeft en wat niet. Hier is een voorbeeld uit het logboek met betrekking tot de Street Beat-winkelclient:
"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ GET' =nttArrayn(n [digital_id] => 27016686n [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7915545XXXXn [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",Laten we echter verder gaan met het echt slechte nieuws en uitleggen waarom dit een lek is van persoonlijke gegevens van IRG-cliënten.
Als je goed naar de indexen van deze gratis beschikbare Elasticsearch kijkt, zul je er twee namen in opmerken: readme и unauth_text. Dit is een kenmerkend teken van een van de vele ransomware-scripts. Het trof meer dan vierduizend Elasticsearch-servers over de hele wereld. Inhoud readme ziet er zo uit:
"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"Hoewel de server met IRG-logs vrij toegankelijk was, kreeg een ransomware-script zeker toegang tot de informatie van de klant en werden de gegevens gedownload, volgens het bericht dat het achterliet.
Bovendien twijfel ik er niet aan dat deze database vóór mij werd gevonden en al was gedownload. Ik zou zelfs zeggen dat ik er zeker van ben. Het is geen geheim dat dergelijke open databases doelbewust worden opgezocht en leeggepompt.
Nieuws over informatielekken en insiders vind je altijd op mijn Telegram-kanaal"' .
Bron: www.habr.com