கடந்த வாரம் கொமர்சன்ட் , "ஸ்ட்ரீட் பீட் மற்றும் சோனி மையத்தின் வாடிக்கையாளர் தளங்கள் பொது களத்தில் இருந்தன", ஆனால் உண்மையில் எல்லாமே கட்டுரையில் எழுதப்பட்டதை விட மிகவும் மோசமாக உள்ளது.
நான் ஏற்கனவே இந்த கசிவு பற்றிய விரிவான தொழில்நுட்ப பகுப்பாய்வு செய்துள்ளேன். , எனவே இங்கே நாம் முக்கிய புள்ளிகளுக்கு மேல் செல்வோம்.
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.குறியீடுகளுடன் கூடிய மற்றொரு மீள் தேடல் சேவையகம் இலவசமாகக் கிடைக்கிறது:
- கிரேலாக்2_0
- என்னை தெரிந்து கொள்
- unauth_text
- : http:
- கிரேலாக்2_1
В கிரேலாக்2_0 நவம்பர் 16.11.2018, 2019 முதல் மார்ச் XNUMX வரையிலான பதிவுகள் மற்றும் இன் கிரேலாக்2_1 - மார்ச் 2019 முதல் 04.06.2019/XNUMX/XNUMX வரையிலான பதிவுகள். எலாஸ்டிக் தேடலுக்கான அணுகல் மூடப்படும் வரை, உள்ள பதிவுகளின் எண்ணிக்கை கிரேலாக்2_1 வளர்ந்தது.
ஷோடான் தேடுபொறியின் படி, இந்த எலாஸ்டிக் தேடல் நவம்பர் 12.11.2018, 16.11.2018 முதல் இலவசமாகக் கிடைக்கிறது (மேலே எழுதப்பட்டபடி, பதிவுகளில் முதல் உள்ளீடுகள் நவம்பர் XNUMX, XNUMX தேதியிட்டவை).
பதிவுகளில், புலத்தில் gl2_remote_ip IP முகவரிகள் 185.156.178.58 மற்றும் 185.156.178.62 ஆகியவை DNS பெயர்களுடன் குறிப்பிடப்பட்டுள்ளன srv2.inventive.ru и srv3.inventive.ru:
நான் அறிவித்தேன் கண்டுபிடிப்பு சில்லறை விற்பனை குழு (www.inventive.ru) 04.06.2019/18/25 அன்று 22:30 மணிக்கு (மாஸ்கோ நேரம்) ஏற்பட்ட பிரச்சனை மற்றும் XNUMX:XNUMX க்கு பொது அணுகலில் இருந்து “அமைதியாக” சர்வர் காணாமல் போனது.
உள்ள பதிவுகள் (அனைத்து தரவும் மதிப்பீடுகள், நகல் கணக்கீடுகளில் இருந்து அகற்றப்படவில்லை, எனவே உண்மையான கசிந்த தகவலின் அளவு குறைவாக இருக்கும்):
- மறு:ஸ்டோர், சாம்சங், ஸ்ட்ரீட் பீட் மற்றும் லெகோ ஸ்டோர்களில் இருந்து வாடிக்கையாளர்களின் 3 மில்லியனுக்கும் அதிகமான மின்னஞ்சல் முகவரிகள்
- மறு: ஸ்டோர், சோனி, நைக், ஸ்ட்ரீட் பீட் மற்றும் லெகோ ஸ்டோர்களில் இருந்து 7 மில்லியனுக்கும் அதிகமான வாடிக்கையாளர்களின் தொலைபேசி எண்கள்
- சோனி மற்றும் ஸ்ட்ரீட் பீட் கடைகளை வாங்குபவர்களின் தனிப்பட்ட கணக்குகளில் இருந்து 21 ஆயிரத்துக்கும் மேற்பட்ட உள்நுழைவு/கடவுச்சொல் ஜோடிகள்.
- ஃபோன் எண்கள் மற்றும் மின்னஞ்சலுடன் கூடிய பெரும்பாலான பதிவுகளில் முழுப் பெயர்களும் (பெரும்பாலும் லத்தீன் மொழியில்) மற்றும் லாயல்டி கார்டு எண்களும் உள்ளன.
நைக் ஸ்டோர் கிளையண்ட் தொடர்பான பதிவிலிருந்து எடுத்துக்காட்டு (எல்லா முக்கியமான தரவுகளும் "X" எழுத்துகளால் மாற்றப்படுகின்றன):
"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n [contact[phone]] => +7985026XXXXn [contact[email]] => [email protected] [contact[channel]] => n [contact[subscription]] => 0n)n[ДАННЫЕ GET] Arrayn(n [digital_id] => 27008290n [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7985026XXXXn [email] => [email protected] [channel] => 0n [subscription] => 0n )nn)n","DATE":"31.03.2019 12:52:51"}",வலைத்தளங்களில் வாங்குபவர்களின் தனிப்பட்ட கணக்குகளிலிருந்து உள்நுழைவுகள் மற்றும் கடவுச்சொற்கள் எவ்வாறு சேமிக்கப்பட்டன என்பதற்கான எடுத்துக்காட்டு இங்கே sc-store.ru и Street-beat.ru:
"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ GET] Arrayn(n [digital_id] => 26725117n [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"இந்த சம்பவம் குறித்த அதிகாரப்பூர்வ ஐஆர்ஜி அறிக்கையைப் படிக்கலாம் , அதிலிருந்து ஒரு பகுதி:
இந்த புள்ளியை எங்களால் புறக்கணிக்க முடியவில்லை மற்றும் வாடிக்கையாளர்களின் தனிப்பட்ட கணக்குகளுக்கான கடவுச்சொற்களை தற்காலிக கணக்குகளாக மாற்றினோம், இது மோசடி நோக்கங்களுக்காக தனிப்பட்ட கணக்குகளிலிருந்து தரவைப் பயன்படுத்துவதைத் தவிர்ப்பதற்காக. Street-beat.ru வாடிக்கையாளர்களின் தனிப்பட்ட தரவு கசிவுகளை நிறுவனம் உறுதிப்படுத்தவில்லை. Inventive Retail Group இன் அனைத்து திட்டங்களும் கூடுதலாக சரிபார்க்கப்பட்டன. வாடிக்கையாளர்களின் தனிப்பட்ட தரவுகளுக்கு அச்சுறுத்தல்கள் எதுவும் கண்டறியப்படவில்லை.
எது கசிந்தது, எது இல்லை என்பதை ஐஆர்ஜியால் கண்டுபிடிக்க முடியவில்லை என்பது மோசமானது. ஸ்ட்ரீட் பீட் ஸ்டோர் கிளையண்ட் தொடர்பான பதிவிலிருந்து ஒரு எடுத்துக்காட்டு இங்கே:
"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ GET' =nttArrayn(n [digital_id] => 27016686n [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7915545XXXXn [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",இருப்பினும், மிகவும் மோசமான செய்திகளுக்குச் சென்று, IRG வாடிக்கையாளர்களின் தனிப்பட்ட தரவு ஏன் கசிந்தது என்பதை விளக்குவோம்.
இலவசமாகக் கிடைக்கும் இந்த எலாஸ்டிக் தேடலின் குறியீடுகளை நீங்கள் உற்று நோக்கினால், அவற்றில் இரண்டு பெயர்களை நீங்கள் கவனிப்பீர்கள்: என்னை தெரிந்து கொள் и unauth_text. இது பல ransomware ஸ்கிரிப்ட்களில் ஒன்றின் சிறப்பியல்பு அறிகுறியாகும். இது உலகம் முழுவதும் 4 ஆயிரத்துக்கும் மேற்பட்ட எலாஸ்டிக் சர்ச் சர்வர்களை பாதித்தது. உள்ளடக்கம் என்னை தெரிந்து கொள் இது போல் தெரிகிறது:
"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"IRG பதிவுகள் கொண்ட சர்வர் சுதந்திரமாக அணுகக்கூடியதாக இருக்கும்போது, ransomware ஸ்கிரிப்ட் வாடிக்கையாளர்களின் தகவல்களுக்கான அணுகலைப் பெற்றது, மேலும் அது விட்டுச் சென்ற செய்தியின் படி, தரவு பதிவிறக்கம் செய்யப்பட்டது.
கூடுதலாக, இந்த தரவுத்தளம் எனக்கு முன்பே கண்டுபிடிக்கப்பட்டது மற்றும் ஏற்கனவே பதிவிறக்கம் செய்யப்பட்டது என்பதில் எனக்கு எந்த சந்தேகமும் இல்லை. இதில் நான் உறுதியாக இருக்கிறேன் என்று கூட கூறுவேன். அத்தகைய திறந்த தரவுத்தளங்கள் வேண்டுமென்றே தேடப்பட்டு வெளியேற்றப்படுகின்றன என்பதில் எந்த ரகசியமும் இல்லை.
தகவல் கசிவுகள் மற்றும் உள்நாட்டவர்கள் பற்றிய செய்திகளை எனது டெலிகிராம் சேனலில் எப்போதும் காணலாம் "»: .
ஆதாரம்: www.habr.com