Ose Kommersant , pe "awọn ipilẹ onibara ti Street Beat ati Sony Center wa ni agbegbe gbogbo eniyan," ṣugbọn ni otitọ ohun gbogbo buru ju ohun ti a kọ sinu nkan naa.
Mo ti ṣe itupalẹ imọ-ẹrọ alaye ti jijo yii. , nitorinaa a yoo kọja nikan awọn aaye akọkọ.
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Olupin Elasticsearch miiran pẹlu awọn atọka wa larọwọto:
- graylog2_0
- readme
- unauth_text
- http:
- graylog2_1
В graylog2_0 Awọn akọọlẹ ti o wa ninu Kọkànlá Oṣù 16.11.2018, 2019 si Oṣu Kẹta XNUMX, ati ni graylog2_1 - awọn igbasilẹ lati Oṣu Kẹta ọdun 2019 si 04.06.2019/XNUMX/XNUMX. Titi iraye si Elasticsearch ti wa ni pipade, nọmba awọn igbasilẹ ninu graylog2_1 dagba.
Gẹgẹbi ẹrọ wiwa Shodan, Elasticsearch yii ti wa ni ọfẹ lati Oṣu kọkanla ọjọ 12.11.2018, ọdun 16.11.2018 (gẹgẹbi a ti kọ loke, awọn titẹ sii akọkọ ninu awọn akọọlẹ jẹ ọjọ Oṣu kọkanla ọjọ XNUMX, Ọdun XNUMX).
Ninu awọn akọọlẹ, ni aaye gl2_remote_ip Awọn adirẹsi IP 185.156.178.58 ati 185.156.178.62 ni pato, pẹlu awọn orukọ DNS srv2.inventive.ru и srv3.inventive.ru:
Mo leti Inventive Retail Group (www.inventive.runipa iṣoro naa ni 04.06.2019/18/25 ni 22:30 (akoko Moscow) ati nipasẹ XNUMX:XNUMX olupin “laiparuwo” ti sọnu lati iwọle si gbogbo eniyan.
Awọn akọọlẹ ti o wa ninu (gbogbo data jẹ awọn iṣiro, awọn ẹda-iwe ko yọ kuro ninu awọn iṣiro naa, nitorinaa iye alaye ti o jo gidi jẹ eyiti o kere julọ):
- diẹ sii ju awọn adirẹsi imeeli miliọnu 3 ti awọn alabara lati tun: Ile itaja, Samsung, Street Beat ati awọn ile itaja Lego
- diẹ ẹ sii ju 7 milionu awọn nọmba foonu ti awọn onibara lati tun: Store, Sony, Nike, Street Beat ati Lego itaja
- diẹ ẹ sii ju 21 ẹgbẹrun wiwọle / awọn orisii ọrọ igbaniwọle lati awọn akọọlẹ ti ara ẹni ti awọn ti onra ti awọn ile itaja Sony ati Street Beat.
- ọpọlọpọ awọn igbasilẹ pẹlu awọn nọmba foonu ati imeeli tun ni awọn orukọ kikun ninu (nigbagbogbo ni Latin) ati awọn nọmba kaadi iṣootọ.
Apẹẹrẹ lati inu akọọlẹ ti o ni ibatan si alabara ile itaja Nike (gbogbo data ifura rọpo pẹlu awọn kikọ “X”):
"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n [contact[phone]] => +7985026XXXXn [contact[email]] => [email protected] [contact[channel]] => n [contact[subscription]] => 0n)n[ДАННЫЕ GET] Arrayn(n [digital_id] => 27008290n [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7985026XXXXn [email] => [email protected] [channel] => 0n [subscription] => 0n )nn)n","DATE":"31.03.2019 12:52:51"}",Ati pe eyi jẹ apẹẹrẹ ti bii awọn iwọle ati awọn ọrọ igbaniwọle lati awọn akọọlẹ ti ara ẹni ti awọn olura lori awọn oju opo wẹẹbu ti wa ni ipamọ sc-store.ru и ita-beat.ru:
"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ GET] Arrayn(n [digital_id] => 26725117n [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"Alaye IRG osise lori iṣẹlẹ yii ni a le ka , yọ lati inu rẹ:
A ko le foju fojuhan aaye yii ki a yipada awọn ọrọ igbaniwọle si awọn akọọlẹ ti ara ẹni awọn alabara si awọn ti igba diẹ, lati yago fun lilo data ti o ṣeeṣe lati awọn akọọlẹ ti ara ẹni fun awọn idi arekereke. Ile-iṣẹ ko jẹrisi awọn n jo ti data ti ara ẹni ti awọn alabara ita-beat.ru. Gbogbo awọn iṣẹ akanṣe ti Ẹgbẹ Soobu Inventive ni a ṣayẹwo ni afikun. Ko si awọn irokeke ewu si data ti ara ẹni awọn onibara ti a rii.
O buru pe IRG ko le ro ero ohun ti o ti jo ati ohun ti kii ṣe. Eyi ni apẹẹrẹ lati inu akọọlẹ ti o jọmọ alabara itaja itaja Street Beat:
"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ GET' =nttArrayn(n [digital_id] => 27016686n [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7915545XXXXn [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",Sibẹsibẹ, jẹ ki a lọ si awọn iroyin buburu gaan ki o ṣalaye idi ti eyi jẹ jijo ti data ti ara ẹni ti awọn alabara IRG.
Ti o ba wo ni pẹkipẹki ni awọn atọka ti Elasticsearch ti o wa larọwọto, iwọ yoo ṣe akiyesi awọn orukọ meji ninu wọn: readme и unauth_text. Eyi jẹ ami abuda ti ọkan ninu ọpọlọpọ awọn iwe afọwọkọ ransomware. O kan diẹ sii ju awọn olupin Elasticsearch 4 ẹgbẹrun ni ayika agbaye. Akoonu readme wulẹ bi iyẹn:
"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"Lakoko ti olupin pẹlu awọn iforukọsilẹ IRG wa ni iraye si larọwọto, iwe afọwọkọ ransomware dajudaju ni iraye si alaye awọn alabara ati, ni ibamu si ifiranṣẹ ti o fi silẹ, data naa ti ṣe igbasilẹ.
Ni afikun, Emi ko ni iyemeji pe data yii ni a rii ṣaaju mi ati pe o ti gba lati ayelujara tẹlẹ. Emi yoo paapaa sọ pe Emi ni idaniloju eyi. Ko si aṣiri pe iru awọn apoti isura infomesonu ti o ṣii ni a ti wa pẹlu idi ati fifa jade.
Awọn iroyin nipa awọn n jo alaye ati awọn inu le ṣee rii nigbagbogbo lori ikanni Telegram mi "»: .
orisun: www.habr.com