Noong nakaraang linggo Kommersant , na "ang mga client base ng Street Beat at Sony Center ay nasa pampublikong domain," ngunit sa katotohanan ang lahat ay mas masahol pa kaysa sa nakasulat sa artikulo.
Nakagawa na ako ng detalyadong teknikal na pagsusuri sa pagtagas na ito. , kaya dito tatalakayin lamang natin ang mga pangunahing punto.
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Ang isa pang Elasticsearch server na may mga index ay malayang magagamit:
- graylog2_0
- readme
- unauth_text
- http:
- graylog2_1
В graylog2_0 naglalaman ng mga log mula Nobyembre 16.11.2018, 2019 hanggang Marso XNUMX, at sa graylog2_1 – mga log mula Marso 2019 hanggang 04.06.2019/XNUMX/XNUMX. Hanggang sa sarado ang access sa Elasticsearch, ang bilang ng mga tala sa graylog2_1 lumaki.
Ayon sa Shodan search engine, ang Elasticsearch na ito ay malayang magagamit mula noong Nobyembre 12.11.2018, 16.11.2018 (tulad ng nakasulat sa itaas, ang mga unang entry sa mga log ay may petsang Nobyembre XNUMX, XNUMX).
Sa logs, sa field gl2_remote_ip Ang mga IP address na 185.156.178.58 at 185.156.178.62 ay tinukoy, na may mga pangalan ng DNS srv2.inventive.ru и srv3.inventive.ru:
nag-notify ako Inventive Retail Group (www.inventive.ru) tungkol sa problema noong 04.06.2019/18/25 sa 22:30 (oras ng Moscow) at pagsapit ng XNUMX:XNUMX ang server ay "tahimik" na nawala sa pampublikong pag-access.
Ang mga log na nilalaman (lahat ng data ay mga pagtatantya, ang mga duplicate ay hindi inalis mula sa mga kalkulasyon, kaya ang dami ng totoong leaked na impormasyon ay malamang na mas mababa):
- higit sa 3 milyong email address ng mga customer mula sa re:Store, Samsung, Street Beat at Lego store
- higit sa 7 milyong numero ng telepono ng mga customer mula sa re:Store, Sony, Nike, Street Beat at Lego store
- higit sa 21 libong mga pares ng login/password mula sa mga personal na account ng mga mamimili ng mga tindahan ng Sony at Street Beat.
- karamihan sa mga talaan na may mga numero ng telepono at email ay naglalaman din ng mga buong pangalan (kadalasan sa Latin) at mga numero ng loyalty card.
Halimbawa mula sa log na nauugnay sa kliyente ng Nike store (lahat ng sensitibong data ay pinalitan ng "X" na mga character):
"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n [contact[phone]] => +7985026XXXXn [contact[email]] => [email protected] [contact[channel]] => n [contact[subscription]] => 0n)n[ДАННЫЕ GET] Arrayn(n [digital_id] => 27008290n [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7985026XXXXn [email] => [email protected] [channel] => 0n [subscription] => 0n )nn)n","DATE":"31.03.2019 12:52:51"}",At narito ang isang halimbawa kung paano naimbak ang mga login at password mula sa mga personal na account ng mga mamimili sa mga website sc-store.ru и street-beat.ru:
"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ GET] Arrayn(n [digital_id] => 26725117n [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"Mababasa ang opisyal na pahayag ng IRG sa pangyayaring ito , sipi mula dito:
Hindi namin maaaring balewalain ang puntong ito at binago ang mga password sa mga personal na account ng mga kliyente sa mga pansamantalang account, upang maiwasan ang posibleng paggamit ng data mula sa mga personal na account para sa mapanlinlang na layunin. Hindi kinukumpirma ng kumpanya ang mga pagtagas ng personal na data ng mga kliyente ng street-beat.ru. Ang lahat ng mga proyekto ng Inventive Retail Group ay karagdagang nasuri. Walang nakitang banta sa personal na data ng mga kliyente.
Masama na hindi malaman ng IRG kung ano ang tumagas at kung ano ang hindi. Narito ang isang halimbawa mula sa log na nauugnay sa kliyente ng tindahan ng Street Beat:
"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ GET' =nttArrayn(n [digital_id] => 27016686n [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7915545XXXXn [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",Gayunpaman, lumipat tayo sa talagang masamang balita at ipaliwanag kung bakit ito ay isang pagtagas ng personal na data ng mga kliyente ng IRG.
Kung titingnan mong mabuti ang mga index ng malayang magagamit na Elasticsearch na ito, mapapansin mo ang dalawang pangalan sa mga ito: readme и unauth_text. Isa itong katangiang tanda ng isa sa maraming script ng ransomware. Naapektuhan nito ang higit sa 4 na libong Elasticsearch server sa buong mundo. Nilalaman readme ganito ang hitsura nito:
"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"Habang ang server na may mga IRG log ay malayang naa-access, ang isang ransomware script ay tiyak na nakakuha ng access sa impormasyon ng mga kliyente at, ayon sa mensaheng iniwan nito, ang data ay na-download.
Bilang karagdagan, wala akong duda na ang database na ito ay natagpuan bago ako at na-download na. Sasabihin ko pa na sigurado ako dito. Walang lihim na ang gayong mga bukas na database ay sadyang hinanap at pinalabas.
Ang mga balita tungkol sa mga pagtagas ng impormasyon at mga tagaloob ay palaging matatagpuan sa aking Telegram channel "»: .
Pinagmulan: www.habr.com