ProHoster > Blog > Administrácia > Únik zákazníckych dát z predajní re:Store, Samsung, Sony Centre, Nike, LEGO a Street Beat

Únik zákazníckych dát z predajní re:Store, Samsung, Sony Centre, Nike, LEGO a Street Beat

Minulý týždeň Kommersant nahlásené, že „klientske základne Street Beat a Sony Center boli vo verejnej sfére“, no v skutočnosti je všetko oveľa horšie, ako sa píše v článku.

Únik zákazníckych dát z predajní re:Store, Samsung, Sony Centre, Nike, LEGO a Street Beat

Už som urobil podrobnú technickú analýzu tohto úniku. na kanáli Telegram, takže tu prejdeme len k hlavným bodom.

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

Ďalší server Elasticsearch s indexmi bol voľne dostupný:

  • graylog2_0
  • readme
  • unauth_text
  • http:
  • graylog2_1

В graylog2_0 obsahoval denníky od 16.11.2018. novembra 2019 do marca XNUMX a v graylog2_1 – logy od marca 2019 do 04.06.2019. Kým sa prístup k Elasticsearch neuzavrie, počet záznamov v graylog2_1 rástol.

Podľa vyhľadávača Shodan je tento Elasticsearch voľne dostupný od 12.11.2018. novembra 16.11.2018 (ako je napísané vyššie, prvé záznamy v protokoloch sú datované XNUMX. novembra XNUMX).

V denníkoch, na poli gl2_remote_ip Boli zadané adresy IP 185.156.178.58 a 185.156.178.62 s názvami DNS srv2.inventive.ru и srv3.inventive.ru:

Únik zákazníckych dát z predajní re:Store, Samsung, Sony Centre, Nike, LEGO a Street Beat

oznámil som Inventívna maloobchodná skupina (www.inventive.ru) o probléme dňa 04.06.2019 o 18:25 (moskovského času) a do 22:30 server „potichu“ zmizol z verejného prístupu.

Obsiahnuté protokoly (všetky údaje sú odhady, duplikáty neboli z výpočtov odstránené, takže množstvo skutočných uniknutých informácií je s najväčšou pravdepodobnosťou menšie):

  • viac ako 3 milióny e-mailových adries zákazníkov z obchodov re:Store, Samsung, Street Beat a Lego
  • viac ako 7 miliónov telefónnych čísel zákazníkov z obchodov re:Store, Sony, Nike, Street Beat a Lego
  • viac ako 21 tisíc párov login/heslo z osobných účtov kupujúcich obchodov Sony a Street Beat.
  • väčšina záznamov s telefónnymi číslami a emailom obsahovala aj celé mená (často v latinčine) a čísla vernostných kariet.

Príklad z denníka súvisiaceho s klientom obchodu Nike (všetky citlivé údaje boli nahradené znakmi „X“):

"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n    [contact[phone]] => +7985026XXXXn    [contact[email]] => [email protected]    [contact[channel]] => n    [contact[subscription]] => 0n)n[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 27008290n    [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7985026XXXXn            [email] => [email protected]            [channel] => 0n            [subscription] => 0n        )nn)n","DATE":"31.03.2019 12:52:51"}",

A tu je príklad toho, ako boli uložené prihlasovacie údaje a heslá z osobných účtov kupujúcich na webových stránkach sc-store.ru и street-beat.ru:

"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 26725117n    [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"

Oficiálne vyhlásenie IRG k tomuto incidentu si môžete prečítať tu, úryvok z neho:

Tento bod sme nemohli ignorovať a heslá k osobným účtom klientov sme zmenili na dočasné, aby sme sa vyhli možnému použitiu údajov z osobných účtov na podvodné účely. Spoločnosť nepotvrdzuje úniky osobných údajov klientov street-beat.ru. Všetky projekty Inventive Retail Group boli dodatočne skontrolované. Nebolo zistené žiadne ohrozenie osobných údajov klientov.

Je zlé, že IRG nedokáže zistiť, čo uniklo a čo nie. Tu je príklad z denníka súvisiaceho s klientom obchodu Street Beat:

"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n    [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ  GET' =nttArrayn(n    [digital_id] => 27016686n    [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7915545XXXXn            [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",

Prejdime však k skutočne zlej správe a vysvetlime si, prečo ide o únik osobných údajov klientov IRG.

Ak sa pozorne pozriete na indexy tohto voľne dostupného Elasticsearch, všimnete si v nich dve mená: readme и unauth_text. Toto je charakteristický znak jedného z mnohých skriptov ransomvéru. Ovplyvnilo to viac ako 4 tisíc serverov Elasticsearch po celom svete. Obsah readme vyzerá takto:

"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"

Zatiaľ čo server s IRG protokolmi bol voľne prístupný, ransomvérový skript určite získal prístup k informáciám klientov a podľa správy, ktorú zanechal, sa údaje stiahli.

Navyše nepochybujem, že táto databáza bola nájdená predo mnou a už bola stiahnutá. Dokonca by som povedal, že som si tým istý. Nie je žiadnym tajomstvom, že takéto otvorené databázy sa cielene vyhľadávajú a pumpujú.

Správy o únikoch informácií a zasvätených môžete vždy nájsť na mojom kanáli Telegram "Únik informácií»: https://t.me/dataleak.

Zdroj: hab.com

Pridať komentár