ప్రోహోస్టర్ > బ్లాగ్ > పరిపాలన > Re:Store, Samsung, Sony Center, Nike, LEGO మరియు Street Beat స్టోర్‌ల నుండి కస్టమర్ డేటా లీకేజ్

Re:Store, Samsung, Sony Center, Nike, LEGO మరియు Street Beat స్టోర్‌ల నుండి కస్టమర్ డేటా లీకేజ్

గత వారం కొమ్మర్‌సంట్ నివేదించబడింది, "స్ట్రీట్ బీట్ మరియు సోనీ సెంటర్ యొక్క క్లయింట్ స్థావరాలు పబ్లిక్ డొమైన్‌లో ఉన్నాయి", కానీ వాస్తవానికి ప్రతిదీ వ్యాసంలో వ్రాసిన దానికంటే చాలా ఘోరంగా ఉంది.

Re:Store, Samsung, Sony Center, Nike, LEGO మరియు Street Beat స్టోర్‌ల నుండి కస్టమర్ డేటా లీకేజ్

ఈ లీక్ గురించి నేను ఇప్పటికే వివరణాత్మక సాంకేతిక విశ్లేషణ చేసాను. టెలిగ్రామ్ ఛానెల్‌లో, కాబట్టి ఇక్కడ మనం ప్రధాన అంశాలకు మాత్రమే వెళ్తాము.

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

ఇండెక్స్‌లతో కూడిన మరో సాగే శోధన సర్వర్ ఉచితంగా అందుబాటులో ఉంది:

  • గ్రేలాగ్ 2_0
  • మార్గదర్శక సమాచార
  • unauth_text
  • HTTP:
  • గ్రేలాగ్ 2_1

В గ్రేలాగ్ 2_0 నవంబర్ 16.11.2018, 2019 నుండి మార్చి XNUMX వరకు లాగ్‌లు మరియు ఇన్ గ్రేలాగ్ 2_1 - మార్చి 2019 నుండి 04.06.2019/XNUMX/XNUMX వరకు లాగ్‌లు. సాగే శోధనకు యాక్సెస్ మూసివేయబడే వరకు, రికార్డుల సంఖ్య గ్రేలాగ్ 2_1 పెరిగింది.

షోడాన్ శోధన ఇంజిన్ ప్రకారం, ఈ సాగే శోధన నవంబర్ 12.11.2018, 16.11.2018 నుండి ఉచితంగా అందుబాటులో ఉంది (పైన వ్రాసినట్లుగా, లాగ్‌లలోని మొదటి ఎంట్రీలు నవంబర్ XNUMX, XNUMX నాటివి).

లాగ్‌లలో, ఫీల్డ్‌లో gl2_remote_ip IP చిరునామాలు 185.156.178.58 మరియు 185.156.178.62, DNS పేర్లతో పేర్కొనబడ్డాయి srv2.inventive.ru и srv3.inventive.ru:

Re:Store, Samsung, Sony Center, Nike, LEGO మరియు Street Beat స్టోర్‌ల నుండి కస్టమర్ డేటా లీకేజ్

నేను తెలియజేశాను ఇన్వెంటివ్ రిటైల్ గ్రూప్ (www.inventive.ru) సమస్య గురించి 04.06.2019/18/25న 22:30 (మాస్కో సమయం)కి మరియు XNUMX:XNUMX నాటికి సర్వర్ “నిశ్శబ్దంగా” పబ్లిక్ యాక్సెస్ నుండి అదృశ్యమైంది.

కలిగి ఉన్న లాగ్‌లు (డేటా అంతా అంచనాలు, డూప్లికేట్‌లు లెక్కల నుండి తీసివేయబడలేదు, కాబట్టి నిజమైన లీకైన సమాచారం చాలా తక్కువగా ఉంటుంది):

  • పునః: స్టోర్, శామ్సంగ్, స్ట్రీట్ బీట్ మరియు లెగో స్టోర్ల నుండి 3 మిలియన్లకు పైగా కస్టమర్ల ఇమెయిల్ చిరునామాలు
  • స్టోర్, సోనీ, నైక్, స్ట్రీట్ బీట్ మరియు లెగో స్టోర్‌ల నుండి 7 మిలియన్లకు పైగా కస్టమర్ల ఫోన్ నంబర్‌లు
  • సోనీ మరియు స్ట్రీట్ బీట్ స్టోర్‌ల కొనుగోలుదారుల వ్యక్తిగత ఖాతాల నుండి 21 వేల కంటే ఎక్కువ లాగిన్/పాస్‌వర్డ్ జతలు.
  • ఫోన్ నంబర్‌లు మరియు ఇమెయిల్‌లతో కూడిన చాలా రికార్డులు పూర్తి పేర్లు (తరచుగా లాటిన్‌లో) మరియు లాయల్టీ కార్డ్ నంబర్‌లను కలిగి ఉంటాయి.

Nike స్టోర్ క్లయింట్‌కు సంబంధించిన లాగ్ నుండి ఉదాహరణ (అన్ని సున్నితమైన డేటా "X" అక్షరాలతో భర్తీ చేయబడింది):

"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n    [contact[phone]] => +7985026XXXXn    [contact[email]] => [email protected]    [contact[channel]] => n    [contact[subscription]] => 0n)n[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 27008290n    [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7985026XXXXn            [email] => [email protected]            [channel] => 0n            [subscription] => 0n        )nn)n","DATE":"31.03.2019 12:52:51"}",

మరియు వెబ్‌సైట్‌లలో కొనుగోలుదారుల వ్యక్తిగత ఖాతాల నుండి లాగిన్‌లు మరియు పాస్‌వర్డ్‌లు ఎలా నిల్వ చేయబడతాయో ఇక్కడ ఒక ఉదాహరణ ఉంది sc-store.ru и వీధి-beat.ru:

"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 26725117n    [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"

ఈ సంఘటనపై అధికారిక IRG ప్రకటన చదవవచ్చు ఇక్కడ, దాని నుండి సారాంశం:

మేము ఈ అంశాన్ని విస్మరించలేము మరియు మోసపూరిత ప్రయోజనాల కోసం వ్యక్తిగత ఖాతాల నుండి డేటాను ఉపయోగించడాన్ని నివారించడానికి క్లయింట్‌ల వ్యక్తిగత ఖాతాలకు పాస్‌వర్డ్‌లను తాత్కాలికంగా మార్చాము. Street-beat.ru క్లయింట్ల వ్యక్తిగత డేటా లీక్‌లను కంపెనీ నిర్ధారించలేదు. ఇన్వెంటివ్ రిటైల్ గ్రూప్ యొక్క అన్ని ప్రాజెక్ట్‌లు అదనంగా తనిఖీ చేయబడ్డాయి. క్లయింట్‌ల వ్యక్తిగత డేటాకు ఎలాంటి బెదిరింపులు కనుగొనబడలేదు.

ఏది లీక్ అయ్యిందో మరియు ఏది కాదో IRG గుర్తించలేకపోవడం దారుణం. స్ట్రీట్ బీట్ స్టోర్ క్లయింట్‌కు సంబంధించిన లాగ్ నుండి ఇక్కడ ఒక ఉదాహరణ ఉంది:

"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n    [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ  GET' =nttArrayn(n    [digital_id] => 27016686n    [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7915545XXXXn            [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",

అయితే, నిజంగా చెడ్డ వార్తలకు వెళ్దాం మరియు ఇది IRG క్లయింట్‌ల వ్యక్తిగత డేటా ఎందుకు లీక్ అవుతుందో వివరించండి.

మీరు ఉచితంగా లభించే ఈ సాగే శోధన యొక్క సూచికలను నిశితంగా పరిశీలిస్తే, వాటిలో రెండు పేర్లను మీరు గమనించవచ్చు: మార్గదర్శక సమాచార и unauth_text. ఇది అనేక ransomware స్క్రిప్ట్‌లలో ఒకదానికి లక్షణ సంకేతం. ఇది ప్రపంచవ్యాప్తంగా 4 వేలకు పైగా సాగే శోధన సర్వర్‌లను ప్రభావితం చేసింది. విషయము మార్గదర్శక సమాచార ఇలా ఉంది:

"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"

IRG లాగ్‌లతో సర్వర్ ఉచితంగా యాక్సెస్ చేయగలిగినప్పటికీ, ransomware స్క్రిప్ట్ ఖచ్చితంగా క్లయింట్‌ల సమాచారానికి ప్రాప్యతను పొందుతుంది మరియు అది వదిలివేసిన సందేశం ప్రకారం, డేటా డౌన్‌లోడ్ చేయబడింది.

అదనంగా, ఈ డేటాబేస్ నా ముందు కనుగొనబడిందని మరియు ఇప్పటికే డౌన్‌లోడ్ చేయబడిందని నాకు ఎటువంటి సందేహం లేదు. నేను ఈ విషయంలో ఖచ్చితంగా ఉన్నానని కూడా చెబుతాను. అటువంటి ఓపెన్ డేటాబేస్‌లను ఉద్దేశపూర్వకంగా శోధించడం మరియు పంప్ అవుట్ చేయడం రహస్యం కాదు.

ఇన్ఫర్మేషన్ లీక్‌లు మరియు ఇన్‌సైడర్‌ల గురించిన వార్తలు ఎల్లప్పుడూ నా టెలిగ్రామ్ ఛానెల్‌లో చూడవచ్చు "సమాచారం లీక్»: https://t.me/dataleak.

మూలం: www.habr.com

ఒక వ్యాఖ్యను జోడించండి