ProHoster > blogg > administration > Läckage av kunddata från butikerna re:Store, Samsung, Sony Centre, Nike, LEGO och Street Beat

Läckage av kunddata från butikerna re:Store, Samsung, Sony Centre, Nike, LEGO och Street Beat

Förra veckan Kommersant rapporterad, att "klientbaserna till Street Beat och Sony Center var i det offentliga området", men i verkligheten är allt mycket värre än vad som står i artikeln.

Läckage av kunddata från butikerna re:Store, Samsung, Sony Centre, Nike, LEGO och Street Beat

Jag har redan gjort en detaljerad teknisk analys av denna läcka. i Telegram-kanalen, så här ska vi bara gå igenom huvudpunkterna.

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

En annan Elasticsearch-server med index var fritt tillgänglig:

  • graylog2_0
  • readme
  • unauth_text
  • http:
  • graylog2_1

В graylog2_0 innehöll loggar från 16.11.2018 november 2019 till mars XNUMX och in graylog2_1 – loggar från mars 2019 till 04.06.2019/XNUMX/XNUMX. Tills åtkomsten till Elasticsearch stängs kommer antalet poster in graylog2_1 växte.

Enligt Shodans sökmotor har denna Elasticsearch varit fritt tillgänglig sedan 12.11.2018 november 16.11.2018 (som skrivet ovan är de första posterna i loggarna daterade XNUMX november XNUMX).

I loggarna, i fältet gl2_remote_ip IP-adresserna 185.156.178.58 och 185.156.178.62 angavs, med DNS-namn srv2.inventive.ru и srv3.inventive.ru:

Läckage av kunddata från butikerna re:Store, Samsung, Sony Centre, Nike, LEGO och Street Beat

Jag meddelade Inventive Retail Group (www.inventive.ru) om problemet den 04.06.2019/18/25 kl. 22:30 (Moskva-tid) och vid XNUMX:XNUMX försvann servern "tyst" från allmänhetens tillgång.

Loggarna innehöll (alla data är uppskattningar, dubbletter togs inte bort från beräkningarna, så mängden verklig läckt information är troligen mindre):

  • mer än 3 miljoner e-postadresser till kunder från re:Store, Samsung, Street Beat och Lego-butiker
  • mer än 7 miljoner telefonnummer till kunder från re:Store, Sony, Nike, Street Beat och Lego-butiker
  • mer än 21 tusen inloggnings-/lösenordspar från personliga konton för köpare av Sony och Street Beat-butiker.
  • de flesta poster med telefonnummer och e-post innehöll också fullständiga namn (ofta på latin) och kundkortsnummer.

Exempel från loggen relaterad till Nike Store-klienten (all känslig data ersatt med "X"-tecken):

"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n    [contact[phone]] => +7985026XXXXn    [contact[email]] => [email protected]    [contact[channel]] => n    [contact[subscription]] => 0n)n[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 27008290n    [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7985026XXXXn            [email] => [email protected]            [channel] => 0n            [subscription] => 0n        )nn)n","DATE":"31.03.2019 12:52:51"}",

Och här är ett exempel på hur inloggningar och lösenord från personliga konton för köpare på webbplatser lagrades sc-store.ru и street-beat.ru:

"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 26725117n    [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"

Det officiella IRG uttalandet om denna incident kan läsas här, utdrag ur den:

Vi kunde inte ignorera denna punkt och ändrade lösenorden till kunders personliga konton till tillfälliga, för att undvika eventuell användning av data från personliga konton för bedrägliga ändamål. Företaget bekräftar inte läckor av personuppgifter från street-beat.ru-klienter. Alla projekt inom Inventive Retail Group kontrollerades dessutom. Inga hot mot klienters personuppgifter upptäcktes.

Det är dåligt att IRG inte kan ta reda på vad som har läckt ut och inte. Här är ett exempel från loggen relaterad till Street Beat-butiksklienten:

"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n    [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ  GET' =nttArrayn(n    [digital_id] => 27016686n    [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7915545XXXXn            [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",

Men låt oss gå vidare till de riktigt dåliga nyheterna och förklara varför detta är en läcka av personuppgifter från IRG-kunder.

Om du tittar noga på indexen för denna fritt tillgängliga Elasticsearch kommer du att märka två namn i dem: readme и unauth_text. Detta är ett karakteristiskt tecken på ett av de många ransomware-skripten. Det påverkade mer än 4 tusen Elasticsearch-servrar runt om i världen. Innehåll readme ser ut så här:

"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"

Medan servern med IRG-loggar var fritt tillgänglig fick ett ransomware-skript definitivt tillgång till klienternas information och, enligt meddelandet det lämnade, laddades data ner.

Dessutom tvivlar jag inte på att denna databas hittades före mig och redan var nedladdad. Jag skulle till och med säga att jag är säker på detta. Det är ingen hemlighet att sådana öppna databaser målmedvetet söks upp och pumpas ut.

Nyheter om informationsläckor och insiders finns alltid på min Telegram-kanal "Informationsläckor»: https://t.me/dataleak.

Källa: will.com

Lägg en kommentar