ProHoster > Log > administrasjon > Lekkasje av kundedata fra re:Store, Samsung, Sony Centre, Nike, LEGO og Street Beat-butikker

Lekkasje av kundedata fra re:Store, Samsung, Sony Centre, Nike, LEGO og Street Beat-butikker

Forrige uke Kommersant rapportert, at "klientbasene til Street Beat og Sony Center var i det offentlige rom", men i virkeligheten er alt mye verre enn det som er skrevet i artikkelen.

Lekkasje av kundedata fra re:Store, Samsung, Sony Centre, Nike, LEGO og Street Beat-butikker

Jeg har allerede gjort en detaljert teknisk analyse av denne lekkasjen. i Telegram-kanalen, så her skal vi bare gå gjennom hovedpunktene.

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

En annen Elasticsearch-server med indekser var fritt tilgjengelig:

  • graylog2_0
  • readme
  • unauth_text
  • http:
  • graylog2_1

В graylog2_0 inneholdt logger fra 16.11.2018. november 2019 til mars XNUMX, og inn graylog2_1 – logger fra mars 2019 til 04.06.2019/XNUMX/XNUMX. Inntil tilgangen til Elasticsearch er stengt, er antall poster i graylog2_1 vokste.

I følge Shodan-søkemotoren har denne Elasticsearch vært fritt tilgjengelig siden 12.11.2018. november 16.11.2018 (som skrevet ovenfor er de første oppføringene i loggene datert XNUMX. november XNUMX).

I loggene, i feltet gl2_remote_ip IP-adressene 185.156.178.58 og 185.156.178.62 ble spesifisert, med DNS-navn srv2.inventive.ru и srv3.inventive.ru:

Lekkasje av kundedata fra re:Store, Samsung, Sony Centre, Nike, LEGO og Street Beat-butikker

Jeg varslet Oppfinnsom Retail Group (www.inventive.ru) om problemet 04.06.2019/18/25 kl. 22:30 (Moskva-tid) og innen XNUMX:XNUMX forsvant serveren "stille" fra offentlig tilgang.

Loggene inneholdt (alle data er estimater, duplikater ble ikke fjernet fra beregningene, så mengden reell lekket informasjon er mest sannsynlig mindre):

  • mer enn 3 millioner e-postadresser til kunder fra re:Store, Samsung, Street Beat og Lego-butikker
  • mer enn 7 millioner telefonnumre til kunder fra re:Store, Sony, Nike, Street Beat og Lego-butikker
  • mer enn 21 tusen påloggings-/passordpar fra personlige kontoer til kjøpere av Sony og Street Beat-butikker.
  • de fleste poster med telefonnumre og e-post inneholdt også fulle navn (ofte på latin) og lojalitetskortnumre.

Eksempel fra loggen knyttet til Nike Store-klienten (alle sensitive data erstattet med "X"-tegn):

"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n    [contact[phone]] => +7985026XXXXn    [contact[email]] => [email protected]    [contact[channel]] => n    [contact[subscription]] => 0n)n[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 27008290n    [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7985026XXXXn            [email] => [email protected]            [channel] => 0n            [subscription] => 0n        )nn)n","DATE":"31.03.2019 12:52:51"}",

Og her er et eksempel på hvordan pålogginger og passord fra personlige kontoer til kjøpere på nettsteder ble lagret sc-store.ru и street-beat.ru:

"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 26725117n    [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"

Den offisielle IRG-uttalelsen om denne hendelsen kan leses her, utdrag fra det:

Vi kunne ikke ignorere dette punktet og endret passordene til kundenes personlige kontoer til midlertidige, for å unngå mulig bruk av data fra personlige kontoer til uredelige formål. Selskapet bekrefter ikke lekkasjer av personopplysninger til street-beat.ru-klienter. Alle prosjektene til Inventive Retail Group ble i tillegg kontrollert. Ingen trusler mot klienters personopplysninger ble oppdaget.

Det er ille at IRG ikke kan finne ut hva som har lekket ut og ikke. Her er et eksempel fra loggen knyttet til Street Beat-butikkklienten:

"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n    [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ  GET' =nttArrayn(n    [digital_id] => 27016686n    [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7915545XXXXn            [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",

La oss imidlertid gå videre til de virkelig dårlige nyhetene og forklare hvorfor dette er en lekkasje av personopplysninger fra IRG-kunder.

Hvis du ser nøye på indeksene til denne fritt tilgjengelige Elasticsearch, vil du legge merke til to navn i dem: readme и unauth_text. Dette er et karakteristisk tegn på et av de mange løsepengevareskriptene. Det påvirket mer enn 4 tusen Elasticsearch-servere rundt om i verden. Innhold readme ser slik ut:

"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"

Mens serveren med IRG-logger var fritt tilgjengelig, fikk et ransomware-skript definitivt tilgang til klientens informasjon, og i henhold til meldingen den la igjen, ble dataene lastet ned.

I tillegg er jeg ikke i tvil om at denne databasen ble funnet før meg og allerede var lastet ned. Jeg vil til og med si at jeg er sikker på dette. Det er ingen hemmelighet at slike åpne databaser blir målrettet søkt etter og pumpet ut.

Nyheter om informasjonslekkasjer og innsidere kan alltid finnes på min Telegram-kanal "Informasjonslekkasjer' https://t.me/dataleak.

Kilde: www.habr.com

Legg til en kommentar