上週生意人報 ,“Street Beat和Sony Center的客戶群都在公共領域”,但實際上一切都比文章中寫的要糟糕得多。
我已經對這次洩漏做了詳細的技術分析。 ,所以這裡我們只討論要點。
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.另一個帶有索引的 Elasticsearch 伺服器是免費提供的:
- 灰色日誌2_0
- 自述
- 未授權文本
- HTTP:
- 灰色日誌2_1
В 灰色日誌2_0 包含16.11.2018年2019月XNUMX日至XNUMX年XNUMX月的日誌,且 灰色日誌2_1 – 2019 年 04.06.2019 月至 XNUMX 年 XNUMX 月 XNUMX 日的日誌。 在關閉對 Elasticsearch 的存取權之前,中的記錄數 灰色日誌2_1 成長了。
根據 Shodan 搜尋引擎的信息,該 Elasticsearch 自 12.11.2018 年 16.11.2018 月 XNUMX 日起免費提供(如上所述,日誌中的第一個條目的日期為 XNUMX 年 XNUMX 月 XNUMX 日)。
在日誌中、在欄位中 gl2_遠端_ip 指定 IP 位址 185.156.178.58 和 185.156.178.62,以及 DNS 名稱 srv2.inventive.ru и srv3.inventive.ru:
我通知了 創意零售集團 (www.inventive.ru)於 04.06.2019 年 18 月 25 日 22:30(莫斯科時間)關於該問題,到 XNUMX:XNUMX,伺服器「悄悄」從公共訪問中消失。
包含的日誌(所有資料都是估計值,重複資料並未從計算中刪除,因此實際洩漏的資訊量很可能較少):
- 來自 re:Store、三星、Street Beat 和樂高商店的超過 3 萬個客戶電子郵件地址
- 來自 re:Store、Sony、Nike、Street Beat 和 Lego 商店的超過 7 萬個客戶電話號碼
- 來自 Sony 和 Street Beat 商店買家個人帳戶的超過 21 個登入名稱/密碼對。
- 大多數包含電話號碼和電子郵件的記錄還包含全名(通常為拉丁文)和會員卡號。
與 Nike 商店用戶端相關的日誌範例(所有敏感資料均替換為「X」字元):
"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n [contact[phone]] => +7985026XXXXn [contact[email]] => [email protected] [contact[channel]] => n [contact[subscription]] => 0n)n[ДАННЫЕ GET] Arrayn(n [digital_id] => 27008290n [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7985026XXXXn [email] => [email protected] [channel] => 0n [subscription] => 0n )nn)n","DATE":"31.03.2019 12:52:51"}",以下是如何儲存網站上買家個人帳戶的登入名稱和密碼的範例 sc-store.ru и 街頭節拍.ru:
"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ GET] Arrayn(n [digital_id] => 26725117n [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"IRG 關於此事件的官方聲明可以閱讀 ,摘錄如下:
我們不能忽視這一點,將客戶個人帳戶的密碼更改為臨時密碼,以避免個人帳戶資料被用於詐騙目的。 該公司並未確認 street-beat.ru 客戶個人資料的洩漏。 創意零售集團所有項目均進行了額外檢查。 沒有發現對客戶個人資料的威脅。
遺憾的是,IRG 無法弄清楚哪些內容已洩露,哪些內容未洩露。 以下是與 Street Beat 商店客戶端相關的日誌範例:
"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ GET' =nttArrayn(n [digital_id] => 27016686n [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7915545XXXXn [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",然而,讓我們繼續討論真正的壞消息,並解釋為什麼這是 IRG 客戶個人資料的洩漏。
如果您仔細觀察這個免費提供的 Elasticsearch 的索引,您會注意到其中有兩個名稱: 自述 и 未授權文本。 這是眾多勒索軟體腳本之一的特徵標誌。 它影響了全球 4 多台 Elasticsearch 伺服器。 內容 自述 看起來像這樣:
"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"雖然帶有 IRG 日誌的伺服器可以自由訪問,但勒索軟體腳本肯定可以訪問客戶端的信息,並且根據它留下的訊息,資料下載。
另外,我毫不懷疑這個資料庫在我之前就已經找到並且已經下載了。 我什至會說我對此很確定。 眾所周知,此類開放資料庫是有目的地搜尋和提取的。
關於信息洩露和內部人士的消息總是可以在我的 Telegram 頻道上找到“»: .
來源: www.habr.com