ПроХостер > блог > Администрација > Цурење података о купцима из продавница ре:Сторе, Самсунг, Сони Центре, Нике, ЛЕГО и Стреет Беат

Цурење података о купцима из продавница ре:Сторе, Самсунг, Сони Центре, Нике, ЛЕГО и Стреет Беат

Прошле недеље Коммерсант пријавио, да су „базе клијената Стреет Беат-а и Сони Центра биле у јавном домену“, али у стварности је све много горе од онога што пише у чланку.

Цурење података о купцима из продавница ре:Сторе, Самсунг, Сони Центре, Нике, ЛЕГО и Стреет Беат

Већ сам урадио детаљну техничку анализу овог цурења. у Телеграм каналу, па ћемо овде прећи само на главне тачке.

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

Чинило се да је још један Еластицсеарцх сервер са индексима слободно доступан:

  • граилог2_0
  • РЕАДМЕ
  • унаутх_тект
  • хттп:
  • граилог2_1

В граилог2_0 садржао дневнике од 16.11.2018. новембра 2019. до марта XNUMX. године, а у граилог2_1 – евиденције од марта 2019. до 04.06.2019. Док се приступ Еластицсеарцх-у не затвори, број записа у граилог2_1 расла.

Према Сходан претраживачу, овај Еластицсеарцх је бесплатно доступан од 12.11.2018. новембра 16.11.2018. (као што је горе написано, први уноси у дневнике су датирани XNUMX. новембар XNUMX).

У балванима, у пољу гл2_ремоте_ип Наведене су ИП адресе 185.156.178.58 и 185.156.178.62, са ДНС именима срв2.инвентиве.ру и срв3.инвентиве.ру:

Цурење података о купцима из продавница ре:Сторе, Самсунг, Сони Центре, Нике, ЛЕГО и Стреет Беат

Обавестио сам Инвентиве Ретаил Гроуп (ввв.инвентиве.ру) о проблему 04.06.2019 у 18:25 (по московском времену) и до 22:30 сервер је „тихо“ нестао из јавног приступа.

Евиденције садржане (сви подаци су процене, дупликати нису уклоњени из прорачуна, тако да је обим стварних процурелих информација највероватније мањи):

  • више од 3 милиона адреса е-поште купаца из продавница ре:Сторе, Самсунг, Стреет Беат и Лего
  • више од 7 милиона телефонских бројева купаца из продавница ре:Сторе, Сони, Нике, Стреет Беат и Лего
  • више од 21 хиљаде парова за пријаву/лозинку са личних налога купаца Сони и Стреет Беат продавница.
  • већина записа са бројевима телефона и имејлом такође је садржала пуна имена (често на латиници) и бројеве картица лојалности.

Пример из дневника који се односи на клијент продавнице Нике (сви осетљиви подаци замењени знаковима „Кс“):

"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n    [contact[phone]] => +7985026XXXXn    [contact[email]] => [email protected]    [contact[channel]] => n    [contact[subscription]] => 0n)n[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 27008290n    [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7985026XXXXn            [email] => [email protected]            [channel] => 0n            [subscription] => 0n        )nn)n","DATE":"31.03.2019 12:52:51"}",

А ево примера како су се чували логини и лозинке са личних налога купаца на веб локацијама сц-сторе.ру и стреет-беат.ру:

"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 26725117n    [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"

Званично саопштење ИРГ-а о овом инциденту може се прочитати овде, извод из њега:

Нисмо могли да занемаримо ову тачку и променили смо лозинке личних налога клијената у привремене, како бисмо избегли могућу употребу података са личних налога у лажне сврхе. Компанија не потврђује цурење личних података клијената стреет-беат.ру. Додатно су проверени сви пројекти Инвентиве Ретаил Гроуп. Нису откривене претње личним подацима клијената.

Лоше је што ИРГ не може да схвати шта је процурило, а шта није. Ево примера из дневника који се односи на клијент продавнице Стреет Беат:

"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n    [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ  GET' =nttArrayn(n    [digital_id] => 27016686n    [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7915545XXXXn            [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",

Међутим, пређимо на заиста лоше вести и објаснимо зашто је ово цурење личних података клијената ИРГ-а.

Ако пажљиво погледате индексе овог бесплатно доступног Еластицсеарцх-а, приметићете два имена у њима: РЕАДМЕ и унаутх_тект. Ово је карактеристичан знак једне од многих рансомваре скрипти. Утицао је на више од 4 хиљаде Еластицсеарцх сервера широм света. Садржај РЕАДМЕ изгледа овако:

"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"

Док је сервер са ИРГ евиденцијама био слободно доступан, рансомваре скрипта је дефинитивно добила приступ информацијама о клијентима и, према поруци коју је оставила, подаци су преузети.

Осим тога, не сумњам да је ова база података пронађена пре мене и да је већ преузета. Чак бих рекао да сам сигуран у ово. Није тајна да се такве отворене базе података намерно траже и црпе.

Вести о цурењу информација и инсајдерима увек се могу наћи на мом Телеграм каналу "Цурење информација" https://t.me/dataleak.

Извор: ввв.хабр.цом

Додај коментар