3000 萬美國人受到 Astoria 公司數據泄露的影響

研究人員發現在暗網中有3000萬記錄了受Astoria公司數據泄露影響的美國人的記錄。

Astoria Company LLC是一家領先的公司，它利用網站網絡來收集有關可能正在尋找折扣汽車貸款，其他醫療保險甚至發薪日貸款的人的信息。

收集的數據與許多合作伙伴網站(如保險或貸款機構)共享，這些網站按潛在客戶推薦付費。

DARKWEB市場上的數據庫銷售

2021年1月26日，Nightlion Security的威脅情報小組意識到流行的黑客組織 Shiny Hunter 在Dark0de市場上出售了幾個新的受到破壞的數據庫 。

列出的待售數據包括4億個Facebook用戶，一個據稱包含Instagram用戶的數據庫以及一個據稱包含來自Astoria Company的3億用戶數據庫的轉儲。Astoria公司數據銷售的詳細信息包括，最著名的是4000萬個美國社會保險號（這些數字后來被證明是虛假的）。

公開的記錄包括以下字段：

• 姓名
• 電子郵件地址
• 出生日期
• 移動電話
• 實際地址
• IP地址

泄漏中暴露的其他潛在客戶類型包括其他信息，例如社會保險號，完整的銀行帳戶信息，甚至病史。泄露的Astoria數據還包含電子郵件交易日志，顯示通過電子郵件傳輸未加密的敏感用戶信息。

Night Lion對數據進行的分析揭示了以下各項的存在：

• 1000萬人擁有社會安全號碼，銀行帳戶和駕照號碼。
• 超過一千萬的人擁有其他暴露領域，例如信用記錄，醫療數據，房屋和車輛信息。

一周后，這些數據庫由用戶ShinyHunters在Dark0de論壇上出售。

Astoria的數據后來在網上其他賣家以“ Seller13 ”的名義在其他Darkweb論壇上出售。

Nightlion研究人員報道了最近的一篇博客文章，該文章聲稱Seller13是ShinyHunters的成員。專家認為，賣方13是“ Yousef”，即近4億個被盜Facebook帳戶的原始經紀人 。

“目前，尚不清楚Seller13是使用ShinyHunters名稱作為一種誤導類型，還是兩個參與者實際上正在共同努力。我們與Seller13的對話似乎表明他和ShinyHunters正在共同努力。” 報道了《Night Lion》。

調查涉嫌違規專家后，發現了向Astoria Company，LLC注冊的400多個域的列表。

研究人員在Astoria的MortgageLeads.loans域中發現了多個Web外殼和惡意腳本，包括Corex.php和Adminer.php。

攻擊者部署了Corex Web Shell URL，并使用了系統上剩下的許多其他利用工具，包括adminer.php腳本。Adminer是用PHP編寫的功能齊全的數據庫管理工具。輕松管理任何在線數據庫類型，包括MySQL，SQLite，MS SQL和PostgreSQL。

“鑒于ShinyHunters傾向于使用泄露的憑證來黑客入侵網站，我們的下一步是使用HiddenWWW搜索引擎來查找具有潛在泄露的憑證或AWS密鑰的可公開訪問的代碼。HiddenWWW搜索引擎返回了多個不同Astoria域中潛在易受攻擊的URL的列表。然后，我們利用OSINT電報漫游器對每個URL進行ping操作，并返回所有有效URL的列表。” 專家們繼續說道。

Night Lion的反情報小組聯系了Seller13，后者向他們解釋了如何訪問Astoria的數據庫。

“在訪問http://mortgageleads.loans/adminer.php URL時，我們立即注意到預先存儲了用戶” adminastoria ”的管理員憑據，從而使任何人都可以從公共URL完全訪問數據庫-無需身份驗證。” 專家們繼續說道。

Night Lion Security的首席執行官Vinny Troia于2021年1月29日向Astoria Company報告了其數據庫中的漏洞以及Dark Web上數據的可用性。

該公司對該問題進行了調查，發現“印度的前開發人員”最有可能負責將憑證保存到該站點。

Astoria公司識別并確認了其網站上存在惡意腳本，并將其脫機。

專家發現，共有19個Astoria所有的域名使用相同的Adminer腳本，在Night Lion向Astoria報告后被下線。