Ҳафтаи гузашта Коммерсант , ки "базаҳои муштариёни Street Beat ва Sony Center дар домени ҷамъиятӣ буданд", аммо дар асл ҳама аз он чизе ки дар мақола навишта шудааст, хеле бадтар аст.
Ман аллакай таҳлили муфассали техникии ин ихроҷро анҷом додам. , бинобар ин мо дар ин ҷо танҳо нуктаҳои асосиро баррасӣ мекунем.
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Сервери дигари Elasticsearch бо индексҳо озодона дастрас буд:
- graylog2_0
- readme
- unauth_text
- HTTP:
- graylog2_1
В graylog2_0 дорои гузоришҳо аз 16.11.2018 ноябри соли 2019 то марти XNUMX, ва дар graylog2_1 - гузоришҳо аз марти 2019 то 04.06.2019/XNUMX/XNUMX. То баста шудани дастрасӣ ба Elasticsearch, шумораи сабтҳо дар graylog2_1 калон шуд.
Мувофиқи системаи ҷустуҷӯии Shodan, ин Elasticsearch аз 12.11.2018 ноябри соли 16.11.2018 ба таври ройгон дастрас аст (чунон ки дар боло навишта шудааст, аввалин сабтҳо дар гузоришҳо XNUMX ноябри соли XNUMX мебошанд).
Дар чубу тахта, дар сахро gl2_remote_ip Суроғаҳои IP 185.156.178.58 ва 185.156.178.62 бо номҳои DNS муайян карда шуданд srv2.inventive.ru и srv3.inventive.ru:
хабар додам Гурӯҳи чаканаи ихтироъкорон (www.inventive.ru) дар бораи мушкилот 04.06.2019/18/25 соати 22:30 (бо вақти Маскав) ва то соати XNUMX:XNUMX сервер аз дастрасии умумӣ нопадид шуд.
Гузоришҳое, ки дар бар мегиранд (ҳама маълумот тахминӣ мебошанд, нусхаҳо аз ҳисобҳо хориҷ карда нашудаанд, бинобар ин ҳаҷми маълумоти воқеии ифшошуда эҳтимолан камтар аст):
- зиёда аз 3 миллион суроғаҳои почтаи электронии муштариён аз мағозаҳои re:Store, Samsung, Street Beat ва Lego
- зиёда аз 7 миллион рақамҳои телефонии муштариён аз мағозаҳои re:Store, Sony, Nike, Street Beat ва Lego
- зиёда аз 21 ҳазор ҷуфт логин/парол аз ҳисобҳои шахсии харидорони мағозаҳои Sony ва Street Beat.
- Аксари сабтҳо бо рақамҳои телефон ва почтаи электронӣ инчунин номҳои пурра (аксар вақт ба лотинӣ) ва рақамҳои корти вафодорӣ доранд.
Намуна аз гузориши марбут ба муштарии мағозаи Nike (тамоми маълумоти ҳассос бо аломатҳои "X" иваз карда шудаанд):
"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n [contact[phone]] => +7985026XXXXn [contact[email]] => [email protected] [contact[channel]] => n [contact[subscription]] => 0n)n[ДАННЫЕ GET] Arrayn(n [digital_id] => 27008290n [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7985026XXXXn [email] => [email protected] [channel] => 0n [subscription] => 0n )nn)n","DATE":"31.03.2019 12:52:51"}",Ва дар ин ҷо мисоли он аст, ки чӣ гуна логинҳо ва паролҳо аз ҳисобҳои шахсии харидорон дар вебсайтҳо нигоҳ дошта мешаванд sc-store.ru и street-beat.ru:
"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ GET] Arrayn(n [digital_id] => 26725117n [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"Изҳороти расмии IRG дар бораи ин ҳодисаро метавон хондан мумкин аст , иқтибос аз он:
Мо ин нуктаро сарфи назар карда натавонистем ва паролҳои ҳисобҳои шахсии муштариёнро ба ҳисоби муваққатӣ иваз кардем, то аз истифодаи эҳтимолии маълумот аз ҳисобҳои шахсӣ бо мақсадҳои қаллобӣ пешгирӣ кунем. Ширкат ифшои маълумоти шахсии муштариёни street-beat.ru-ро тасдиқ намекунад. Ҳама лоиҳаҳои Inventive Retail Group ба таври иловагӣ тафтиш карда шуданд. Ҳеҷ гуна таҳдид ба маълумоти шахсии муштариён ошкор нашудааст.
Бад аст, ки IRG наметавонад бифаҳмад, ки чӣ ифшо шудааст ва чӣ не. Ин аст як мисол аз гузориши марбут ба муштарии мағозаи Street Beat:
"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ GET' =nttArrayn(n [digital_id] => 27016686n [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7915545XXXXn [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",Аммо, биёед ба хабари воқеан бад гузарем ва шарҳ диҳем, ки чаро ин ихроҷи маълумоти шахсии муштариёни IRG аст.
Агар шумо ба шохисҳои ин Elasticsearch ба таври ройгон назар андозед, шумо дар онҳо ду номро мебинед: readme и unauth_text. Ин аломати хоси яке аз скриптҳои зиёди ransomware мебошад. Он ба зиёда аз 4 ҳазор серверҳои Elasticsearch дар саросари ҷаҳон таъсир расонд. Мундариҷа readme чунин мешуморам:
"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"Дар ҳоле ки сервер бо гузоришҳои IRG ба таври озод дастрас буд, як скрипти ransomware бешубҳа ба маълумоти муштариён дастрасӣ пайдо кард ва тибқи паёме, ки аз он гузошта шудааст, маълумот зеркашӣ карда шуд.
Илова бар ин, ман шубҳа надорам, ки ин махзани маълумот пеш аз ман пайдо шуда буд ва аллакай бор карда шудааст. Ман ҳатто гуфта метавонам, ки ман ба ин боварӣ дорам. Пӯшида нест, ки чунин базаҳои кушода мақсаднок ҷустуҷӯ ва бароварда мешаванд.
Хабарҳо дар бораи ихроҷи иттилоот ва инсайдерҳоро ҳамеша дар канали ман дар Telegram пайдо кардан мумкин аст "»: .
Манбаъ: will.com