Semana passada Kommersant , que “as bases de clientes do Street Beat e do Sony Center eram de domínio público”, mas na realidade tudo é muito pior do que está escrito no artigo.
Já fiz uma análise técnica detalhada desse vazamento. , então aqui abordaremos apenas os pontos principais.
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Outro servidor Elasticsearch com índices estava disponível gratuitamente:
- graylog2_0
- readme
- unauth_text
- http:
- graylog2_1
В graylog2_0 continha registros de 16.11.2018 de novembro de 2019 a março de XNUMX, e em graylog2_1 – registros de março de 2019 a 04.06.2019/XNUMX/XNUMX. Até que o acesso ao Elasticsearch seja fechado, o número de registros em graylog2_1 cresceu.
De acordo com o mecanismo de busca Shodan, este Elasticsearch está disponível gratuitamente desde 12.11.2018 de novembro de 16.11.2018 (conforme escrito acima, as primeiras entradas nos logs são datadas de XNUMX de novembro de XNUMX).
Nos logs, no campo gl2_remote_ip Os endereços IP 185.156.178.58 e 185.156.178.62 foram especificados, com nomes DNS srv2.inventive.ru и srv3.inventive.ru:
Eu notifiquei Grupo de Varejo Inventivo (www.inventive.ru) sobre o problema em 04.06.2019/18/25 às 22h30 (horário de Moscou) e às XNUMXhXNUMX o servidor “discretamente” desapareceu do acesso público.
Os logs contidos (todos os dados são estimativas, as duplicatas não foram removidas dos cálculos, portanto a quantidade de informações reais vazadas é provavelmente menor):
- mais de 3 milhões de endereços de e-mail de clientes das lojas re:Store, Samsung, Street Beat e Lego
- mais de 7 milhões de números de telefone de clientes das lojas re:Store, Sony, Nike, Street Beat e Lego
- mais de 21 mil pares login/senha de contas pessoais de compradores das lojas Sony e Street Beat.
- a maioria dos registros com números de telefone e e-mail também continha nomes completos (geralmente em latim) e números de cartões de fidelidade.
Exemplo do log relacionado ao cliente da loja Nike (todos os dados confidenciais substituídos por caracteres “X”):
"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n [contact[phone]] => +7985026XXXXn [contact[email]] => [email protected] [contact[channel]] => n [contact[subscription]] => 0n)n[ДАННЫЕ GET] Arrayn(n [digital_id] => 27008290n [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7985026XXXXn [email] => [email protected] [channel] => 0n [subscription] => 0n )nn)n","DATE":"31.03.2019 12:52:51"}",E aqui está um exemplo de como os logins e senhas das contas pessoais dos compradores nos sites foram armazenados sc-store.ru и rua-beat.ru:
"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ GET] Arrayn(n [digital_id] => 26725117n [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"A declaração oficial do IRG sobre este incidente pode ser lida , trecho dele:
Não podíamos ignorar este ponto e alterámos as palavras-passe das contas pessoais dos clientes para temporárias, de forma a evitar a possível utilização de dados das contas pessoais para fins fraudulentos. A empresa não confirma vazamentos de dados pessoais de clientes street-beat.ru. Todos os projetos do Inventive Retail Group foram adicionalmente verificados. Não foram detectadas ameaças aos dados pessoais dos clientes.
É ruim que o IRG não consiga descobrir o que vazou e o que não vazou. Aqui está um exemplo do log relacionado ao cliente da loja Street Beat:
"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ GET' =nttArrayn(n [digital_id] => 27016686n [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7915545XXXXn [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",No entanto, passemos às notícias realmente más e expliquemos porque se trata de uma fuga de dados pessoais de clientes do IRG.
Se você observar atentamente os índices deste Elasticsearch disponível gratuitamente, notará dois nomes neles: readme и unauth_text. Este é um sinal característico de um dos muitos scripts de ransomware. Afetou mais de 4 mil servidores Elasticsearch em todo o mundo. Contente readme Parece que este:
"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"Embora o servidor com logs do IRG fosse de acesso livre, um script de ransomware definitivamente obteve acesso às informações dos clientes e, de acordo com a mensagem que deixou, os dados foram baixados.
Além disso, não tenho dúvidas de que esse banco de dados foi encontrado antes de mim e já foi baixado. Eu diria até que tenho certeza disso. Não é segredo que esses bancos de dados abertos são pesquisados e bombeados propositalmente.
Notícias sobre vazamentos de informações e informações privilegiadas sempre podem ser encontradas no meu canal Telegram "»: .
Fonte: habr.com