re:Store, Samsung, Sony Center, Nike, LEGO ve Street Beat mağazalarından müşteri verilerinin sızması

Geçen hafta Kommersant rapor, "Street Beat ve Sony Center'ın müşteri tabanları kamuya açıktı", ancak gerçekte her şey makalede yazılandan çok daha kötü.

Bu sızıntının detaylı teknik analizini zaten yapmıştım. Telegram kanalında, bu yüzden burada yalnızca ana noktaların üzerinden geçeceğiz.

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

Dizinlere sahip başka bir Elasticsearch sunucusu ücretsiz olarak mevcuttu:

• grilog2_0
• beni oku
• yetkisiz_metin
• http:
• grilog2_1

В grilog2_0 16.11.2018 Kasım 2019'den Mart XNUMX'a kadar olan günlükleri içeriyordu ve grilog2_1 – Mart 2019'dan 04.06.2019/XNUMX/XNUMX'a kadar olan günlükler. Elasticsearch'e erişim kapatılana kadar kayıt sayısı grilog2_1 büyüdü.

Shodan arama motoruna göre bu Elasticsearch, 12.11.2018 Kasım 16.11.2018'den bu yana ücretsiz olarak kullanıma sunuluyor (yukarıda yazıldığı gibi, günlüklerdeki ilk girişler XNUMX Kasım XNUMX tarihlidir).

Günlüklerde, alanda gl2_remote_ip 185.156.178.58 ve 185.156.178.62 IP adresleri DNS adlarıyla belirtildi srv2.inventive.ru и srv3.inventive.ru:

bildirdim Yaratıcı Perakende Grubu (www.inventive.ru) sorun hakkında 04.06.2019/18/25 saat 22:30'te (Moskova saati) ve XNUMX:XNUMX'a kadar sunucu genel erişimden "sessizce" kayboldu.

İçerdiği günlükler (tüm veriler tahmindir, kopyalar hesaplamalardan çıkarılmamıştır, dolayısıyla sızdırılan gerçek bilgi miktarı büyük olasılıkla daha azdır):

• re:Store, Samsung, Street Beat ve Lego mağazalarından 3 milyondan fazla müşterinin e-posta adresi
• re:Store, Sony, Nike, Street Beat ve Lego mağazalarından 7 milyondan fazla müşteri telefon numarası
• Sony ve Street Beat mağazalarının alıcılarının kişisel hesaplarından 21 binden fazla kullanıcı adı/şifre çifti.
• Telefon numaralarını ve e-postayı içeren kayıtların çoğu aynı zamanda tam adları (genellikle Latince) ve sadakat kartı numaralarını da içeriyordu.

Nike mağazası istemcisiyle ilgili günlükten örnek (tüm hassas veriler "X" karakterleriyle değiştirildi):

"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n    [contact[phone]] => +7985026XXXXn    [contact[email]] => [email protected]    [contact[channel]] => n    [contact[subscription]] => 0n)n[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 27008290n    [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7985026XXXXn            [email] => [email protected]            [channel] => 0n            [subscription] => 0n        )nn)n","DATE":"31.03.2019 12:52:51"}",

Ve işte alıcıların web sitelerindeki kişisel hesaplarındaki kullanıcı adlarının ve şifrelerin nasıl saklandığına dair bir örnek sc-store.ru и street-beat.ru:

"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 26725117n    [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"

Bu olayla ilgili resmi IRG açıklaması okunabilir burada, ondan alıntı:

Bu noktayı göz ardı edemedik ve kişisel hesaplardaki verilerin dolandırıcılık amacıyla olası kullanımını önlemek için müşterilerimizin kişisel hesaplarının şifrelerini geçici şifrelerle değiştirdik. Şirket, street-beat.ru müşterilerinin kişisel verilerinin sızdırıldığını doğrulamıyor. Inventive Retail Group'un tüm projeleri ayrıca kontrol edildi. Müşterilerin kişisel verilerine yönelik herhangi bir tehdit tespit edilmedi.

IRG'nin neyin sızdırılıp neyin sızdırılmadığını anlayamaması kötü. Street Beat mağazası istemcisiyle ilgili günlükten bir örneği burada bulabilirsiniz:

"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n    [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ  GET' =nttArrayn(n    [digital_id] => 27016686n    [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7915545XXXXn            [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",

Ancak asıl kötü habere geçelim ve bunun neden IRG müşterilerinin kişisel verilerinin sızdırılması olduğunu açıklayalım.

Ücretsiz olarak kullanılabilen bu Elasticsearch'ün indekslerine yakından bakarsanız, içlerinde iki isim göreceksiniz: beni oku и yetkisiz_metin. Bu, birçok fidye yazılımı komut dosyasından birinin karakteristik bir işaretidir. Dünya çapında 4 binden fazla Elasticsearch sunucusunu etkiledi. İçerik beni oku Bu şuna benzer:

"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"

IRG günlüklerinin bulunduğu sunucuya serbestçe erişilebildiği halde, bir fidye yazılımı betiği kesinlikle müşterilerin bilgilerine erişim sağladı ve bıraktığı mesaja göre veriler indirildi.

Ayrıca bu veritabanının benden önce bulunduğundan ve zaten indirildiğinden hiç şüphem yok. Hatta bundan eminim diyebilirim. Bu tür açık veritabanlarının bilinçli olarak arandığı ve dışarı pompalandığı bir sır değildir.

Bilgi sızıntıları ve içeriden öğrenenlerle ilgili haberleri her zaman Telegram kanalımda bulabilirsiniz "Bilgi sızıntıları" https://t.me/dataleak.

Kaynak: habr.com