База данных покупателей магазинов Sony Centre и Street Beat временно оказалась в открытом доступе Статьи редакции
- Информацию обнаружили специалисты компании DeviceLock, которая работает в сфере кибербезопасности. В базу вошли данные с ноября 2018 года о клиентах Sony Centre и магазинов спортивной одежды Street Beat.
- В базе было больше 3 млн записей с email-адресами, 7 млн записей с номерами телефонов и около 21 тысячи — с логинами и паролями. Эти данные дублируются, уточнили эксперты.
- Обеими компаниями управляет Inventive Retail Group (IRG), которая закрыла уязвимость, как только получила письмо от DeviceLock. В компании утечку не подтвердили, но обратились в правоохранительные органы для расследования вероятного хищения данных.
- В DeviceLock уточнили, что несмотря на закрытие уязвимости, логины и пароли от личных кабинетов покупателей не были сброшены. В IGR утверждают, что сменили пароли к личным кабинетам клиентов на временные — такой пароль по почте получил один из редакторов vc.ru.
- Информацию, которая временно оказалась в открытом доступе, можно использовать для спама, телефонного мошенничества, фишинга и других типов социальной инженерии. А пары логинов и паролей злоумышленники могут применить в других онлайн-сервисах, пояснил операционный директор центра реагирования на кибератаки Solar JSOC компании «Ростелеком-Solar» Антон Юдаков.
- Группа IRG входит в состав компании «Ланит», они управляют магазинами re:Store, Samsung, Nike и другими в России.
0
показов
3K
открытий
Можно мне ссылочку на архив ???
Временно... В интернете? LOL
Они еще и пароли на почту рассылают?)
вообще, не шифровать пароли в 2019 году — это пиздец
Вот официальная позиция Inventive Retail Group https://inventive.ru/about/releases/1255/
Скоро на всех форумах даркнета 😂
А я стараюсь по минимуму везде оставлять свой номер и мыло, но это оказывается бесполезно, так как всё равно тебя смогут заспамить после вот какого-нибудь такого слива одного из магазинов
Вот тут подробно, что на самом деле утекло, как и тп: https://t.me/dataleak/1089
Сразу обозначим, что речь идет именно об утечке данных, чтобы официально не заявляли представители IRG и а...
Сразу обозначим, что речь идет именно об утечке данных, чтобы официально не заявляли представители IRG и аффилированных с ней компаний. Почему это утечка будет объяснено ниже. И подчеркнем, что пострадали данные не только клиентов магазинов Sony Centre и Street Beat, как пишут многие СМИ, но также и покупатели re:Store, Samsung, Nike и Lego.
04.06.2019 в 18:10 (МСК) DeviceLock Data Breach Intelligence обнаружил в свободном доступе сервер Elasticsearch с индексами:
graylog2_0
readme
unauth_text
http:
graylog2_1
На момент обнаружения суммарное количество записей в двух индексах (graylog2_0 и graylog2_1) составляло 28,670,513.
В graylog2_0 содержались старые логи (начиная с 16.11.2018), а в graylog2_1 – новые логи (начиная с марта 2019 и по 04.06.2019). До момента закрытия доступа к Elasticsearch, количество записей в graylog2_1 росло.
Мы оповестили IRG о проблеме в 18:25 и к 22:30 сервер «тихо» исчез из свободного доступа. На момент закрытия сервера количество записей в индексах graylog2_0 и graylog2_1 уже составляло 28,677,094. 😎
В логах содержалось (все данные – оценочные, дубли из подсчетов не удалялись, поэтому объем реальной утекшей информации скорее всего меньше):
🌵 более 3 млн. адресов электронной почты покупателей магазинов re:Store, Samsung, Street Beat и Lego
🌵 более 7 млн. телефонов покупателей магазинов re:Store, Sony, Nike, Street Beat и Lego
🌵 более 21 тыс. пар логин/паролей от личных кабинетов покупателей магазинов Sony и Street Beat.
🌵 большинство записей с телефонами и электронной почтой также содержали ФИО (часто латиницей) и номера карт лояльности.
Вот пример из лога, относящийся к клиенту магазина Nike (мы заменили чувствительные данные на символы «Х»):
"message": "{\"MESSAGE\":\"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Array\\n(\\n [contact[phone]] => +7985026XXXX\\n [contact[email]] => [email protected]\\n [contact[channel]] => \\n [contact[subscription]] => 0\\n)\\n[ДАННЫЕ GET] Array\\n(\\n [digital_id] => 27008290\\n [brand] => NIKE\\n)\\n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Object\\n(\\n [result] => success\\n [contact] => stdClass Object\\n (\\n [phone] => +7985026XXXX\\n [email] => [email protected]\\n [channel] => 0\\n [subscription] => 0\\n )\\n\\n)\\n\",\"DATE\":\"31.03.2019 12:52:51\"}",
А вот пример того, как в логах хранились логины и пароли от личных кабинетов покупателей на сайтах sc-store.ru и street-beat.ru:
"message":"{\"MESSAGE\":\"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ GET] Array\\n(\\n [digital_id] => 26725117\\n [brand]=> SONY\\n)\\n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] \",\"DATE\":\"22.04.2019 21:29:09\"}"
Какое-то время после закрытия доступа к Elasticsearch логины и пароли продолжали работать. Сейчас компания IRG заявляет, что они принудительно сменили пароли клиентов. Это хорошая новость. 😂
Однако, перейдем к совсем плохим новостям и объясним, почему это именно утечка персональных данных клиентов IRG.
Если внимательно присмотреться к индексам данного свободно доступного Elasticsearch, то можно в них заметить два имени: readme и unauth_text. Это характерный признак одного из самых популярных «вымогателей». 👍 Им поражено более 4 тыс. серверов Elasticsearch по всему миру.