Uvujaji wa data ya mteja kutoka kwa maduka ya re:Store, Samsung, Sony Centre, Nike, LEGO na Street Beat

Wiki iliyopita Kommersant iliripotiwa, kwamba "msingi wa mteja wa Street Beat na Sony Center walikuwa katika uwanja wa umma," lakini kwa kweli kila kitu ni mbaya zaidi kuliko kile kilichoandikwa katika makala.

Tayari nimefanya uchambuzi wa kina wa kiufundi wa uvujaji huu. katika kituo cha Telegram, kwa hiyo hapa tutapitia mambo makuu tu.

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

Seva nyingine ya Elasticsearch iliyo na faharisi ilipatikana kwa uhuru:

• kijivujivu2_0
• readme
• maandishi_ya_unauth
• http:
• kijivujivu2_1

В kijivujivu2_0 iliyo na kumbukumbu kutoka Novemba 16.11.2018, 2019 hadi Machi XNUMX, na ndani kijivujivu2_1 - kumbukumbu kutoka Machi 2019 hadi 04.06.2019/XNUMX/XNUMX. Hadi ufikiaji wa Elasticsearch umefungwa, idadi ya rekodi ndani kijivujivu2_1 ilikua.

Kulingana na injini ya utaftaji ya Shodan, Elasticsearch hii imekuwa ikipatikana bila malipo tangu Novemba 12.11.2018, 16.11.2018 (kama ilivyoandikwa hapo juu, maingizo ya kwanza kwenye kumbukumbu ni ya tarehe XNUMX Novemba XNUMX).

Katika magogo, kwenye shamba gl2_remote_ip Anwani za IP 185.156.178.58 na 185.156.178.62 zimebainishwa, zenye majina ya DNS. srv2.inventive.ru и srv3.inventive.ru:

Niliarifu Kikundi cha Rejareja cha Uvumbuzi (www.inventive.ru) kuhusu tatizo mnamo 04.06.2019/18/25 saa 22:30 (saa ya Moscow) na saa XNUMX:XNUMX seva "kimya" ilitoweka kutoka kwa ufikiaji wa umma.

Kumbukumbu zilizomo (data zote ni makadirio, nakala hazikuondolewa kwenye hesabu, kwa hivyo kiasi cha habari halisi iliyovuja kuna uwezekano mdogo):

• zaidi ya anwani za barua pepe milioni 3 za wateja kutoka maduka ya re:Store, Samsung, Street Beat na Lego
• zaidi ya nambari za simu milioni 7 za wateja kutoka maduka ya re:Store, Sony, Nike, Street Beat na Lego
• zaidi ya jozi elfu 21 za kuingia/nenosiri kutoka kwa akaunti za kibinafsi za wanunuzi wa maduka ya Sony na Street Beat.
• rekodi nyingi zilizo na nambari za simu na barua pepe pia zilikuwa na majina kamili (mara nyingi kwa Kilatini) na nambari za kadi za uaminifu.

Mfano kutoka kwa kumbukumbu inayohusiana na mteja wa duka la Nike (data zote nyeti zimebadilishwa na vibambo "X"):

"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n    [contact[phone]] => +7985026XXXXn    [contact[email]] => [email protected]    [contact[channel]] => n    [contact[subscription]] => 0n)n[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 27008290n    [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7985026XXXXn            [email] => [email protected]            [channel] => 0n            [subscription] => 0n        )nn)n","DATE":"31.03.2019 12:52:51"}",

Na hapa ni mfano wa jinsi kuingia na nywila kutoka kwa akaunti za kibinafsi za wanunuzi kwenye tovuti zilihifadhiwa sc-store.ru и mitaani-beat.ru:

"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 26725117n    [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"

Taarifa rasmi ya IRG juu ya tukio hili inaweza kusomwa hapa, nukuu kutoka kwayo:

Hatukuweza kupuuza hatua hii na kubadilisha manenosiri kuwa akaunti za kibinafsi za mteja hadi za muda, ili kuepuka uwezekano wa matumizi ya data kutoka kwa akaunti za kibinafsi kwa madhumuni ya ulaghai. Kampuni haidhibitishi uvujaji wa data ya kibinafsi ya wateja wa street-beat.ru. Miradi yote ya Inventive Retail Group iliangaliwa zaidi. Hakuna vitisho kwa data ya kibinafsi ya mteja iliyogunduliwa.

Ni mbaya kwamba IRG haiwezi kujua ni nini kilivuja na kisichokuwa. Huu hapa ni mfano kutoka kwa kumbukumbu inayohusiana na mteja wa duka la Street Beat:

"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n    [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ  GET' =nttArrayn(n    [digital_id] => 27016686n    [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7915545XXXXn            [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",

Hata hivyo, hebu tuendelee na habari mbaya sana na tueleze ni kwa nini huu ni uvujaji wa data ya kibinafsi ya wateja wa IRG.

Ukiangalia kwa karibu faharisi za Elasticsearch hii inayopatikana kwa uhuru, utaona majina mawili ndani yao: readme и maandishi_ya_unauth. Hii ni ishara ya tabia ya mojawapo ya hati nyingi za ransomware. Iliathiri zaidi ya seva elfu 4 za Elasticsearch kote ulimwenguni. Maudhui readme inaonekana kama hii:

"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"

Wakati seva iliyo na kumbukumbu za IRG ilipatikana kwa uhuru, hati ya ransomware ilipata ufikiaji wa habari ya mteja na, kulingana na ujumbe ulioacha, data ilipakuliwa.

Kwa kuongeza, sina shaka kwamba hifadhidata hii ilipatikana kabla yangu na ilikuwa tayari imepakuliwa. Ningesema hata nina uhakika na hili. Hakuna siri kwamba hifadhidata hizo wazi hutafutwa kwa makusudi na kutolewa nje.

Habari kuhusu uvujaji wa habari na watu wa ndani zinaweza kupatikana kila wakati kwenye chaneli yangu ya Telegraph "Uvujaji wa habari' https://t.me/dataleak.

Chanzo: mapenzi.com