โปรโฮสต์ > บล็อก > การบริหาร > การรั่วไหลของข้อมูลลูกค้าจากร้าน re:Store, Samsung, Sony Centre, Nike, LEGO และ Street Beat

การรั่วไหลของข้อมูลลูกค้าจากร้าน re:Store, Samsung, Sony Centre, Nike, LEGO และ Street Beat

สัปดาห์ที่ผ่านมา Kommersant รายงาน“ฐานลูกค้าของ Street Beat และ Sony Center นั้นเป็นสาธารณสมบัติ” แต่ในความเป็นจริงแล้วทุกอย่างแย่กว่าที่เขียนไว้ในบทความมาก

การรั่วไหลของข้อมูลลูกค้าจากร้าน re:Store, Samsung, Sony Centre, Nike, LEGO และ Street Beat

ฉันได้ทำการวิเคราะห์ทางเทคนิคโดยละเอียดเกี่ยวกับการรั่วไหลนี้แล้ว ในช่องโทรเลขดังนั้นเราจะพูดถึงเฉพาะประเด็นหลักเท่านั้น

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

เซิร์ฟเวอร์ Elasticsearch อื่นที่มีดัชนีสามารถใช้งานได้ฟรี:

  • เกรย์ล็อก2_0
  • README
  • unauth_text
  • http:
  • เกรย์ล็อก2_1

В เกรย์ล็อก2_0 มีบันทึกตั้งแต่วันที่ 16.11.2018 พฤศจิกายน 2019 ถึงมีนาคม XNUMX และใน เกรย์ล็อก2_1 – บันทึกตั้งแต่เดือนมีนาคม 2019 ถึง 04.06.2019/XNUMX/XNUMX จำนวนบันทึกที่เข้าจนกว่าการเข้าถึง Elasticsearch จะปิดลง เกรย์ล็อก2_1 เติบโตขึ้น

ตามเครื่องมือค้นหาของ Shodan Elasticsearch นี้เปิดให้ใช้งานฟรีตั้งแต่วันที่ 12.11.2018 พฤศจิกายน 16.11.2018 (ดังที่เขียนไว้ข้างต้น รายการแรกในบันทึกคือวันที่ XNUMX พฤศจิกายน XNUMX)

ในบันทึกในสนาม gl2_remote_ip มีการระบุที่อยู่ IP 185.156.178.58 และ 185.156.178.62 พร้อมชื่อ DNS srv2.inventive.ru и srv3.inventive.ru:

การรั่วไหลของข้อมูลลูกค้าจากร้าน re:Store, Samsung, Sony Centre, Nike, LEGO และ Street Beat

แจ้งแล้ว กลุ่มค้าปลีกประดิษฐ์ (www.inventive.ru) เกี่ยวกับปัญหาในวันที่ 04.06.2019/18/25 เวลา 22:30 น. (เวลามอสโก) และภายในเวลา XNUMX:XNUMX น. เซิร์ฟเวอร์ "เงียบ ๆ " หายไปจากการเข้าถึงของสาธารณะ

บันทึกที่มีอยู่ (ข้อมูลทั้งหมดเป็นการประมาณการ ข้อมูลซ้ำไม่ได้ถูกลบออกจากการคำนวณ ดังนั้นปริมาณของข้อมูลที่รั่วไหลจริงจึงมีแนวโน้มน้อยกว่า):

  • ที่อยู่อีเมลของลูกค้ามากกว่า 3 ล้านรายการจากร้าน re:Store, Samsung, Street Beat และ Lego
  • ลูกค้ามากกว่า 7 ล้านรายจากร้าน re:Store, Sony, Nike, Street Beat และ Lego
  • คู่ล็อกอิน/รหัสผ่านมากกว่า 21 คู่จากบัญชีส่วนตัวของผู้ซื้อร้านค้า Sony และ Street Beat
  • บันทึกส่วนใหญ่ที่มีหมายเลขโทรศัพท์และอีเมลยังมีชื่อเต็ม (มักเป็นภาษาละติน) และหมายเลขบัตรสะสมคะแนน

ตัวอย่างจากบันทึกที่เกี่ยวข้องกับไคลเอนต์ร้านค้า Nike (ข้อมูลที่ละเอียดอ่อนทั้งหมดแทนที่ด้วยอักขระ “X”):

"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n    [contact[phone]] => +7985026XXXXn    [contact[email]] => [email protected]    [contact[channel]] => n    [contact[subscription]] => 0n)n[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 27008290n    [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7985026XXXXn            [email] => [email protected]            [channel] => 0n            [subscription] => 0n        )nn)n","DATE":"31.03.2019 12:52:51"}",

และนี่คือตัวอย่างวิธีการจัดเก็บข้อมูลการเข้าสู่ระบบและรหัสผ่านจากบัญชีส่วนตัวของผู้ซื้อบนเว็บไซต์ sc-store.ru и street-beat.ru:

"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 26725117n    [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"

สามารถอ่านคำแถลงอย่างเป็นทางการของ IRG เกี่ยวกับเหตุการณ์นี้ได้ ที่นี่, ตัดตอนมาจากมัน:

เราไม่สามารถเพิกเฉยต่อประเด็นนี้ได้และเปลี่ยนรหัสผ่านไปยังบัญชีส่วนตัวของลูกค้าเป็นรหัสผ่านชั่วคราว เพื่อหลีกเลี่ยงการใช้ข้อมูลจากบัญชีส่วนบุคคลเพื่อวัตถุประสงค์ในการฉ้อโกง บริษัทไม่ยืนยันการรั่วไหลของข้อมูลส่วนบุคคลของลูกค้า street-beat.ru โครงการทั้งหมดของ Inventive Retail Group ได้รับการตรวจสอบเพิ่มเติม ไม่พบภัยคุกคามต่อข้อมูลส่วนบุคคลของลูกค้า

เป็นเรื่องแย่ที่ IRG ไม่สามารถระบุได้ว่ามีอะไรรั่วไหลและอะไรบ้างที่ยังไม่รั่วไหล นี่คือตัวอย่างจากบันทึกที่เกี่ยวข้องกับไคลเอนต์ร้านค้า Street Beat:

"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n    [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ  GET' =nttArrayn(n    [digital_id] => 27016686n    [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7915545XXXXn            [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",

อย่างไรก็ตาม เรามาดูข่าวร้ายกันดีกว่าและอธิบายว่าทำไมข้อมูลส่วนตัวของลูกค้า IRG จึงรั่วไหล

หากคุณดูดัชนีของ Elasticsearch ที่เปิดให้ใช้งานได้ฟรีอย่างใกล้ชิด คุณจะสังเกตเห็นชื่อสองชื่อในนั้น: README и unauth_text. นี่เป็นสัญญาณลักษณะเฉพาะของสคริปต์แรนซัมแวร์ตัวใดตัวหนึ่ง ส่งผลกระทบต่อเซิร์ฟเวอร์ Elasticsearch มากกว่า 4 เซิร์ฟเวอร์ทั่วโลก เนื้อหา README มีลักษณะเช่นนี้:

"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"

แม้ว่าเซิร์ฟเวอร์ที่มีบันทึก IRG จะสามารถเข้าถึงได้โดยอิสระ แต่สคริปต์แรนซัมแวร์ก็สามารถเข้าถึงข้อมูลของลูกค้าได้อย่างแน่นอน และตามข้อความที่ทิ้งไว้ ข้อมูลก็จะถูกดาวน์โหลด

นอกจากนี้ฉันไม่สงสัยเลยว่าฐานข้อมูลนี้ถูกพบก่อนฉันและถูกดาวน์โหลดไปแล้ว ฉันจะบอกว่าฉันมั่นใจในเรื่องนี้ ไม่มีความลับใดที่ฐานข้อมูลแบบเปิดดังกล่าวจะถูกค้นหาและสูบออกโดยเจตนา

ข่าวเกี่ยวกับการรั่วไหลของข้อมูลและคนวงในสามารถพบได้ในช่องโทรเลขของฉัน "ข้อมูลรั่วไหล": https://t.me/dataleak.

ที่มา: will.com

เพิ่มความคิดเห็น