Kommersant javën e kaluar , se "bazat e klientëve të Street Beat dhe Sony Center ishin në domenin publik", por në realitet gjithçka është shumë më keq se sa shkruhet në artikull.
Unë kam bërë tashmë një analizë të detajuar teknike të kësaj rrjedhjeje. , kështu që këtu do të kalojmë vetëm në pikat kryesore.
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Një tjetër server Elasticsearch me indekse ishte i disponueshëm falas:
- grilog2_0
- README
- unauth_text
- http:
- grilog2_1
В grilog2_0 përmbante regjistrat nga 16.11.2018 nëntori 2019 deri në mars XNUMX, dhe në grilog2_1 – regjistrat nga marsi 2019 deri më 04.06.2019/XNUMX/XNUMX. Derisa qasja në Elasticsearch të mbyllet, numri i regjistrimeve është në grilog2_1 u rrit.
Sipas motorit të kërkimit Shodan, ky Elasticsearch ka qenë i disponueshëm falas që nga 12.11.2018 nëntori 16.11.2018 (siç është shkruar më lart, hyrjet e para në regjistra datojnë më XNUMX nëntor XNUMX).
Në shkrime, në fushë gl2_remote_ip U specifikuan adresat IP 185.156.178.58 dhe 185.156.178.62, me emra DNS srv2.inventive.ru и srv3.inventive.ru:
kam njoftuar Grupi shpikës me pakicë (www.inventive.ru) në lidhje me problemin më 04.06.2019/18/25 në orën 22:30 (koha e Moskës) dhe deri në orën XNUMX:XNUMX serveri "në heshtje" u zhduk nga aksesi publik.
Regjistrat e përmbajtura (të gjitha të dhënat janë vlerësime, dublikatat nuk u hoqën nga llogaritjet, kështu që vëllimi i informacionit të rrjedhur real ka shumë të ngjarë më pak):
- më shumë se 3 milionë adresa emaili të klientëve nga dyqanet re:Store, Samsung, Street Beat dhe Lego
- më shumë se 7 milionë numra telefoni të klientëve nga dyqanet re:Store, Sony, Nike, Street Beat dhe Lego
- më shumë se 21 mijë çifte hyrje/fjalëkalim nga llogaritë personale të blerësve të dyqaneve Sony dhe Street Beat.
- shumica e regjistrave me numra telefoni dhe email përmbanin gjithashtu emra të plotë (shpesh në latinisht) dhe numra të kartave të besnikërisë.
Shembull nga regjistri në lidhje me klientin e dyqanit Nike (të gjitha të dhënat e ndjeshme zëvendësohen me karakteret "X"):
"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n [contact[phone]] => +7985026XXXXn [contact[email]] => [email protected] [contact[channel]] => n [contact[subscription]] => 0n)n[ДАННЫЕ GET] Arrayn(n [digital_id] => 27008290n [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7985026XXXXn [email] => [email protected] [channel] => 0n [subscription] => 0n )nn)n","DATE":"31.03.2019 12:52:51"}",Dhe këtu është një shembull se si u ruajtën hyrjet dhe fjalëkalimet nga llogaritë personale të blerësve në faqet e internetit sc-store.ru и street-beat.ru:
"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ GET] Arrayn(n [digital_id] => 26725117n [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"Deklarata zyrtare e IRG-së për këtë incident mund të lexohet , fragment prej tij:
Ne nuk mund ta injoronim këtë pikë dhe ndryshuam fjalëkalimet e llogarive personale të klientëve në të përkohshme, për të shmangur përdorimin e mundshëm të të dhënave nga llogaritë personale për qëllime mashtruese. Kompania nuk konfirmon rrjedhjet e të dhënave personale të klientëve të street-beat.ru. Të gjitha projektet e Inventive Retail Group janë kontrolluar shtesë. Nuk u zbuluan kërcënime ndaj të dhënave personale të klientëve.
Është keq që IRG nuk mund të kuptojë se çfarë ka rrjedhur dhe çfarë jo. Këtu është një shembull nga regjistri në lidhje me klientin e dyqanit Street Beat:
"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ GET' =nttArrayn(n [digital_id] => 27016686n [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7915545XXXXn [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",Megjithatë, le të kalojmë te lajmi vërtet i keq dhe të shpjegojmë pse bëhet fjalë për rrjedhje të të dhënave personale të klientëve të IRG.
Nëse shikoni nga afër indekset e këtij Elasticsearch të disponueshëm falas, do të vini re dy emra në to: README и unauth_text. Kjo është një shenjë karakteristike e një prej skripteve të shumta ransomware. Ai preku më shumë se 4 mijë serverë Elasticsearch në të gjithë botën. përmbajtja README duket kështu:
"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"Ndërsa serveri me regjistrat IRG ishte i aksesueshëm lirisht, një skrip ransomware padyshim fitoi akses në informacionin e klientëve dhe, sipas mesazhit që la, të dhënat u shkarkuan.
Për më tepër, nuk kam asnjë dyshim se kjo bazë të dhënash është gjetur para meje dhe tashmë është shkarkuar. Madje do të thoja se jam i sigurt për këtë. Nuk ka asnjë sekret që baza të tilla të dhënash të hapura kërkohen dhe pompohen me qëllim.
Lajmet rreth rrjedhjeve të informacionit dhe të brendshëm mund të gjenden gjithmonë në kanalin tim Telegram "' .
Burimi: www.habr.com