ProHoster > Блог > адміністрування > Витік даних покупців магазинів re:Store, Samsung, Sony Centre, Nike, LEGO та Street Beat

Витік даних покупців магазинів re:Store, Samsung, Sony Centre, Nike, LEGO та Street Beat

Минулого тижня видання Коммерсант повідомило, Що "бази клієнтів Street Beat і Sony Centre опинилися у відкритому доступі", але насправді все набагато гірше, ніж написано в статті.

Витік даних покупців магазинів re:Store, Samsung, Sony Centre, Nike, LEGO та Street Beat

Детальний технічний аналіз цього витоку я вже робив у себе у Telegram-каналіТому тут пробіжимося тільки за основними моментами.

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

У вільному доступі виявився черговий сервер Elasticsearch з індексами:

  • graylog2_0
  • ридми
  • unauth_text
  • HTTP:
  • graylog2_1

В graylog2_0 містилися логи починаючи з 16.11.2018 до березня 2019, а в graylog2_1 – логи починаючи з березня 2019 та до 04.06.2019. До закриття доступу до Elasticsearch, кількість записів в graylog2_1 зростало.

За даними пошукача Shodan цей Elasticsearch знаходився у вільному доступі з 12.11.2018 (при цьому, як написано вище, перші записи в логах датовані 16.11.2018).

У логах, у полі gl2_remote_ip були вказані IP-адреси 185.156.178.58 та 185.156.178.62, з DNS-іменами srv2.inventive.ru и srv3.inventive.ru:

Витік даних покупців магазинів re:Store, Samsung, Sony Centre, Nike, LEGO та Street Beat

Я сповістив Inventive Retail Group (www.inventive.ru) про проблему 04.06.2019 о 18:25 (МСК) та до 22:30 сервер «тихо» зник із вільного доступу.

У логах містилося (всі дані – оціночні, дублі з підрахунків не видалялися, тому обсяг реальної інформації, що втік, швидше за все менше):

  • більше 3 млн. адрес електронної пошти покупців магазинів re:Store, Samsung, Street Beat та Lego
  • більше 7 млн. телефонів покупців магазинів re:Store, Sony, Nike, Street Beat та Lego
  • більше 21 тис. пар логін/пароль від особистих кабінетів покупців магазинів Sony та Street Beat.
  • більшість записів з телефонами та електронною поштою також містили ПІБ (часто латиницею) та номери карток лояльності.

Приклад з лога, що стосується клієнта магазину Nike (всі чутливі дані замінені на символи «Х»):

"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n    [contact[phone]] => +7985026XXXXn    [contact[email]] => [email protected]    [contact[channel]] => n    [contact[subscription]] => 0n)n[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 27008290n    [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7985026XXXXn            [email] => [email protected]            [channel] => 0n            [subscription] => 0n        )nn)n","DATE":"31.03.2019 12:52:51"}",

А ось приклад того, як у логах зберігалися логіни та паролі від особистих кабінетів покупців на сайтах. sc-store.ru и street-beat.ru:

"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 26725117n    [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"

Офіційну заяву IRG щодо цього інциденту можна почитати тут, Витримка з нього:

Ми не могли залишити цей момент без уваги і змінили паролі до особистих кабінетів клієнтів на тимчасові, щоб уникнути можливого використання даних з особистих кабінетів з шахрайською метою. Виток персональних даних клієнтів street-beat.ru компанія не підтверджує. Оперативно були перевірені всі проекти Inventive Retail Group. Загрози персональних даних клієнтів не виявлено.

Погано, що в IRG не можуть розібратися з тим, що витекло, а що ні. Ось приклад із лога, що відноситься до клієнта магазину Street Beat:

"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n    [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ  GET' =nttArrayn(n    [digital_id] => 27016686n    [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7915545XXXXn            [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",

Однак, перейдемо до зовсім поганих новин та пояснимо, чому це саме витік персональних даних клієнтів IRG.

Якщо уважно придивитися до індексів даного вільно доступного Elasticsearch, то можна в них помітити два імені: ридми и unauth_text. Це характерна ознака одного із численних скриптів-вимагачів. Їм уражено понад 4 тис. серверів Elasticsearch по всьому світу. Вміст ридми виглядає так:

"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"

За час, поки сервер з логами IRG знаходився у вільному доступі, до інформації клієнтів точно отримував доступ скрипт-вимагач і, якщо вірити залишеному ним повідомленню, дані були завантажені.

Крім того, я не маю жодних сумнівів, що цю базу знайшли ще до мене і вже скачали. Я навіть сказав би, що впевнений у цьому. Немає жодного секрету в тому, що подібні відкриті бази цілеспрямовано шукаються та викачуються.

Новини про виток інформації та інсайдерів завжди можна знайти на моєму Telegram-каналі «Виток інформації' https://t.me/dataleak.

Джерело: habr.com

Додати коментар або відгук