ProHoster > Blog > Administrasi > Leakage data nasabah ti toko ulang: Samsung, Sony Center, Nike, LEGO jeung Street Beat

Leakage data nasabah ti toko ulang: Samsung, Sony Center, Nike, LEGO jeung Street Beat

Minggu kamari Kommersant dilaporkeun, yén "dasar klien Street Beat jeung Sony Center éta dina domain publik," tapi kanyataanana sagalana jauh leuwih goreng ti naon ditulis dina artikel.

Leakage data nasabah ti toko ulang: Samsung, Sony Center, Nike, LEGO jeung Street Beat

Kuring parantos ngalaksanakeun analisa téknis anu detil ngeunaan bocor ieu. dina saluran Telegram, jadi didieu urang bakal balik leuwih ngan titik utama.

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

Pangladén Elasticsearch sanés anu gaduh indéks bébas sayogi:

  • graylog2_0
  • readme
  • unauth_text
  • http:
  • graylog2_1

В graylog2_0 ngandung log ti Nopémber 16.11.2018, 2019 nepi ka Maret XNUMX, sarta dina graylog2_1 - log ti Maret 2019 dugi ka 04.06.2019/XNUMX/XNUMX. Dugi aksés ka Elasticsearch ditutup, jumlah rékaman dina graylog2_1 tumuwuh.

Numutkeun kana mesin pencari Shodan, Elasticsearch ieu parantos sayogi ti saprak Nopémber 12.11.2018, 16.11.2018 (sakumaha anu diserat di luhur, éntri munggaran dina log tanggal XNUMX Nopémber XNUMX).

Dina log, di sawah gl2_remote_ip Alamat IP 185.156.178.58 sareng 185.156.178.62 ditangtukeun, kalayan nami DNS srv2.inventive.ru и srv3.inventive.ru:

Leakage data nasabah ti toko ulang: Samsung, Sony Center, Nike, LEGO jeung Street Beat

Kuring bébéja Grup Retail Inventive (www.inventive.ru) ngeunaan masalah dina 04.06.2019/18/25 di 22:30 (waktos Moscow) jeung ku XNUMX:XNUMX server "quietly" ngiles ti aksés umum.

Log anu dikandung (sadaya data mangrupikeun perkiraan, duplikat henteu dipiceun tina itungan, janten jumlah inpormasi anu bocor nyata kamungkinan langkung handap):

  • leuwih ti 3 juta alamat surélék konsumén ti ulang: Toko, Samsung, Street Beat jeung toko Lego
  • leuwih ti 7 juta nomer telepon konsumén ti ulang: Toko, Sony, Nike, Street Beat jeung toko Lego
  • leuwih ti 21 sarébu pasangan login/sandi ti akun pribadi pembeli toko Sony jeung Street Beat.
  • paling rékaman jeung nomer telepon jeung email ogé ngandung ngaran lengkep (sering dina basa Latin) jeung nomer kartu kasatiaan.

Conto tina log anu aya hubunganana sareng klien toko Nike (sadayana data sénsitip diganti ku karakter "X"):

"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n    [contact[phone]] => +7985026XXXXn    [contact[email]] => [email protected]    [contact[channel]] => n    [contact[subscription]] => 0n)n[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 27008290n    [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7985026XXXXn            [email] => [email protected]            [channel] => 0n            [subscription] => 0n        )nn)n","DATE":"31.03.2019 12:52:51"}",

Sareng ieu mangrupikeun conto kumaha login sareng kecap akses tina akun pribadi pembeli dina situs wéb disimpen sc-store.ru и jalan-beat.ru:

"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 26725117n    [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"

Pernyataan resmi IRG ngeunaan kajadian ieu tiasa dibaca di dieu, kutipan tina éta:

Kami henteu tiasa malire titik ieu sareng ngarobih kecap akses kana akun pribadi klien janten samentawis, pikeun ngahindarkeun kamungkinan panggunaan data tina akun pribadi pikeun tujuan curang. Pausahaan henteu mastikeun bocor data pribadi klien street-beat.ru. Sadaya proyék ti Inventive Retail Group ogé dipariksa. Henteu aya ancaman kana data pribadi klien anu dideteksi.

Éta goréng yén IRG teu tiasa terang naon anu bocor sareng naon anu henteu. Ieu conto tina log anu aya hubunganana sareng klien toko Street Beat:

"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n    [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ  GET' =nttArrayn(n    [digital_id] => 27016686n    [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7915545XXXXn            [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",

Nanging, hayu urang teraskeun kana warta anu saé pisan sareng ngajelaskeun naha ieu mangrupikeun bocor data pribadi klien IRG.

Upami anjeun ningali sacara saksama kana indéks tina Elasticsearch anu sayogi gratis ieu, anjeun bakal perhatikeun dua nami di antarana: readme и unauth_text. Ieu mangrupikeun tanda karakteristik salah sahiji seueur skrip ransomware. Éta mangaruhan langkung ti 4 rébu server Elasticsearch di sakumna dunya. eusi readme Sigana kieu:

"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"

Nalika server sareng log IRG tiasa diaksés sacara bébas, naskah ransomware pasti nampi aksés kana inpormasi klien sareng, dumasar kana pesen anu ditinggalkeun, datana diunduh.

Salaku tambahan, kuring henteu ragu yén pangkalan data ieu dipendakan sateuacan kuring sareng parantos diunduh. Kuring malah bakal nyebutkeun yén kuring yakin ieu. Teu aya rusiah yén database kabuka sapertos kitu dipilarian sareng dipompa kaluar.

Warta ngeunaan bocor inpormasi sareng insider tiasa dipendakan dina saluran Telegram kuring "Inpormasi bocor»: https://t.me/dataleak.

sumber: www.habr.com

Tambahkeun komentar