د بیا پلورنځي، سامسنګ، سوني سنټر، نیک، لیګو او سټریټ بیټ پلورنځیو څخه د پیرودونکو معلوماتو لیک

تیره اونۍ Kommersant راپور ورکړی، چې "د سټریټ بیټ او سوني مرکز پیرودونکي اډې په عامه ډومین کې وې ،" مګر په حقیقت کې هرڅه د هغه څه په پرتله خورا خراب دي چې په مقاله کې لیکل شوي.

ما دمخه د دې لیک تفصیلي تخنیکي تحلیل ترسره کړی دی. په ټیلیګرام چینل کې، نو دلته به موږ یوازې اصلي ټکو ته ځو.

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

د شاخصونو سره بل Elasticsearch سرور په وړیا توګه شتون درلود:

• graylog2_0
• ماولوله
• unauth_text
• http:
• graylog2_1

В graylog2_0 د نومبر له 16.11.2018، 2019 څخه تر مارچ XNUMX پورې لاګونه شامل دي، او دننه graylog2_1 - د مارچ 2019 څخه تر 04.06.2019/XNUMX/XNUMX پورې ننوتل. تر هغه وخته پورې چې Elasticsearch ته لاسرسی بند شوی وي، د ریکارډونو شمیر په کې graylog2_1 وده وکړه

د شوډان د لټون انجن په وینا، دا Elasticsearch د نومبر له 12.11.2018، 16.11.2018 راهیسې په وړیا توګه شتون لري (لکه څنګه چې پورته لیکل شوي، په لاګونو کې لومړۍ ننوتل د نومبر په XNUMX، XNUMX نیټه دي).

په لوګو کې، په ساحه کې gl2_remote_ip IP پتې 185.156.178.58 او 185.156.178.62 مشخص شوي، د DNS نومونو سره srv2.inventive.ru и srv3.inventive.ru:

ما خبر کړ اختراعي پرچون ګروپ (www.inventive.ru) د ستونزې په اړه د 04.06.2019/18/25 په 22:30 (د مسکو وخت) او XNUMX:XNUMX پورې سرور "خاموش" د عامه لاسرسي څخه ورک شو.

په لاګونو کې شامل دي (ټول معلومات اټکل شوي، نقلونه د محاسبې څخه نه دي ایستل شوي، نو د ریښتینې لیک شوي معلوماتو مقدار خورا لږ دی):

• له 3 ملیون څخه ډیر د پیرودونکو بریښنالیک پتې له بیا پلورنځي ، سامسنګ ، سټریټ بیټ او لیګو پلورنځیو څخه
• له 7 ملیون څخه ډیر د پیرودونکو تلیفون شمیرې له بیا پلورنځي ، سوني ، نایک ، سټریټ بیټ او لیګو پلورنځیو څخه
• د سوني او سټریټ بیټ پلورنځیو پیرودونکو شخصي حسابونو څخه له 21 زرو څخه ډیر ننوتل / پاسورډ جوړه.
• د تلیفون شمیرو او بریښنالیکونو سره ډیری ریکارډونه هم بشپړ نومونه لري (اکثرا په لاتین کې) او د وفادارۍ کارت شمیرې.

د نیک پلورنځي پیرودونکي پورې اړوند د لاګ څخه بیلګه (ټول حساس معلومات د "X" حروف سره بدل شوي):

"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n    [contact[phone]] => +7985026XXXXn    [contact[email]] => [email protected]    [contact[channel]] => n    [contact[subscription]] => 0n)n[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 27008290n    [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7985026XXXXn            [email] => [email protected]            [channel] => 0n            [subscription] => 0n        )nn)n","DATE":"31.03.2019 12:52:51"}",

او دلته یو مثال دی چې څنګه په ویب پاڼو کې د پیرودونکو شخصي حسابونو څخه ننوتل او پاسورډونه زیرمه شوي sc-store.ru и street-beat.ru:

"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 26725117n    [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"

د دې پېښې په اړه د ارګ رسمي اعلامیه لوستلی شئ دلتهله هغه څخه اقتباس:

موږ نشو کولی دا ټکی له پامه غورځوو او د پیرودونکو شخصي حسابونو ته پاسورډونه په لنډمهاله حسابونو کې بدل کړو، ترڅو د جعلي موخو لپاره د شخصي حسابونو څخه د معلوماتو احتمالي کارونې مخه ونیول شي. شرکت د Street-beat.ru پیرودونکو شخصي معلوماتو لیک تایید نه کوي. د اختراع پرچون ګروپ ټولې پروژې اضافي معاینه شوې. د پیرودونکو شخصي معلوماتو ته کوم ګواښ ندی موندل شوی.

دا بده ده چې IRG نشي کولی معلومه کړي چې څه لیک شوي او څه ندي. دلته د سټریټ بیټ پلورنځي پیرودونکي پورې اړوند لاګ څخه یوه بیلګه ده:

"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n    [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ  GET' =nttArrayn(n    [digital_id] => 27016686n    [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7915545XXXXn            [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",

په هرصورت، راځئ چې واقعیا بد خبر ته لاړ شو او تشریح کړو چې ولې دا د IRG د پیرودونکو شخصي معلوماتو لیک دی.

که تاسو د دې وړیا موجود Elasticsearch شاخصونو ته نږدې وګورئ، تاسو به په دوی کې دوه نومونه وګورئ: ماولوله и unauth_text. دا د ډیری ransomware سکریپټونو څخه یو ځانګړتیا نښه ده. دې په ټوله نړۍ کې له 4 زرو څخه ډیر Elasticsearch سرورونه اغیزمن کړل. منځپانګه ماولوله داسې ښکاري:

"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"

پداسې حال کې چې د IRG لاګونو سره سرور په وړیا توګه د لاسرسي وړ و ، د ransomware سکریپټ یقینا د پیرودونکو معلوماتو ته لاسرسی موندلی او د هغه پیغام سره سم چې دا پریښودل شوی و ، ډیټا ډاونلوډ شوی و.

برسېره پردې، زه هیڅ شک نلرم چې دا ډیټابیس زما څخه مخکې موندل شوی او لا دمخه ډاونلوډ شوی و. زه به حتی ووایم چې زه پدې ډاډه یم. هیڅ راز پټ نه دی چې دا ډول خلاص ډیټابیسونه په قصدي ډول پلټل شوي او پمپ شوي.

د معلوماتو لیک او داخلي خبرونه تل زما په ټیلیګرام چینل کې موندل کیدی شي "د معلوماتو لیک»: https://t.me/dataleak.

سرچینه: www.habr.com