ProHoster > Blog > Uprava > Uhajanje podatkov o strankah iz trgovin re:Store, Samsung, Sony Centre, Nike, LEGO in Street Beat

Uhajanje podatkov o strankah iz trgovin re:Store, Samsung, Sony Centre, Nike, LEGO in Street Beat

Prejšnji teden Kommersant poročali, da so bile »baze strank Street Beat in Sony Center v javni domeni«, v resnici pa je vse veliko slabše, kot piše v članku.

Uhajanje podatkov o strankah iz trgovin re:Store, Samsung, Sony Centre, Nike, LEGO in Street Beat

Opravil sem že podrobno tehnično analizo tega puščanja. v kanalu Telegram, zato bomo tukaj pregledali le glavne točke.

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

Prosto dostopen je bil še en strežnik Elasticsearch z indeksi:

  • graylog2_0
  • readme
  • nepooblaščeno_besedilo
  • http:
  • graylog2_1

В graylog2_0 je vseboval dnevnike od 16.11.2018. novembra 2019 do marca XNUMX in v graylog2_1 – dnevniki od marca 2019 do 04.06.2019. Dokler dostop do Elasticsearch ni zaprt, se število zapisov v graylog2_1 zrasel.

Po podatkih iskalnika Shodan je ta Elasticsearch prosto dostopen od 12.11.2018. novembra 16.11.2018 (kot je zapisano zgoraj, so prvi vnosi v dnevnike datirani XNUMX. novembra XNUMX).

V hlode, na njivo gl2_oddaljeni_ip Podana sta bila naslova IP 185.156.178.58 in 185.156.178.62 z imeni DNS srv2.inventive.ru и srv3.inventive.ru:

Uhajanje podatkov o strankah iz trgovin re:Store, Samsung, Sony Centre, Nike, LEGO in Street Beat

Sem obvestil Inventive Retail Group (www.inventive.ru) o težavi 04.06.2019 ob 18:25 (po moskovskem času) in do 22:30 je strežnik "tiho" izginil iz javnega dostopa.

Vsebovani dnevniki (vsi podatki so ocene, dvojniki niso bili odstranjeni iz izračunov, zato je količina resničnih uhajajočih informacij najverjetneje manjša):

  • več kot 3 milijone elektronskih naslovov kupcev iz trgovin re:Store, Samsung, Street Beat in Lego
  • več kot 7 milijonov telefonskih številk strank iz trgovin re:Store, Sony, Nike, Street Beat in Lego
  • več kot 21 tisoč parov prijava/geslo iz osebnih računov kupcev trgovin Sony in Street Beat.
  • večina zapisov s telefonskimi številkami in e-pošto je vsebovala tudi polna imena (pogosto v latinici) in številke kartic zvestobe.

Primer iz dnevnika v zvezi z odjemalcem trgovine Nike (vsi občutljivi podatki zamenjani z znaki »X«):

"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n    [contact[phone]] => +7985026XXXXn    [contact[email]] => [email protected]    [contact[channel]] => n    [contact[subscription]] => 0n)n[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 27008290n    [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7985026XXXXn            [email] => [email protected]            [channel] => 0n            [subscription] => 0n        )nn)n","DATE":"31.03.2019 12:52:51"}",

In tukaj je primer, kako so bile shranjene prijave in gesla iz osebnih računov kupcev na spletnih mestih sc-store.ru и street-beat.ru:

"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 26725117n    [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"

Uradno izjavo IRG o tem incidentu je mogoče prebrati tukaj, odlomek iz njega:

Te točke nismo mogli prezreti in smo gesla osebnih računov strank spremenili v začasna, da bi se izognili morebitni uporabi podatkov iz osebnih računov v goljufive namene. Podjetje ne potrjuje uhajanja osebnih podatkov strank street-beat.ru. Vsi projekti Inventive Retail Group so bili dodatno preverjeni. Ogrožanja osebnih podatkov strank niso zaznali.

Hudo je, da IRG ne more ugotoviti, kaj je pricurljalo in kaj ne. Tu je primer iz dnevnika, povezanega z odjemalcem trgovine Street Beat:

"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n    [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ  GET' =nttArrayn(n    [digital_id] => 27016686n    [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7915545XXXXn            [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",

Pa pojdimo k res slabim novicam in pojasnimo, zakaj gre za uhajanje osebnih podatkov strank IRG.

Če pozorno pogledate indekse tega prosto dostopnega Elasticsearch, boste v njih opazili dve imeni: readme и nepooblaščeno_besedilo. To je značilen znak enega od številnih skriptov izsiljevalske programske opreme. Prizadelo je več kot 4 tisoč strežnikov Elasticsearch po vsem svetu. Vsebina readme izgleda tako:

"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"

Medtem ko je bil strežnik z dnevniki IRG prosto dostopen, je skripta izsiljevalske programske opreme zagotovo pridobila dostop do podatkov strank in glede na sporočilo, ki ga je pustila, so bili podatki preneseni.

Poleg tega ne dvomim, da je bila ta zbirka podatkov najdena pred menoj in je bila že prenesena. Rekel bi celo, da sem o tem prepričan. Nobena skrivnost ni, da se takšne odprte zbirke podatkov namenoma iščejo in črpajo.

Novice o uhajanju informacij in insajderjih lahko vedno najdete na mojem kanalu Telegram "Uhajanje informacij»: https://t.me/dataleak.

Vir: www.habr.com

Dodaj komentar