3000 万美国人受到 Astoria 公司数据泄露的影响

研究人员发现在暗网中有3000万记录了受Astoria公司数据泄露影响的美国人的记录。

Astoria Company LLC是一家领先的公司，它利用网站网络来收集有关可能正在寻找折扣汽车贷款，其他医疗保险甚至发薪日贷款的人的信息。

收集的数据与许多合作伙伴网站(如保险或贷款机构)共享，这些网站按潜在客户推荐付费。

DARKWEB市场上的数据库销售

2021年1月26日，Nightlion Security的威胁情报小组意识到流行的黑客组织 Shiny Hunter 在Dark0de市场上出售了几个新的受到破坏的数据库 。

列出的待售数据包括4亿个Facebook用户，一个据称包含Instagram用户的数据库以及一个据称包含来自Astoria Company的3亿用户数据库的转储。Astoria公司数据销售的详细信息包括，最著名的是4000万个美国社会保险号（这些数字后来被证明是虚假的）。

公开的记录包括以下字段：

• 姓名
• 电子邮件地址
• 出生日期
• 移动电话
• 实际地址
• IP地址

泄漏中暴露的其他潜在客户类型包括其他信息，例如社会保险号，完整的银行帐户信息，甚至病史。泄露的Astoria数据还包含电子邮件交易日志，显示通过电子邮件传输未加密的敏感用户信息。

Night Lion对数据进行的分析揭示了以下各项的存在：

• 1000万人拥有社会安全号码，银行帐户和驾照号码。
• 超过一千万的人拥有其他暴露领域，例如信用记录，医疗数据，房屋和车辆信息。

一周后，这些数据库由用户ShinyHunters在Dark0de论坛上出售。

Astoria的数据后来在网上其他卖家以“ Seller13 ”的名义在其他Darkweb论坛上出售。

Nightlion研究人员报道了最近的一篇博客文章，该文章声称Seller13是ShinyHunters的成员。专家认为，卖方13是“ Yousef”，即近4亿个被盗Facebook帐户的原始经纪人 。

“目前，尚不清楚Seller13是使用ShinyHunters名称作为一种误导类型，还是两个参与者实际上正在共同努力。我们与Seller13的对话似乎表明他和ShinyHunters正在共同努力。” 报道了《Night Lion》。

调查涉嫌违规专家后，发现了向Astoria Company，LLC注册的400多个域的列表。

研究人员在Astoria的MortgageLeads.loans域中发现了多个Web外壳和恶意脚本，包括Corex.php和Adminer.php。

攻击者部署了Corex Web Shell URL，并使用了系统上剩下的许多其他利用工具，包括adminer.php脚本。Adminer是用PHP编写的功能齐全的数据库管理工具。轻松管理任何在线数据库类型，包括MySQL，SQLite，MS SQL和PostgreSQL。

“鉴于ShinyHunters倾向于使用泄露的凭证来黑客入侵网站，我们的下一步是使用HiddenWWW搜索引擎来查找具有潜在泄露的凭证或AWS密钥的可公开访问的代码。HiddenWWW搜索引擎返回了多个不同Astoria域中潜在易受攻击的URL的列表。然后，我们利用OSINT电报漫游器对每个URL进行ping操作，并返回所有有效URL的列表。” 专家们继续说道。

Night Lion的反情报小组联系了Seller13，后者向他们解释了如何访问Astoria的数据库。

“在访问http://mortgageleads.loans/adminer.php URL时，我们立即注意到预先存储了用户” adminastoria ”的管理员凭据，从而使任何人都可以从公共URL完全访问数据库-无需身份验证。” 专家们继续说道。

Night Lion Security的首席执行官Vinny Troia于2021年1月29日向Astoria Company报告了其数据库中的漏洞以及Dark Web上数据的可用性。

该公司对该问题进行了调查，发现“印度的前开发人员”最有可能负责将凭证保存到该站点。

Astoria公司识别并确认了其网站上存在恶意脚本，并将其脱机。

专家发现，共有19个Astoria所有的域名使用相同的Adminer脚本，在Night Lion向Astoria报告后被下线。