База данных покупателей магазинов Sony Centre и Street Beat временно оказалась в открытом доступе Статьи редакции

  • Информацию обнаружили специалисты компании DeviceLock, которая работает в сфере кибербезопасности. В базу вошли данные с ноября 2018 года о клиентах Sony Centre и магазинов спортивной одежды Street Beat.
  • В базе было больше 3 млн записей с email-адресами, 7 млн записей с номерами телефонов и около 21 тысячи — с логинами и паролями. Эти данные дублируются, уточнили эксперты.
  • Обеими компаниями управляет Inventive Retail Group (IRG), которая закрыла уязвимость, как только получила письмо от DeviceLock. В компании утечку не подтвердили, но обратились в правоохранительные органы для расследования вероятного хищения данных.
  • В DeviceLock уточнили, что несмотря на закрытие уязвимости, логины и пароли от личных кабинетов покупателей не были сброшены. В IGR утверждают, что сменили пароли к личным кабинетам клиентов на временные — такой пароль по почте получил один из редакторов vc.ru.
  • Информацию, которая временно оказалась в открытом доступе, можно использовать для спама, телефонного мошенничества, фишинга и других типов социальной инженерии. А пары логинов и паролей злоумышленники могут применить в других онлайн-сервисах, пояснил операционный директор центра реагирования на кибератаки Solar JSOC компании «Ростелеком-Solar» Антон Юдаков.
  • Группа IRG входит в состав компании «Ланит», они управляют магазинами re:Store, Samsung, Nike и другими в России.
0
8 комментариев
Написать комментарий...
Олег Журавлев

Можно мне ссылочку на архив ???

Ответить
Развернуть ветку
Vladimir Ivanov

Временно... В интернете? LOL

Ответить
Развернуть ветку
Mike Kosulin

Они еще и пароли на почту рассылают?)

Ответить
Развернуть ветку
Mike Kosulin

вообще, не шифровать пароли в 2019 году — это пиздец

Ответить
Развернуть ветку
Людмила Семушина

Вот официальная позиция Inventive Retail Group https://inventive.ru/about/releases/1255/

Ответить
Развернуть ветку
Egor Zubarev

Скоро на всех форумах даркнета 😂

Ответить
Развернуть ветку
Артем Лялин

А я стараюсь по минимуму везде оставлять свой номер и мыло, но это оказывается бесполезно, так как всё равно тебя смогут заспамить после вот какого-нибудь такого слива одного из магазинов

Ответить
Развернуть ветку
Ashot Oganesyan

Вот тут подробно, что на самом деле утекло, как и тп: https://t.me/dataleak/1089

Обещанный технический разбор утечки персональных данных клиентов Inventive Retail Group (IRG управляет сетями re:Store, Samsung, Sony Centre, Nike, Street Beat и др.). 🔥🔥🔥

Сразу обозначим, что речь идет именно об утечке данных, чтобы официально не заявляли представители IRG и а...
Обещанный технический разбор утечки персональных данных клиентов Inventive Retail Group (IRG управляет сетями re:Store, Samsung, Sony Centre, Nike, Street Beat и др.). 🔥🔥🔥

Сразу обозначим, что речь идет именно об утечке данных, чтобы официально не заявляли представители IRG и аффилированных с ней компаний. Почему это утечка будет объяснено ниже. И подчеркнем, что пострадали данные не только клиентов магазинов Sony Centre и Street Beat, как пишут многие СМИ, но также и покупатели re:Store, Samsung, Nike и Lego.

04.06.2019 в 18:10 (МСК) DeviceLock Data Breach Intelligence обнаружил в свободном доступе сервер Elasticsearch с индексами:

graylog2_0
readme
unauth_text
http:
graylog2_1

На момент обнаружения суммарное количество записей в двух индексах (graylog2_0 и graylog2_1) составляло 28,670,513.

В graylog2_0 содержались старые логи (начиная с 16.11.2018), а в graylog2_1 – новые логи (начиная с марта 2019 и по 04.06.2019). До момента закрытия доступа к Elasticsearch, количество записей в graylog2_1 росло.

Мы оповестили IRG о проблеме в 18:25 и к 22:30 сервер «тихо» исчез из свободного доступа. На момент закрытия сервера количество записей в индексах graylog2_0 и graylog2_1 уже составляло 28,677,094. 😎

В логах содержалось (все данные – оценочные, дубли из подсчетов не удалялись, поэтому объем реальной утекшей информации скорее всего меньше):

🌵 более 3 млн. адресов электронной почты покупателей магазинов re:Store, Samsung, Street Beat и Lego

🌵 более 7 млн. телефонов покупателей магазинов re:Store, Sony, Nike, Street Beat и Lego

🌵 более 21 тыс. пар логин/паролей от личных кабинетов покупателей магазинов Sony и Street Beat.

🌵 большинство записей с телефонами и электронной почтой также содержали ФИО (часто латиницей) и номера карт лояльности.


Вот пример из лога, относящийся к клиенту магазина Nike (мы заменили чувствительные данные на символы «Х»):

"message": "{\"MESSAGE\":\"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Array\\n(\\n [contact[phone]] => +7985026XXXX\\n [contact[email]] => [email protected]\\n [contact[channel]] => \\n [contact[subscription]] => 0\\n)\\n[ДАННЫЕ GET] Array\\n(\\n [digital_id] => 27008290\\n [brand] => NIKE\\n)\\n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Object\\n(\\n [result] => success\\n [contact] => stdClass Object\\n (\\n [phone] => +7985026XXXX\\n [email] => [email protected]\\n [channel] => 0\\n [subscription] => 0\\n )\\n\\n)\\n\",\"DATE\":\"31.03.2019 12:52:51\"}",


А вот пример того, как в логах хранились логины и пароли от личных кабинетов покупателей на сайтах sc-store.ru и street-beat.ru:

"message":"{\"MESSAGE\":\"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ GET] Array\\n(\\n [digital_id] => 26725117\\n [brand]=> SONY\\n)\\n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] \",\"DATE\":\"22.04.2019 21:29:09\"}"

Какое-то время после закрытия доступа к Elasticsearch логины и пароли продолжали работать. Сейчас компания IRG заявляет, что они принудительно сменили пароли клиентов. Это хорошая новость. 😂

Однако, перейдем к совсем плохим новостям и объясним, почему это именно утечка персональных данных клиентов IRG.

Если внимательно присмотреться к индексам данного свободно доступного Elasticsearch, то можно в них заметить два имени: readme и unauth_text. Это характерный признак одного из самых популярных «вымогателей». 👍 Им поражено более 4 тыс. серверов Elasticsearch по всему миру.
Ответить
Развернуть ветку
5 комментариев
Раскрывать всегда