پرو ہوسٹر > بلاگ > انتظامیہ > دوبارہ: اسٹور، سام سنگ، سونی سینٹر، نائکی، لیگو اور اسٹریٹ بیٹ اسٹورز سے کسٹمر ڈیٹا کا لیک ہونا

دوبارہ: اسٹور، سام سنگ، سونی سینٹر، نائکی، لیگو اور اسٹریٹ بیٹ اسٹورز سے کسٹمر ڈیٹا کا لیک ہونا

گزشتہ ہفتے Kommersant اطلاع دی, کہ "Street Beat اور Sony Center کے کلائنٹ اڈے پبلک ڈومین میں تھے" لیکن حقیقت میں سب کچھ اس سے کہیں زیادہ خراب ہے جو مضمون میں لکھا گیا ہے۔

دوبارہ: اسٹور، سام سنگ، سونی سینٹر، نائکی، لیگو اور اسٹریٹ بیٹ اسٹورز سے کسٹمر ڈیٹا کا لیک ہونا

میں پہلے ہی اس لیک کا تفصیلی تکنیکی تجزیہ کر چکا ہوں۔ ٹیلیگرام چینل میں، تو یہاں ہم صرف اہم نکات پر جائیں گے۔

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

اشاریہ جات کے ساتھ ایک اور Elasticsearch سرور آزادانہ طور پر دستیاب تھا:

  • graylog2_0
  • پڑھنا
  • unauth_text
  • HTTP:
  • graylog2_1

В graylog2_0 16.11.2018 نومبر 2019 سے مارچ XNUMX تک کے لاگز پر مشتمل ہے۔ graylog2_1 - مارچ 2019 سے 04.06.2019/XNUMX/XNUMX تک لاگز۔ Elasticsearch تک رسائی بند ہونے تک، ریکارڈز کی تعداد graylog2_1 بڑھا

شوڈن سرچ انجن کے مطابق، یہ Elasticsearch 12.11.2018 نومبر 16.11.2018 سے آزادانہ طور پر دستیاب ہے (جیسا کہ اوپر لکھا گیا ہے، نوشتہ جات میں پہلی اندراجات XNUMX نومبر XNUMX کی ہیں)۔

نوشتہ جات میں، میدان میں gl2_remote_ip IP پتے 185.156.178.58 اور 185.156.178.62 DNS ناموں کے ساتھ بتائے گئے تھے۔ srv2.inventive.ru и srv3.inventive.ru:

دوبارہ: اسٹور، سام سنگ، سونی سینٹر، نائکی، لیگو اور اسٹریٹ بیٹ اسٹورز سے کسٹمر ڈیٹا کا لیک ہونا

میں نے اطلاع دی۔ اختراعی خوردہ گروپ (www.inventive.ru) 04.06.2019/18/25 کو 22:30 (ماسکو وقت) پر مسئلہ کے بارے میں اور XNUMX:XNUMX تک سرور "خاموشی سے" عوامی رسائی سے غائب ہو گیا۔

لاگز پر مشتمل ہے (تمام ڈیٹا تخمینہ ہے، ڈپلیکیٹس کو حساب سے نہیں ہٹایا گیا تھا، لہذا اصلی لیک ہونے والی معلومات کی مقدار کم ہونے کا امکان ہے):

  • دوبارہ: اسٹور، سام سنگ، اسٹریٹ بیٹ اور لیگو اسٹورز کے 3 ملین سے زیادہ ای میل پتے
  • دوبارہ: اسٹور، سونی، نائکی، اسٹریٹ بیٹ اور لیگو اسٹورز کے صارفین کے 7 ملین سے زیادہ فون نمبر
  • سونی اور اسٹریٹ بیٹ اسٹورز کے خریداروں کے ذاتی اکاؤنٹس سے 21 ہزار سے زیادہ لاگ ان/پاس ورڈ کے جوڑے۔
  • فون نمبرز اور ای میل والے زیادہ تر ریکارڈوں میں مکمل نام (اکثر لاطینی میں) اور لائلٹی کارڈ نمبر بھی ہوتے ہیں۔

Nike اسٹور کلائنٹ سے متعلق لاگ سے مثال (تمام حساس ڈیٹا کو "X" حروف سے بدل دیا گیا):

"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n    [contact[phone]] => +7985026XXXXn    [contact[email]] => [email protected]    [contact[channel]] => n    [contact[subscription]] => 0n)n[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 27008290n    [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7985026XXXXn            [email] => [email protected]            [channel] => 0n            [subscription] => 0n        )nn)n","DATE":"31.03.2019 12:52:51"}",

اور یہاں ایک مثال ہے کہ ویب سائٹس پر خریداروں کے ذاتی اکاؤنٹس سے لاگ ان اور پاس ورڈ کیسے محفوظ کیے گئے تھے۔ sc-store.ru и street-beat.ru:

"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ  GET] Arrayn(n    [digital_id] => 26725117n    [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"

اس واقعے پر آئی آر جی کا سرکاری بیان پڑھا جا سکتا ہے۔ یہاں، اس سے اقتباس:

ہم اس نکتے کو نظر انداز نہیں کر سکے اور کلائنٹس کے ذاتی اکاؤنٹس کے پاس ورڈز کو عارضی اکاؤنٹس میں تبدیل کر دیا، تاکہ ذاتی اکاؤنٹس کے ڈیٹا کے جعلی مقاصد کے لیے ممکنہ استعمال سے بچا جا سکے۔ کمپنی سٹریٹ بیٹ ڈاٹ آر یو کلائنٹس کے ذاتی ڈیٹا کے لیک ہونے کی تصدیق نہیں کرتی ہے۔ انوینٹیو ریٹیل گروپ کے تمام پروجیکٹس کو بھی چیک کیا گیا۔ کلائنٹس کے ذاتی ڈیٹا کو کوئی خطرہ نہیں ملا۔

یہ بری بات ہے کہ IRG یہ نہیں جان سکتا کہ کیا لیک ہوا ہے اور کیا نہیں ہے۔ اسٹریٹ بیٹ اسٹور کلائنٹ سے متعلق لاگ سے ایک مثال یہ ہے:

"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n    [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ  GET' =nttArrayn(n    [digital_id] => 27016686n    [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n    [result] => successn    [contact] => stdClass Objectn        (n            [phone] => +7915545XXXXn            [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",

تاہم، آئیے واقعی بری خبر کی طرف بڑھتے ہیں اور وضاحت کرتے ہیں کہ یہ IRG کلائنٹس کے ذاتی ڈیٹا کا لیک کیوں ہے۔

اگر آپ اس آزادانہ طور پر دستیاب Elasticsearch کے اشاریہ جات کو قریب سے دیکھیں تو آپ کو ان میں دو نام نظر آئیں گے: پڑھنا и unauth_text. یہ بہت سے ransomware اسکرپٹس میں سے ایک کی خصوصیت کی علامت ہے۔ اس نے دنیا بھر میں 4 ہزار سے زیادہ Elasticsearch سرورز کو متاثر کیا۔ مواد پڑھنا ایسا لگتا ہے:

"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"

جب کہ IRG لاگز والا سرور آزادانہ طور پر قابل رسائی تھا، ایک ransomware اسکرپٹ نے یقینی طور پر کلائنٹس کی معلومات تک رسائی حاصل کی اور، اس کے چھوڑے ہوئے پیغام کے مطابق، ڈیٹا ڈاؤن لوڈ کیا گیا۔

اس کے علاوہ، مجھے کوئی شک نہیں ہے کہ یہ ڈیٹا بیس مجھ سے پہلے پایا گیا تھا اور پہلے ہی ڈاؤن لوڈ کیا گیا تھا۔ میں یہاں تک کہوں گا کہ مجھے اس بات کا یقین ہے۔ اس میں کوئی راز نہیں ہے کہ اس طرح کے کھلے ڈیٹا بیس کو جان بوجھ کر تلاش کیا جاتا ہے اور باہر نکالا جاتا ہے۔

معلومات لیک ہونے اور اندرونی معلومات کے بارے میں خبریں ہمیشہ میرے ٹیلیگرام چینل پر مل سکتی ہیں۔معلومات کا لیک ہونا" https://t.me/dataleak.

ماخذ: www.habr.com

نیا تبصرہ شامل کریں