上周生意人报 ,“Street Beat和Sony Center的客户群都在公共领域”,但实际上一切都比文章中写的要糟糕得多。
我已经对这次泄漏做了详细的技术分析。 ,所以这里我们只讨论要点。
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.另一个带有索引的 Elasticsearch 服务器是免费提供的:
- 灰色日志2_0
- 自述
- 未授权文本
- HTTP:
- 灰色日志2_1
В 灰色日志2_0 包含16.11.2018年2019月XNUMX日至XNUMX年XNUMX月的日志,并且 灰色日志2_1 – 2019 年 04.06.2019 月至 XNUMX 年 XNUMX 月 XNUMX 日的日志。 在关闭对 Elasticsearch 的访问之前,中的记录数 灰色日志2_1 成长了。
根据 Shodan 搜索引擎的信息,该 Elasticsearch 自 12.11.2018 年 16.11.2018 月 XNUMX 日起免费提供(如上所述,日志中的第一个条目的日期为 XNUMX 年 XNUMX 月 XNUMX 日)。
在日志中、在字段中 gl2_远程_ip 指定 IP 地址 185.156.178.58 和 185.156.178.62,以及 DNS 名称 srv2.inventive.ru и srv3.inventive.ru:
我通知了 创新零售集团 (www.inventive.ru)于 04.06.2019 年 18 月 25 日 22:30(莫斯科时间)关于该问题,到 XNUMX:XNUMX,服务器“悄悄”从公共访问中消失。
包含的日志(所有数据均为估计数据,计算中未删除重复数据,因此实际泄露的信息量很可能较少):
- 来自 re:Store、三星、Street Beat 和乐高商店的超过 3 万个客户电子邮件地址
- 来自 re:Store、Sony、Nike、Street Beat 和 Lego 商店的超过 7 万个客户电话号码
- 来自 Sony 和 Street Beat 商店买家个人帐户的超过 21 个登录名/密码对。
- 大多数包含电话号码和电子邮件的记录还包含全名(通常为拉丁文)和会员卡号。
与 Nike 商店客户端相关的日志示例(所有敏感数据均替换为“X”字符):
"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n [contact[phone]] => +7985026XXXXn [contact[email]] => [email protected] [contact[channel]] => n [contact[subscription]] => 0n)n[ДАННЫЕ GET] Arrayn(n [digital_id] => 27008290n [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7985026XXXXn [email] => [email protected] [channel] => 0n [subscription] => 0n )nn)n","DATE":"31.03.2019 12:52:51"}",以下是如何存储网站上买家个人帐户的登录名和密码的示例 sc-store.ru и 街头节拍.ru:
"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ GET] Arrayn(n [digital_id] => 26725117n [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"IRG 关于此事件的官方声明可以阅读 ,摘录如下:
我们不能忽视这一点,将客户个人账户的密码更改为临时密码,以避免个人账户数据被用于欺诈目的。 该公司并未确认 street-beat.ru 客户个人数据的泄露。 创意零售集团所有项目均进行了额外检查。 没有发现对客户个人数据的威胁。
遗憾的是,IRG 无法弄清楚哪些内容已泄露,哪些内容未泄露。 以下是与 Street Beat 商店客户端相关的日志示例:
"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ GET' =nttArrayn(n [digital_id] => 27016686n [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7915545XXXXn [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",然而,让我们继续讨论真正的坏消息,并解释为什么这是 IRG 客户个人数据的泄露。
如果您仔细观察这个免费提供的 Elasticsearch 的索引,您会注意到其中有两个名称: 自述 и 未授权文本。 这是众多勒索软件脚本之一的特征标志。 它影响了全球 4 多台 Elasticsearch 服务器。 内容 自述 它看起来像这样:
"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"虽然带有 IRG 日志的服务器可以自由访问,但勒索软件脚本肯定可以访问客户端的信息,并且根据它留下的消息,数据被下载。
另外,我毫不怀疑这个数据库在我之前就已经找到并且已经下载了。 我什至会说我对此很确定。 众所周知,此类开放数据库是有目的地搜索和提取的。
关于信息泄露和内部人士的消息总是可以在我的 Telegram 频道上找到“»: .
来源: habr.com