W zeszłym tygodniu Kommiersant , że „bazy klientów Street Beat i Sony Center były w domenie publicznej”, ale w rzeczywistości wszystko jest znacznie gorsze, niż napisano w artykule.
Zrobiłem już szczegółową analizę techniczną tego wycieku. , więc tutaj omówimy tylko główne punkty.
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Inny serwer Elasticsearch z indeksami był swobodnie dostępny:
- szarylog2_0
- readme
- nieuwierzytelniony_tekst
- http:
- szarylog2_1
В szarylog2_0 zawierał logi od 16.11.2018 listopada 2019 r. do marca XNUMX r. oraz w szarylog2_1 – logi od marca 2019 do 04.06.2019. Do czasu zamknięcia dostępu do Elasticsearch liczba rekordów w szarylog2_1 urósł.
Według wyszukiwarki Shodan, Elasticsearch jest dostępny bezpłatnie od 12.11.2018 listopada 16.11.2018 r. (jak napisano powyżej, pierwsze wpisy w logach są datowane na XNUMX listopada XNUMX r.).
W kłodach, na polu gl2_remote_ip Podano adresy IP 185.156.178.58 i 185.156.178.62 wraz z nazwami DNS srv2.inventive.ru и srv3.inventive.ru:
Powiadomiłem Innowacyjna Grupa Handlowa (www.inventive.ru) o problemie w dniu 04.06.2019 o godzinie 18:25 (czasu moskiewskiego) i do godziny 22:30 serwer „po cichu” zniknął z publicznego dostępu.
Zawarte logi (wszystkie dane są szacunkowe, z obliczeń nie usunięto duplikatów, więc ilość rzeczywistych wyciekających informacji jest najprawdopodobniej mniejsza):
- ponad 3 miliony adresów e-mail klientów sklepów re:Store, Samsung, Street Beat i Lego
- ponad 7 milionów numerów telefonów klientów sklepów re:Store, Sony, Nike, Street Beat i Lego
- ponad 21 tys. par login/hasło z kont osobistych kupujących sklepy Sony i Street Beat.
- większość zapisów zawierających numery telefonów i adresy e-mail zawierała także imiona i nazwiska (często po łacinie) oraz numery kart lojalnościowych.
Przykład z logu dotyczącego klienta sklepu Nike (wszystkie wrażliwe dane zastąpione znakami „X”):
"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n [contact[phone]] => +7985026XXXXn [contact[email]] => [email protected] [contact[channel]] => n [contact[subscription]] => 0n)n[ДАННЫЕ GET] Arrayn(n [digital_id] => 27008290n [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7985026XXXXn [email] => [email protected] [channel] => 0n [subscription] => 0n )nn)n","DATE":"31.03.2019 12:52:51"}",A oto przykład sposobu przechowywania loginów i haseł z kont osobistych kupujących na stronach internetowych sc-store.ru и ulica-beat.ru:
"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ GET] Arrayn(n [digital_id] => 26725117n [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"Można przeczytać oficjalne oświadczenie IRG w sprawie tego incydentu , fragment z niego:
Nie mogliśmy zignorować tego punktu i zmieniliśmy hasła do kont osobistych klientów na tymczasowe, aby uniknąć ewentualnego wykorzystania danych z kont osobistych do celów nieuczciwych. Firma nie potwierdza wycieków danych osobowych klientów street-beat.ru. Wszystkie projekty Inventive Retail Group zostały dodatkowo sprawdzone. Nie wykryto żadnych zagrożeń dla danych osobowych klientów.
Szkoda, że IRG nie potrafi ustalić, co wyciekło, a co nie. Oto przykład z logu związanego z klientem sklepu Street Beat:
"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ GET' =nttArrayn(n [digital_id] => 27016686n [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7915545XXXXn [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",Przejdźmy jednak do naprawdę złych wiadomości i wyjaśnijmy, dlaczego jest to wyciek danych osobowych klientów IRG.
Jeśli przyjrzysz się uważnie indeksom tego ogólnodostępnego Elasticsearch, zauważysz w nich dwie nazwy: readme и nieuwierzytelniony_tekst. Jest to charakterystyczny znak jednego z wielu skryptów ransomware. Dotknęło to ponad 4 tysiące serwerów Elasticsearch na całym świecie. Treść readme Wygląda to tak:
"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"Chociaż serwer z logami IRG był swobodnie dostępny, skrypt ransomware z pewnością uzyskał dostęp do informacji klientów i zgodnie z pozostawioną wiadomością dane zostały pobrane.
Ponadto nie mam wątpliwości, że ta baza danych została znaleziona przede mną i została już pobrana. Powiedziałbym nawet, że jestem tego pewien. Nie jest tajemnicą, że takie otwarte bazy danych są celowo przeszukiwane i wykorzystywane.
Wiadomości o wyciekach informacji i osobach poufnych zawsze można znaleźć na moim kanale Telegram ”»: .
Źródło: www.habr.com