Schlagwort: Elasticsearch

Leakvent 18: Team Cymru

Bis zum 39C3 öffne ich täglich ein Türchen zu den langweiligsten Datenlecks der letzten Jahre. Es geht um .git, .env, exponierte dev-Umgebungen und andere technisch langweilige Ursachen. Aber manchmal ist interessant, was sich hinter einem Türchen verbirgt. Alle Türchen sind hier zu finden.

Team Cymru ist ein Unternehmen, das das Internet überwacht. Ihr Gründer und ehemaliger CEO Rabbi Rob Thomas war Mitglied des Tor Boards. Mit dem Nimbus Threat Monitor stellt Team Cymru Informationen zur Threat Detection gratis zur Verfügung, im Tausch gegen Netflow-Daten.

Share your network metadata, and in return, gain access to unparalleled threat detection, free of charge. (Team Cymru Nimbus Threat Monitor)

Wenn ISPs Netflow-Daten sammeln, dann ist das problematisch. Die Daten zeigen, wer mit wem, wann und wie viel kommuniziert hat. Sie umfassen Quell-/Ziel-IPs, Ports, Protokolle, übertragene Bytes und Pakete.

Wenn Team Cymru Netflow-Daten verschiedener ISPs zusammenführt, dann ist das noch problematischer. Zunächst haben die Nutzer*innen einer Übermittlung und Speicherung dieser sensiblen Daten wahrscheinlich nicht zugestimmt. Und dann können diese Daten genutzt werden, um per Traffic-Analyse Nutzer*innen von Anonymisierungsdiensten zu deanonymisieren.

Bei Team Cymru waren Elasticsearch-Instanzen unter etwa 70 verschiedenen IP-Adressen exponiert, überwiegend bei DigitalOcean.

Ich sah nur einen kleinen Ausschnitt der geleakten Daten mit den folgenden Quellen: Iperactive (263244), FIBERNET (269912), BDCONNECTNET-AS-AP (64063), VIJIJI-CONNECT-LIMITED (328856), Messagelabs-AS (328301), Syokinet-Solutions-AS (328271), PREPA-NETWORKS-LLC (23550), HRCOM (46962), IMINTERNET (398326).

2022 hat das Tor Project beschlossen, nicht länger auf von Team Cymru gespendete Infrastruktur zu vertrauen. Im gleichen Jahr hat Rob Thomas das Tor Board verlassen.

Offene Fragen: Welche Rolle spielt Team Cymru bei der Deanonymisierung von Tor-Nutzer*innen? Welche ISPs sammeln und teilen Netflow-Daten?

Leakvent 15: WhiteBIT

Bis zum 39C3 öffne ich täglich ein Türchen zu den langweiligsten Datenlecks der letzten Jahre. Es geht um .git, .env, exponierte dev-Umgebungen und andere technisch langweilige Ursachen. Aber manchmal ist interessant, was sich hinter einem Türchen verbirgt. Alle Türchen sind hier zu finden.

WhiteBIT ist eine Börse für Kryptowährungen. 2022 betrieb sie ein Elasticsearch offen zugänglich am Internet. Dort lagen ungefähr 250 GB Log-Daten, die auch E-Mail-Adressen, Passwörter, 2FA-Secrets und andere personenbezogene Daten umfassten.

Screenshot von https://whitebit.com/about-us
"msg": "*54717273 FastCGI sent in stderr: "
PHP message: [2022 - 05 - 10 16: 23: 58] production.ERROR: An exception occurred
while executing 'INSERT INTO users (name, email, password, █, █, █2fa_secret, █2fa_active, ...) VALUES (?, ..., ?)'
with params["██████", "██████@gmail.com", "$2y$10$██████", 0, null, null, 0, null, null, "2022-05-10 16:23:57", "2022-05-10 16:23:57", "$2y$10$██████"
while reading response header from upstream, client: ██████, server: ██████.whitebit.com, request: "POST /v2/register HTTP/1.1", upstream: "fastcgi://██████", host: "██████.whitebit.com", ...
, {
    "name": "Subject",
    "value": "Password changed"
}, {
    "name": "From",
    "value": "WhiteBIT Exchange <system@whitebit.com>"
}, {
    "name": "To",
    "value": "████@gmx.de"
}, {
    "name": "Content-Transfer-Encoding",
    "value": "quoted-printable"
}], "commonHeaders": {
    "from": ["WhiteBIT Exchange <system@whitebit.com>"],
    "date": "Thu, 12 May 2022 14:40:01 +0000",
    "to": ["████@gmx.de"],
    "messageId": "<████@swift.generated>",
    "subject": "Password changed"
...

Leakvent 10: Voxsmart

Bis zum 39C3 öffne ich täglich ein Türchen zu den langweiligsten Datenlecks der letzten Jahre. Es geht um .git, .env, exponierte dev-Umgebungen und andere technisch langweilige Ursachen. Aber manchmal ist interessant, was sich hinter einem Türchen verbirgt. Alle Türchen sind hier zu finden.

Voxsmart hat 2022 mehr als 13 TB Daten ins Internet gepustet, nicht ausschließlich langweilige Telemetriedaten:

We capture and store mobile communications to give you the most sophisticated mobile surveillance capability in the world. (PlayStore Beschreibung)

Screenshot von https://www.voxsmart.com/communication-surveillance

In den Logs tauchen mehr oder weniger bekannte Namen auf: bankofamerica, blackheathcapital, burnhamsterling, clarksons, nedbank, softbank, smithandwilliamson. Auch Coinbase teilt(e?) seine Kundengespräche mit Voxsmart:

{ id=224436, message="HELP" }
{ id=224437, message="i have been hackewd" }
{ id=224438, message="someone is trying to take 521,000 pending off my coinebae pro account" }
{ id=224439, message="plese help" }
{ id=224440, message="The line you gave me was wrong" }
{ id=224441, message="please stop that transaction!" }
{ id=224442, message="hey ████████, moment" }
{ id=224443, message="pinging security" }
{ id=224444, message="i followed everything custody told me" }
{ id=224445, message="the line that gave me was hacked or something" }
{ id=224446, message="this is a transfer from Custody or Exchange?" }
{ id=224447, message="what do you mean the line that you were given?" }
{ id=224448, message="no its someone trying to pull it off my pro exchange" }
{ id=224449, message="its not me" }
{ id=224451, message="I had to do a passowrd reset you guys were hlepng me" }
{ id=224453, message="your chat feature you guys told me to follow on coinsbase support was hacked" }
{ id=224454, message="can you send screenshots" }
{ id=224455, message="i am so freaking out" }
Indices: 846, document count: 54017329277, size: 13.2 TB
cloudtrail-2022.01.17 with 752429 documents (513.7 MB)
cloudtrail-2022.04.19 with 1299137 documents (811.5 MB)
cloudtrail-2022.04.20 with 759529 documents (532.2 MB)
deadletter-prod-broker-2022.01.17 with 8029 documents (11.9 MB)
eks-2022.01.17 with 832214 documents (156.2 MB)
eks-2022.04.19 with 742248 documents (261.9 MB)
eks-2022.04.20 with 403275 documents (147.3 MB)
logs-2022.01.17 with 393864826 documents (102.5 GB)
logs-2022.04.19 with 674281379 documents (160.4 GB)
logs-2022.04.20 with 398431321 documents (97.4 GB)
sandbox-2022.01.17 with 3737345 documents (1.6 GB)
sandbox-2022.04.19 with 15735864 documents (9.0 GB)
sandbox-2022.04.20 with 8162190 documents (4.9 GB)
tcap-logs-2022.01.17 with 5791457 documents (1.2 GB)
tcap-logs-2022.04.19 with 43087656 documents (11.2 GB)
tcap-logs-2022.04.20 with 27793404 documents (10.5 GB)
voxsmart-vpc-flow-logs with 13322938 documents (2.5 GB)
...

Leakvent 5: Vevor

Bis zum 39C3 öffne ich täglich ein Türchen zu den langweiligsten Datenlecks der letzten Jahre. Es geht um .git, .env, exponierte dev-Umgebungen und andere technisch langweilige Ursachen. Aber manchmal ist interessant, was sich hinter einem Türchen verbirgt. Alle Türchen sind hier zu finden.

Über viele Monate waren 2022 bei dem Baumarkt-Temu Vevor über die Zeit immer mehr und schließlich fast 800 Gigabyte Logs einsehbar. Ein Elasticsearch erlaubte unter wechselnden IP-Adressen bei AWS anonymen Zugang.

Indices: 309, document count: 1496535116, size: 797.9 GB
Found index goods-2022.11.10 with 37131622 documents (13.4 GB)
Found index risk-2022.11.08 with 579851 documents (216.2 MB)
Found index risk-2022.11.09 with 562293 documents (207.3 MB)
Found index goods-2022.11.11 with 40573566 documents (14.7 GB)
Found index goods-2022.11.12 with 37160357 documents (12.1 GB)
Found index goods-2022.11.13 with 34469876 documents (11.9 GB)
Found index risk-2022.11.07 with 598158 documents (224.6 MB)
Found index vevor-pc-2022.11.08 with 68842 documents (53.3 MB)
Found index vevor-pc-2022.11.07 with 78280 documents (60.3 MB)
Found index vevor-pc-2022.11.09 with 75443 documents (57.0 MB)
Found index .opendistro-reports-instances with 0 documents (208 B)
Found index data-gateway-lua-access-2022.11.05 with 4604008 documents (1.4 GB)
Found index email-marketing-2022.11.13 with 306537 documents (334.7 MB)
...

Einzelne Einträge zeigen bspw, wer was wohin bestellt hat.

[INFO]2022-07-1202:30:01.789[DubboServerHandler-10.20.29.145:20992-thread-6]INFOc.v.pay.channel.util.ApiCallUtils-[62ccdca8e4b01fd5208ea9e7]ApiCallUtil.callPaypalresponse:TOKEN=EC-0461416764794954C&
BILLINGAGREEMENTACCEPTEDSTATUS=0&
CHECKOUTSTATUS=PaymentActionNotInitiated&
TIMESTAMP=2022-07-12T02:30:01Z&
...
SHIPTONAME=##VORNAME## ##NACHNAME## &
SHIPTOSTREET=##STRASSE##&
SHIPTOSTREET2=##STRASSE##&
SHIPTOCITY=Hamburg&
SHIPTOSTATE=Hamburg&
SHIPTOZIP=21029&
SHIPTOCOUNTRYCODE=DE&
SHIPTOPHONENUM=*&
SHIPTOCOUNTRYNAME=Germany&
ADDRESSSTATUS=Confirmed&
CURRENCYCODE=EUR&
AMT=56.99&
...
L_NAME0=4L Wasser Destilliergerät Wasserfilter Wasserdestillier Innenteil aus Edelstahl&
...

Auch die Bayerische Datenschutzbehörde wurde informiert. Ob diese tätig wurde oder Betroffene von Vevor informiert wurden, ist unklar. Klar ist aber, dass auch andere die Daten gefunden haben: {"@timestamp": "2099-11-15T13:12:00", "message": "All indexs has been dropped. But we backup all indexs. The only method of recoveribing database is to pay 0.021 BTC. Transfer to this BTC address 14UCEfQG5vs7kZAbFrcZ7K4BCiEa48mdFu . You can buy bitcoin here, does not take much time to buy https://localbitcoins.com or https://buy.moonpay.io/ . After paying write to me in the mail with your DB IP: recmydata@onionmail.org and you will receive a link to download your database dump.\n"}