Săptămâna trecută Kommersant , că „bazele de clienți ale Street Beat și Sony Center erau în domeniul public”, dar în realitate totul este mult mai rău decât ceea ce scrie în articol.
Am făcut deja o analiză tehnică detaliată a acestei scurgeri. , așa că aici vom trece doar peste punctele principale.
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Un alt server Elasticsearch cu indexuri a fost disponibil gratuit:
- graylog2_0
- Readme
- unauth_text
- http:
- graylog2_1
В graylog2_0 au conținut jurnale din 16.11.2018 noiembrie 2019 până în martie XNUMX și în graylog2_1 – jurnalele din martie 2019 până în 04.06.2019. Până când accesul la Elasticsearch este închis, numărul de înregistrări în graylog2_1 crescut.
Potrivit motorului de căutare Shodan, acest Elasticsearch este disponibil gratuit din 12.11.2018 noiembrie 16.11.2018 (după cum este scris mai sus, primele intrări din jurnalele sunt datate XNUMX noiembrie XNUMX).
În jurnale, în câmp gl2_remote_ip Au fost specificate adrese IP 185.156.178.58 și 185.156.178.62, cu nume DNS srv2.inventive.ru и srv3.inventive.ru:
am sesizat Grup de retail inventiv (www.inventive.ru) despre problema din 04.06.2019 la 18:25 (ora Moscovei) și până la 22:30 serverul a dispărut „în liniște” din accesul public.
Jurnalele conținute (toate datele sunt estimări, duplicatele nu au fost eliminate din calcule, astfel încât cantitatea de informații reale scurse este cel mai probabil mai mică):
- peste 3 milioane de adrese de e-mail ale clienților din magazinele re:Store, Samsung, Street Beat și Lego
- peste 7 milioane de numere de telefon ale clienților din magazinele re:Store, Sony, Nike, Street Beat și Lego
- peste 21 de mii de perechi de autentificare/parolă din conturile personale ale cumpărătorilor magazinelor Sony și Street Beat.
- majoritatea înregistrărilor cu numere de telefon și e-mail conțineau și nume complete (adesea în latină) și numere de card de fidelitate.
Exemplu din jurnalul legat de clientul magazinului Nike (toate datele sensibile înlocuite cu caractere „X”):
"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n [contact[phone]] => +7985026XXXXn [contact[email]] => [email protected] [contact[channel]] => n [contact[subscription]] => 0n)n[ДАННЫЕ GET] Arrayn(n [digital_id] => 27008290n [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7985026XXXXn [email] => [email protected] [channel] => 0n [subscription] => 0n )nn)n","DATE":"31.03.2019 12:52:51"}",Și iată un exemplu despre cum au fost stocate login-urile și parolele din conturile personale ale cumpărătorilor de pe site-uri web sc-store.ru и street-beat.ru:
"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ GET] Arrayn(n [digital_id] => 26725117n [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"Declarația oficială IRG cu privire la acest incident poate fi citită , extras din el:
Nu am putut ignora acest punct și am schimbat parolele pentru conturile personale ale clienților în cele temporare, pentru a evita posibila utilizare a datelor din conturile personale în scopuri frauduloase. Compania nu confirmă scurgeri de date personale ale clienților street-beat.ru. Toate proiectele Grupului Inventive Retail au fost verificate suplimentar. Nu au fost detectate amenințări la adresa datelor personale ale clienților.
Este rău că IRG nu își poate da seama ce s-a scurs și ce nu. Iată un exemplu din jurnalul legat de clientul magazinului Street Beat:
"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ GET' =nttArrayn(n [digital_id] => 27016686n [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7915545XXXXn [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",Cu toate acestea, să trecem la veștile cu adevărat proaste și să explicăm de ce aceasta este o scurgere de date personale ale clienților IRG.
Dacă te uiți cu atenție la indecșii acestui Elasticsearch disponibil gratuit, vei observa două nume în ele: Readme и unauth_text. Acesta este un semn caracteristic al unuia dintre numeroasele scripturi ransomware. A afectat peste 4 mii de servere Elasticsearch din întreaga lume. Conţinut Readme arată astfel:
"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"În timp ce serverul cu jurnalele IRG era liber accesibil, un script ransomware a câștigat cu siguranță acces la informațiile clienților și, conform mesajului pe care l-a lăsat, datele au fost descărcate.
În plus, nu am nicio îndoială că această bază de date a fost găsită înaintea mea și a fost deja descărcată. Aș spune chiar că sunt sigur de asta. Nu există niciun secret că astfel de baze de date deschise sunt căutate și pompate intenționat.
Știri despre scurgeri de informații și persoane din interior pot fi întotdeauna găsite pe canalul meu Telegram "»: .
Sursa: www.habr.com