ProHoster > බ්ලොග් > පරිපාලනය > නැවත: වෙළඳසැල, සැම්සුන්, සෝනි සෙන්ටර්, නයික්, ලෙගෝ සහ ස්ට්‍රීට් බීට් වෙළඳසැල් වෙතින් පාරිභෝගික දත්ත කාන්දු වීම

නැවත: වෙළඳසැල, සැම්සුන්, සෝනි සෙන්ටර්, නයික්, ලෙගෝ සහ ස්ට්‍රීට් බීට් වෙළඳසැල් වෙතින් පාරිභෝගික දත්ත කාන්දු වීම

පසුගිය සතියේ කොමර්සන්ට් වාර්තා විය, "Street Beat සහ Sony Center හි සේවාදායක කඳවුරු පොදු වසමෙහි පැවතුනි", නමුත් ඇත්ත වශයෙන්ම සෑම දෙයක්ම ලිපියේ ලියා ඇති දේට වඩා බෙහෙවින් නරක ය.

නැවත: වෙළඳසැල, සැම්සුන්, සෝනි සෙන්ටර්, නයික්, ලෙගෝ සහ ස්ට්‍රීට් බීට් වෙළඳසැල් වෙතින් පාරිභෝගික දත්ත කාන්දු වීම

මම දැනටමත් මෙම කාන්දුව පිළිබඳ සවිස්තරාත්මක තාක්ෂණික විශ්ලේෂණයක් කර ඇත. ටෙලිග්‍රාම් නාලිකාවේ, එබැවින් අපි මෙහි ප්‍රධාන කරුණු පමණක් ඉක්මවා යන්නෙමු.

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

දර්ශක සහිත තවත් Elasticsearch සේවාදායකයක් නොමිලේ ලබා ගත හැකි විය:

  • graylog2_0
  • කරන්න පුථවන්
  • unauth_text
  • http:
  • graylog2_1

В graylog2_0 16.11.2018 නොවැම්බර් 2019 සිට XNUMX මාර්තු දක්වා ලඝු-සටහන් අඩංගු විය graylog2_1 - 2019 මාර්තු සිට 04.06.2019/XNUMX/XNUMX දක්වා ලඝු-සටහන්. ප්‍රත්‍යාස්ථ සෙවීමට ප්‍රවේශය වසා දමන තෙක්, වාර්තා ගණන graylog2_1 වර්ධනය විය.

Shodan සෙවුම් යන්ත්‍රයට අනුව, මෙම Elasticsearch 12.11.2018 නොවැම්බර් 16.11.2018 සිට නොමිලේ ලබා ගත හැකිය (ඉහත ලියා ඇති පරිදි, ලඝු-සටහන් හි පළමු ඇතුළත් කිරීම් XNUMX නොවැම්බර් XNUMX දින දක්වා ඇත).

ලඝු-සටහන් වල, ක්ෂේත්රයේ gl2_remote_ip IP ලිපින 185.156.178.58 සහ 185.156.178.62 DNS නම් සහිතව සඳහන් කර ඇත. srv2.inventive.ru и srv3.inventive.ru:

නැවත: වෙළඳසැල, සැම්සුන්, සෝනි සෙන්ටර්, නයික්, ලෙගෝ සහ ස්ට්‍රීට් බීට් වෙළඳසැල් වෙතින් පාරිභෝගික දත්ත කාන්දු වීම

මම දැනුම් දුන්නා නව නිපැයුම් සිල්ලර සමූහය (www.inventive.ru) 04.06.2019/18/25 දින 22:30 ට (මොස්කව් වේලාවෙන්) ගැටලුව පිළිබඳව සහ XNUMX:XNUMX වන විට සේවාදායකය “නිහඬව” මහජන ප්‍රවේශයෙන් අතුරුදහන් විය.

අඩංගු ලොග (සියලු දත්ත ඇස්තමේන්තු වේ, අනුපිටපත් ගණනය කිරීම් වලින් ඉවත් කර නැත, එබැවින් සැබෑ කාන්දු වූ තොරතුරු ප්‍රමාණය බොහෝ දුරට අඩු වේ):

  • Re:Store, Samsung, Street Beat සහ Lego වෙළඳසැල් වෙතින් පාරිභෝගිකයින්ගේ ඊමේල් ලිපින මිලියන 3 කට වඩා
  • Re:Store, Sony, Nike, Street Beat සහ Lego වෙළඳසැල් වෙතින් පාරිභෝගිකයින්ගේ දුරකථන අංක මිලියන 7 කට වඩා
  • සෝනි සහ ස්ට්‍රීට් බීට් වෙළඳසැල් වල ගැනුම්කරුවන්ගේ පුද්ගලික ගිණුම් වලින් ලොගින්/මුරපද යුගල 21 දහසකට වඩා.
  • දුරකථන අංක සහ විද්‍යුත් තැපෑල සහිත බොහෝ වාර්තාවල සම්පූර්ණ නම් (බොහෝ විට ලතින් භාෂාවෙන්) සහ ලෝයල්ටි කාඩ් අංක ද අඩංගු විය.

Nike ගබඩා සේවාලාභියාට අදාළ ලොගයෙන් උදාහරණය (සියලු සංවේදී දත්ත "X" අක්ෂරවලින් ප්‍රතිස්ථාපනය කර ඇත):

"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n    [contact[phone]] => +7985026XXXXn    [contact[email]] => [email protected]    [contact[channel]] => n    [contact[subscription]] => 0n)n[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 27008290n    [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7985026XXXXn            [email] => [email protected]            [channel] => 0n            [subscription] => 0n        )nn)n","DATE":"31.03.2019 12:52:51"}",

වෙබ් අඩවි වල ගැනුම්කරුවන්ගේ පුද්ගලික ගිණුම් වලින් පිවිසුම් සහ මුරපද ගබඩා කර ඇති ආකාරය පිළිබඳ උදාහරණයක් මෙන්න sc-store.ru и Street-beat.ru:

"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 26725117n    [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"

මෙම සිද්ධිය පිළිබඳ නිල IRG ප්රකාශය කියවිය හැකිය මෙහි, එයින් උපුටා ගැනීම:

අපට මෙම කරුණ නොසලකා හැරීමට නොහැකි වූ අතර පුද්ගලික ගිණුම්වල දත්ත වංචනික අරමුණු සඳහා භාවිතා කිරීම වළක්වා ගැනීම සඳහා සේවාලාභීන්ගේ පුද්ගලික ගිණුම් වෙත මුරපද තාවකාලික ඒවා වෙත වෙනස් කළෙමු. Street-beat.ru සේවාදායකයින්ගේ පුද්ගලික දත්ත කාන්දු වීම සමාගම විසින් තහවුරු නොකරයි. Inventive Retail Group හි සියලුම ව්‍යාපෘති අතිරේකව පරීක්ෂා කරන ලදී. සේවාලාභීන්ගේ පුද්ගලික දත්තවලට තර්ජනයක් අනාවරණය නොවීය.

කාන්දු වී ඇති දේ සහ නැති දේ IRG හට සොයා ගැනීමට නොහැකි වීම නරක ය. මෙන්න Street Beat ගබඩා සේවාලාභියාට අදාළ ලොගයෙන් උදාහරණයක්:

"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n    [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ  GET' =nttArrayn(n    [digital_id] => 27016686n    [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7915545XXXXn            [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",

කෙසේ වෙතත්, අපි ඇත්තෙන්ම නරක ප්‍රවෘත්ති වෙත ගොස් මෙය IRG සේවාදායකයින්ගේ පුද්ගලික දත්ත කාන්දුවක් වන්නේ මන්දැයි පැහැදිලි කරමු.

ඔබ මෙම නොමිලේ ලබා ගත හැකි Elasticsearch හි දර්ශක දෙස සමීපව බැලුවහොත්, ඒවායේ නම් දෙකක් ඔබට පෙනෙනු ඇත: කරන්න පුථවන් и unauth_text. මෙය බොහෝ ransomware ස්ක්‍රිප්ට් වලින් එකක ලාක්ෂණික ලකුණකි. එය ලොව පුරා ඉලාස්ටික් සෙවුම් සේවාදායකයන් 4 කට වඩා බලපෑවේය. අන්තර්ගතය කරන්න පුථවන් මේ වගේ:

"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"

IRG ලඝු-සටහන් සහිත සේවාදායකයට නිදහසේ ප්‍රවේශ විය හැකි අතර, ransomware script එකක් අනිවාර්යයෙන්ම සේවාදායකයින්ගේ තොරතුරු වෙත ප්‍රවේශය ලබා ගත් අතර, එය තැබූ පණිවිඩයට අනුව, දත්ත බාගත කර ඇත.

මීට අමතරව, මෙම දත්ත සමුදාය මට පෙර සොයාගත් අතර දැනටමත් බාගත කර ඇති බවට මට සැකයක් නැත. මට මේ ගැන විශ්වාසයි කියා පවා මම කියමි. එවැනි විවෘත දත්ත සමුදායන් හිතාමතාම සොයමින් සහ පොම්ප කරන බව රහසක් නොවේ.

තොරතුරු කාන්දුවීම් සහ අභ්‍යන්තරිකයින් පිළිබඳ ප්‍රවෘත්ති සෑම විටම මගේ ටෙලිග්‍රාම් නාලිකාවෙන් සොයාගත හැකිය "තොරතුරු කාන්දු වීම»: https://t.me/dataleak.

මූලාශ්රය: www.habr.com

අදහස් එක් කරන්න