Vandag sal ons na twee gevalle gelyktydig kyk - die data van kliënte en vennote van twee heeltemal verskillende maatskappye was vrylik beskikbaar "danksy" oop Elasticsearch-bedieners met logs van inligtingstelsels (IS) van hierdie maatskappye.
In die eerste geval is dit tienduisende (en miskien honderdduisende) kaartjies vir verskeie kulturele geleenthede (teaters, klubs, rivieruitstappies, ens.) wat deur die Radario-stelsel verkoop word (www.radario.ru).
In die tweede geval is dit data oor toeristereise van duisende (moontlik etlike tienduisende) reisigers wat toere gekoop het deur reisagentskappe wat aan die Sletat.ru-stelsel gekoppel is (www.sletat.ru).
Ek wil dadelik daarop let dat nie net die name van die maatskappye wat toegelaat het dat die data publiek beskikbaar is, verskil nie, maar ook die benadering van hierdie maatskappye om die voorval te herken en die daaropvolgende reaksie daarop. Maar eerste dinge eerste …
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Geval een. "Radario"
In die aand van 06.05.2019/XNUMX/XNUMX ons stelsel , wat deur die elektroniese kaartjieverkopediens Radario besit word.
Volgens die reeds gevestigde hartseer tradisie het die bediener gedetailleerde logs van die diens se inligtingstelsel bevat, waaruit dit moontlik was om persoonlike data, gebruikersaanmeldings en wagwoorde te verkry, asook die elektroniese kaartjies self vir verskeie geleenthede regoor die land.
Die totale volume logs het 1 TB oorskry.
Volgens die Shodan-soekenjin is die bediener sedert 11.03.2019 Maart 06.05.2019 publiek beskikbaar. Ek het Radario-werknemers op 22/50/07.05.2019 om 09:30 (MSK) in kennis gestel en op XNUMX/XNUMX/XNUMX omstreeks XNUMX:XNUMX het die bediener onbeskikbaar geword.
Die logs het 'n universele (enkele) magtigingsteken bevat wat toegang tot alle gekoopte kaartjies via spesiale skakels verskaf het, soos:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkDie probleem was ook dat om rekening te hou met kaartjies, deurlopende nommering van bestellings gebruik is en eenvoudige opsomming van die kaartjienommer (XXXXXXXXX) of bestel (YYYYYYY), was dit moontlik om al die kaartjies van die stelsel af te kry.
Om die relevansie van die databasis na te gaan, het ek eerlik vir myself die goedkoopste kaartjie gekoop:
en het dit later op 'n publieke bediener in die IS-logboeke gevind:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkAfsonderlik wil ek beklemtoon dat kaartjies beskikbaar was vir beide geleenthede wat reeds plaasgevind het en vir dié wat nog beplan word. Dit wil sê, 'n potensiële aanvaller kan iemand anders se kaartjie gebruik om by die beplande geleentheid in te gaan.
Elke Elasticsearch-indeks wat logs vir een spesifieke dag bevat (vanaf 24.01.2019/07.05.2019/25 tot 35/XNUMX/XNUMX) het gemiddeld XNUMX tot XNUMX duisend kaartjies bevat.
Benewens die kaartjies self, bevat die indeks aanmeldings (e-posadresse) en tekswagwoorde vir toegang tot die persoonlike rekeninge van Radario-vennote wat kaartjies na hul geleenthede deur hierdie diens verkoop:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"In totaal is meer as 500 aanmeld-/wagwoordpare opgespoor. Kaartjieverkopestatistieke is sigbaar in vennote se persoonlike rekeninge:
Ook publiek beskikbaar was die name, telefoonnommers en e-posadresse van kopers wat besluit het om voorheen gekoopte kaartjies terug te gee:
"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"Op een lukraak geselekteerde dag is meer as 500 sulke rekords ontdek.
Ek het 'n reaksie op die waarskuwing van die tegniese direkteur van Radario ontvang:
Ek is die tegniese direkteur van Radario en wil u graag bedank dat u die probleem geïdentifiseer het. Soos u weet, het ons toegang tot rek gesluit en is ons besig om die kwessie van die heruitreiking van kaartjies vir kliënte op te los.
'N Rukkie later het die maatskappy 'n amptelike verklaring gemaak:
’n Kwesbaarheid is in die Radario elektroniese kaartjieverkopestelsel ontdek en dadelik reggestel, wat kan lei tot ’n lek van data van die diens se kliënte, het die maatskappy se bemarkingsdirekteur, Kirill Malyshev, aan die Moscow City News Agency gesê.
"Ons het eintlik 'n kwesbaarheid in die stelselwerking ontdek wat verband hou met gereelde opdaterings, wat onmiddellik na ontdekking reggestel is. As gevolg van die kwesbaarheid kan onvriendelike optrede van derde partye onder sekere omstandighede tot datalekkasie lei, maar geen voorvalle is aangeteken nie. Op die oomblik is al die foute uitgeskakel,” het K. Malyshev gesê.
'n Maatskappyverteenwoordiger het beklemtoon dat daar besluit is om alle kaartjies wat tydens die oplossing van die probleem verkoop is, weer uit te reik om die moontlikheid van enige bedrog teen dienskliënte heeltemal uit te skakel.
'n Paar dae later het ek die beskikbaarheid van data nagegaan met behulp van die uitgelekte skakels - toegang tot die "blootgestelde" kaartjies was inderdaad gedek. Na my mening is dit 'n bekwame, professionele benadering om die probleem van datalekkasie op te los.
Geval twee. "Fly.ru"
Vroegoggend 15.05.2019/XNUMX/XNUMX DeviceLock Data Breach Intelligence 'n publieke Elasticsearch-bediener geïdentifiseer met logs van 'n sekere IS.
Later is vasgestel dat die bediener aan die toerkeusediens "Sletat.ru" behoort.
Uit indeks cbto__0 dit was moontlik om duisende (11,7 duisend insluitend duplikate) e-posadresse te bekom, sowel as sekere betalingsinligting (toerkoste) en toerdata (wanneer, waar, vliegkaartjiebesonderhede alle reisigers wat by die toer ingesluit is, ens.) in die bedrag van ongeveer 1,8 duisend rekords:
"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"Terloops, die skakels na betaalde toere werk nogal:
In indekse met naam greylog_ in duidelike teks was die aanmeldings en wagwoorde van reisagentskappe wat aan die Sletat.ru-stelsel gekoppel is en toere aan hul kliënte verkoop:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."Volgens my skattings is 'n paar honderd aanmeld-/wagwoordpare vertoon.
Van die reisagentskap se persoonlike rekening op die portaal agent.sletat.ru dit was moontlik om kliëntedata te bekom, insluitend paspoortnommers, internasionale paspoorte, geboortedatums, volle name, telefoonnommers en e-posadresse.
Ek het die Sletat.ru-diens op 15.05.2019/10/46 om 16:00 (Moskou-tyd) in kennis gestel en 'n paar uur later (tot XNUMX:XNUMX) het dit van hul gratis toegang verdwyn. Later, in reaksie op die publikasie in Kommersant, het die diens se bestuur 'n baie vreemde stelling deur die media gemaak:
Die hoof van die maatskappy, Andrei Vershinin, het verduidelik dat Sletat.ru 'n aantal groot vennoot-toeroperateurs toegang bied tot die geskiedenis van navrae in die soekenjin. En hy het aangeneem dat DeviceLock dit ontvang het: "Die gespesifiseerde databasis bevat egter nie toeriste se paspoortdata, reisagentskappe se aanmeldings en wagwoorde, betalingsinligting, ens nie." Andrei Vershinin het opgemerk dat Sletat.ru nog geen bewyse van sulke ernstige beskuldigings ontvang het nie. “Ons probeer nou om DeviceLock te kontak. Ons glo dat dit 'n bevel is. Sommige mense hou nie van ons vinnige groei nie,” het hy bygevoeg. "
Soos hierbo getoon, was aanmeldings, wagwoorde en paspoortdata van toeriste vir 'n redelike lang tyd in die publieke domein (ten minste sedert 29.03.2019 Maart XNUMX, toe die maatskappy se bediener die eerste keer in die publieke domein deur die Shodan-soekenjin opgeneem is). Natuurlik het niemand ons gekontak nie. Ek hoop dat hulle ten minste reisagentskappe in kennis gestel het van die lekkasie en hulle gedwing het om hul wagwoorde te verander.
Nuus oor inligtinglekkasies en insiders kan altyd op my Telegram-kanaal gevind word "".
Bron: will.com