O'tgan hafta Kommersant , "Street Beat va Sony Center mijozlar bazalari jamoat mulki bo'lgan", lekin aslida hamma narsa maqolada yozilganidan ancha yomonroq.
Men allaqachon bu qochqinning batafsil texnik tahlilini qildim. , shuning uchun biz bu erda faqat asosiy fikrlarni ko'rib chiqamiz.
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Indeksli boshqa Elasticsearch serveri bepul mavjud edi:
- graylog2_0
- Readme
- unauth_text
- http:
- graylog2_1
В graylog2_0 16.11.2018-yil 2019-noyabrdan XNUMX-yil martigacha bo‘lgan davrda jurnallarni o‘z ichiga olgan graylog2_1 - 2019 yil martdan 04.06.2019/XNUMX/XNUMX gacha bo'lgan jurnallar. Elasticsearch-ga kirish yopilmaguncha, undagi yozuvlar soni graylog2_1 o'sdi.
Shodan qidiruv tizimiga ko'ra, ushbu Elasticsearch 12.11.2018 yil 16.11.2018 noyabrdan beri bepul mavjud (yuqorida yozilganidek, jurnallardagi birinchi yozuvlar XNUMX yil XNUMX noyabrda keltirilgan).
Jurnallarda, dalada gl2_remote_ip 185.156.178.58 va 185.156.178.62 IP manzillari DNS nomlari bilan koʻrsatilgan srv2.inventive.ru и srv3.inventive.ru:
xabar berdim Ixtirochilik chakana savdo guruhi (www.inventive.ru) muammo haqida 04.06.2019 18:25 (Moskva vaqti bilan) va 22:30 ga kelib server "jimgina" umumiy foydalanishdan g'oyib bo'ldi.
O'z ichiga olgan jurnallar (barcha ma'lumotlar taxminiydir, dublikatlar hisob-kitoblardan o'chirilmagan, shuning uchun haqiqiy sizib chiqqan ma'lumotlarning miqdori kamroq bo'lishi mumkin):
- re:Store, Samsung, Street Beat va Lego do'konlaridagi mijozlarning 3 milliondan ortiq elektron pochta manzillari
- re:Store, Sony, Nike, Street Beat va Lego do'konlaridagi 7 milliondan ortiq mijozlar telefon raqamlari
- Sony va Street Beat do'konlari xaridorlarining shaxsiy hisoblaridan 21 mingdan ortiq login/parol juftlari.
- telefon raqamlari va elektron pochta manzili bo'lgan aksariyat yozuvlarda to'liq ismlar (ko'pincha lotin tilida) va sodiqlik kartalari raqamlari mavjud.
Nike do'koni mijoziga tegishli jurnaldan misol (barcha nozik ma'lumotlar "X" belgilari bilan almashtirilgan):
"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n [contact[phone]] => +7985026XXXXn [contact[email]] => [email protected] [contact[channel]] => n [contact[subscription]] => 0n)n[ДАННЫЕ GET] Arrayn(n [digital_id] => 27008290n [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7985026XXXXn [email] => [email protected] [channel] => 0n [subscription] => 0n )nn)n","DATE":"31.03.2019 12:52:51"}",Va bu erda veb-saytlardagi xaridorlarning shaxsiy hisoblaridan login va parollar qanday saqlanganiga misol sc-store.ru и street-beat.ru:
"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ GET] Arrayn(n [digital_id] => 26725117n [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"Ushbu voqea bo'yicha IRGning rasmiy bayonotini o'qish mumkin , undan parcha:
Biz ushbu nuqtani e'tiborsiz qoldira olmadik va shaxsiy hisob ma'lumotlaridan firibgarlik maqsadlarida foydalanishning oldini olish uchun mijozlarning shaxsiy hisoblari parollarini vaqtinchalik parollarga o'zgartirdik. Kompaniya street-beat.ru mijozlarining shaxsiy ma'lumotlari sizib chiqqanini tasdiqlamaydi. Inventive Retail Group kompaniyasining barcha loyihalari qo'shimcha ravishda tekshirildi. Mijozlarning shaxsiy ma'lumotlariga tahdidlar aniqlanmadi.
IRG nima sizib chiqqan va nima chiqmaganini aniqlay olmagani yomon. Street Beat do'koni mijozi bilan bog'liq jurnaldan misol:
"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ GET' =nttArrayn(n [digital_id] => 27016686n [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7915545XXXXn [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",Biroq, keling, haqiqatan ham yomon yangiliklarga o'tamiz va nima uchun bu IRG mijozlarining shaxsiy ma'lumotlarining sizib chiqishi ekanligini tushuntiramiz.
Agar siz ushbu bepul mavjud Elasticsearch indekslariga diqqat bilan qarasangiz, ularda ikkita nomni ko'rasiz: Readme и unauth_text. Bu ko'plab to'lov dasturlari skriptlaridan birining o'ziga xos belgisidir. Bu butun dunyo bo'ylab 4 mingdan ortiq Elasticsearch serverlariga ta'sir qildi. Tarkib Readme quyidagicha ko'rinadi:
"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"IRG jurnallari bo'lgan serverga erkin kirish mumkin bo'lsa-da, to'lov dasturi skripti, albatta, mijozlar ma'lumotlariga kirish huquqiga ega bo'ldi va u qoldirgan xabarga ko'ra, ma'lumotlar yuklab olindi.
Bundan tashqari, ushbu ma'lumotlar bazasi mendan oldin topilgan va allaqachon yuklab olinganiga shubha qilmayman. Men hatto bunga ishonchim komil deb aytardim. Hech kimga sir yo'qki, bunday ochiq ma'lumotlar bazalari maqsadli ravishda qidiriladi va chiqariladi.
Ma'lumotlarning sizib chiqishi va insayderlar haqidagi yangiliklarni har doim mening Telegram kanalimda topishingiz mumkin "" .
Manba: www.habr.com