ሁለት በአንድ፡ የቱሪስት መረጃ እና ለባህላዊ ዝግጅቶች ትኬቶች በይፋ ቀርበዋል።

ዛሬ ሁለት ጉዳዮችን በአንድ ጊዜ እንመለከታለን - የሁለት ሙሉ ለሙሉ የተለያዩ ኩባንያዎች የደንበኞች እና አጋሮች መረጃ በነጻ የ Elasticsearch አገልጋዮችን ከእነዚህ ኩባንያዎች የመረጃ ሥርዓቶች (አይኤስ) ምዝግብ ማስታወሻዎች ጋር “ምስጋና” ይገኛል ።

በመጀመሪያው ሁኔታ እነዚህ በአስር ሺዎች የሚቆጠሩ (ምናልባትም በመቶ ሺዎች የሚቆጠሩ) ለተለያዩ የባህል ዝግጅቶች (ቲያትሮች፣ ክለቦች፣ የወንዝ ጉዞዎች፣ ወዘተ) የሚሸጡ ትኬቶች በራዳሪዮ ስርዓት ()www.radario.ru).

በሁለተኛው ጉዳይ፣ ይህ ከSletat.ru ስርዓት ጋር በተገናኙ የጉዞ ኤጀንሲዎች በኩል ጉብኝቶችን የገዙ በሺዎች የሚቆጠሩ (ምናልባትም በአስር ሺዎች የሚቆጠሩ) የቱሪስት ጉዞዎች ላይ ያለው መረጃ ነው።www.sletat.ru).

ወዲያውኑ ማስተዋል የምፈልገው መረጃው ለሕዝብ እንዲደርስ የፈቀዱ ኩባንያዎች ስም ብቻ ሳይሆን፣ እነዚህ ኩባንያዎች ድርጊቱን የተገነዘቡበት አካሄድና ለጉዳዩ የሰጡት ምላሽ ጭምር ነው። ግን በመጀመሪያ ነገሮች…

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

ጉዳይ አንድ። "ራዳሪዮ"

በ 06.05.2019/XNUMX/XNUMX ምሽት ላይ የእኛ ስርዓት የ Elasticsearch አገልጋይ በነጻ ይገኛል።በኤሌክትሮኒክ ቲኬት ሽያጭ አገልግሎት ራዳሪዮ ባለቤትነት የተያዘ።

ቀደም ሲል በተቋቋመው አሳዛኝ ባህል መሠረት አገልጋዩ የግል መረጃን ፣ የተጠቃሚ መግቢያዎችን እና የይለፍ ቃሎችን እንዲሁም የኤሌክትሮኒክ ትኬቶችን እራሳቸው የማግኘት የአገልግሎቱን የመረጃ ስርዓት ዝርዝር ምዝግብ ማስታወሻዎች ይዘዋል ።

አጠቃላይ የምዝግብ ማስታወሻዎች መጠን ከ1 ቴባ አልፏል።

በሾዳን የፍለጋ ሞተር መሰረት፣ አገልጋዩ ከማርች 11.03.2019፣ 06.05.2019 ጀምሮ በይፋ ይገኛል። በ 22/50/07.05.2019 ለራዳሪዮ ሰራተኞች በ09:30 (MSK) እና በXNUMX/XNUMX/XNUMX በXNUMX:XNUMX አካባቢ አገልጋዩ አይገኝም።

ምዝግብ ማስታወሻዎቹ ሁሉንም የተገዙ ቲኬቶች በልዩ አገናኞች እንዲያገኙ የሚያስችል ሁለንተናዊ (ነጠላ) የፍቃድ ማስመሰያ ይዘዋል።

http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk

http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk

ችግሩ ለቲኬቶች መለያ ቁጥር ቀጣይነት ያለው የትዕዛዝ ቁጥር ጥቅም ላይ ውሎ ነበር እና የቲኬቱን ቀላል ቆጠራ (XXXXXXXXX) ወይም ማዘዝ (አይይይይይይ), ሁሉንም ትኬቶች ከስርዓቱ ማግኘት ተችሏል.

የመረጃ ቋቱን ተገቢነት ለመፈተሽ፣ በታማኝነት በጣም ርካሹን ትኬት ገዛሁ፡-

እና በኋላ በ IS ምዝግብ ማስታወሻዎች ውስጥ በይፋዊ አገልጋይ ላይ አገኘው፡

http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk

ለየብቻ፣ ትኬቶች ቀደም ሲል ለተከሰቱት ዝግጅቶች እና አሁንም ለታቀዱት ሁለቱም እንደነበሩ አፅንዖት መስጠት እፈልጋለሁ። ማለትም፣ ወደታቀደው ክስተት ለመግባት አንድ አጥቂ የሌላ ሰው ቲኬት ሊጠቀም ይችላል።

በአማካይ፣ እያንዳንዱ የelasticsearch መረጃ ጠቋሚ ለአንድ የተወሰነ ቀን (ከ 24.01.2019/07.05.2019/25 እስከ 35/XNUMX/XNUMX ጀምሮ) ከXNUMX እስከ XNUMX ሺህ ትኬቶችን ይዟል።

ከቲኬቶቹ በተጨማሪ፣ መረጃ ጠቋሚው በዚህ አገልግሎት ለክስተታቸው ትኬቶችን የሚሸጡትን የራዳሪዮ አጋሮችን ግላዊ መለያዎች ለመግባት መግቢያዎች (ኢሜል አድራሻዎች) እና የጽሁፍ ይለፍ ቃል ይዟል፡

Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"

በአጠቃላይ ከ500 በላይ የመግቢያ/የይለፍ ቃል ጥንዶች ተገኝተዋል። የቲኬት ሽያጭ ስታቲስቲክስ በአጋሮች የግል መለያዎች ውስጥ ይታያል፡

ከዚህ ቀደም የተገዙ ትኬቶችን ለመመለስ የወሰኑ የገዢዎች ስም፣ ስልክ ቁጥሮች እና የኢሜይል አድራሻዎች በይፋ ተዘጋጅተዋል፡-

"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"

በዘፈቀደ በተመረጠው ቀን ከ500 በላይ እንደዚህ ያሉ መዝገቦች ተገኝተዋል።

ለማንቂያው ምላሽ ከራዳሪዮ ቴክኒካል ዳይሬክተር ደርሶኛል፡-

እኔ የራዳሪዮ ቴክኒካል ዳይሬክተር ነኝ እና ችግሩን በመለየት ላመሰግናችሁ እወዳለሁ። እንደሚያውቁት የላስቲክ መዳረሻን ዘግተናል እና ለደንበኞች ትኬቶችን እንደገና የመስጠት ችግርን እየፈታን ነው።

ትንሽ ቆይቶ ኩባንያው ይፋዊ መግለጫ ሰጥቷል፡-

በራዳሪዮ የኤሌክትሮኒክስ ቲኬት ሽያጭ ስርዓት ውስጥ አንድ ተጋላጭነት ተገኝቷል እና ወዲያውኑ ተስተካክሏል ይህም ከአገልግሎቱ ደንበኞች የውሂብ ፍሰት ሊያስከትል ይችላል ሲሉ የኩባንያው የግብይት ዳይሬክተር ኪሪል ማሌሼቭ ለሞስኮ ከተማ የዜና አገልግሎት ተናግረዋል ።

ከመደበኛ ዝመናዎች ጋር በተዛመደ የስርዓተ ክወናው ላይ ተጋላጭነትን አግኝተናል፣ ይህም ከተገኘ በኋላ ወዲያውኑ ተስተካክሏል። በተጋላጭነቱ ምክንያት፣ በተወሰኑ ሁኔታዎች፣ የሶስተኛ ወገኖች ወዳጃዊ ያልሆነ ድርጊት የውሂብ መፍሰስ ሊያስከትል ይችላል፣ ነገር ግን ምንም አይነት ክስተቶች አልተመዘገቡም። በአሁኑ ጊዜ ሁሉም ስህተቶች ተወግደዋል "ሲል ኬ. ማሌሼቭ.

የኩባንያው ተወካይ በአገልግሎት ደንበኞች ላይ ማጭበርበርን ሙሉ በሙሉ ለማስወገድ ለችግሩ መፍትሄ በሚሰጥበት ጊዜ የተሸጡ ትኬቶችን እንደገና ለመልቀቅ መወሰኑን አፅንዖት ሰጥቷል.

ከጥቂት ቀናት በኋላ፣ የወጡትን አገናኞች በመጠቀም የመረጃ መገኘቱን አረጋገጥኩ - “የተጋለጡ” ትኬቶችን ማግኘት በእርግጥ ተሸፍኗል። በእኔ አስተያየት, ይህ የውሂብ መፍሰስ ችግርን ለመፍታት ብቃት ያለው, ሙያዊ አቀራረብ ነው.

ጉዳይ ሁለት. "Fly.ru"

በማለዳ 15.05.2019/XNUMX/XNUMX DeviceLock የውሂብ ጥሰት ብልህነት ይፋዊ Elasticsearch አገልጋይ ከተወሰነ አይ ኤስ ምዝግብ ማስታወሻዎች ጋር ለይቷል።

በኋላ ላይ አገልጋዩ የጉብኝት ምርጫ አገልግሎት "Sletat.ru" መሆኑን ተረጋግጧል.

ከመረጃ ጠቋሚ cbto__0 በሺዎች የሚቆጠሩ (11,7 ሺህ ብዜቶችን ጨምሮ) የኢሜይል አድራሻዎች፣ እንዲሁም አንዳንድ የክፍያ መረጃዎች (የጉብኝት ወጪዎች) እና የጉብኝት መረጃዎች (መቼ፣ የት፣ የአየር ትኬት ዝርዝሮች) ማግኘት ተችሏል всех በጉብኝቱ ውስጥ የተካተቱ ተጓዦች ፣ ወዘተ.) ወደ 1,8 ሺህ መዝገቦች መጠን

"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"

በነገራችን ላይ ወደ የሚከፈልባቸው ጉብኝቶች አገናኞች በጣም እየሰሩ ናቸው፡-

ከስም ጋር በመረጃዎች ውስጥ ግሬይሎግ_ ከSletat.ru ስርዓት ጋር የተገናኙ እና ለደንበኞቻቸው የሚሸጡ የጉዞ ኤጀንሲዎች መግቢያ እና የይለፍ ቃል በግልፅ ጽሁፍ ውስጥ ነበሩ፡-

"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1&currencyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."

በእኔ ግምት፣ ብዙ መቶ የመግቢያ/የይለፍ ቃል ጥንዶች ታይተዋል።

በፖርታሉ ላይ ካለው የጉዞ ወኪል የግል መለያ ወኪል.sletat.ru የፓስፖርት ቁጥሮች፣ ዓለም አቀፍ ፓስፖርቶች፣ የልደት ቀናት፣ ሙሉ ስሞች፣ የስልክ ቁጥሮች እና የኢሜል አድራሻዎችን ጨምሮ የደንበኞችን መረጃ ማግኘት ተችሏል።

ለSletat.ru አገልግሎት እ.ኤ.አ. በ 15.05.2019/10/46 በ16:00 (MSK) ላይ አሳውቄያለሁ እና ከጥቂት ሰዓታት በኋላ (እስከ XNUMX:XNUMX ድረስ) ከነፃ መዳረሻቸው ጠፋ። በኋላ፣ በ Kommersant ውስጥ ለታተመው ምላሽ፣ የአገልግሎቱ አስተዳደር በመገናኛ ብዙኃን አንድ በጣም እንግዳ መግለጫ ሰጠ፡-

የኩባንያው ኃላፊ አንድሬ ቬርሺኒን እንዳብራሩት Sletat.ru በፍለጋ ሞተሩ ውስጥ የጥያቄዎች ታሪክን ለማግኘት በርካታ ዋና ዋና አጋር አስጎብኚዎችን ያቀርባል። እና DeviceLock እንደተቀበለው ገመተ፡- “ነገር ግን፣ የተጠቀሰው ዳታቤዝ የቱሪስቶችን ፓስፖርት መረጃ፣ የጉዞ ወኪል መግቢያ እና የይለፍ ቃሎችን፣ የክፍያ መረጃን ወዘተ አልያዘም። አንድሬ ቬርሺኒን Sletat.ru እስካሁን ድረስ እንደዚህ አይነት ከባድ ውንጀላዎች ምንም ማስረጃ እንዳልደረሰው ገልጿል. አሁን DeviceLockን ለማግኘት እየሞከርን ነው። ይህ ትዕዛዝ ነው ብለን እናምናለን። አንዳንድ ሰዎች ፈጣን እድገታችንን አይወዱም ”ሲል አክሏል። "

ከላይ እንደሚታየው የቱሪስቶች መግቢያ፣ የይለፍ ቃሎች እና የፓስፖርት መረጃዎች በሕዝብ ውስጥ ለረጅም ጊዜ ነበሩ (ቢያንስ ከመጋቢት 29.03.2019 ቀን XNUMX ጀምሮ የኩባንያው አገልጋይ በሾዳን የፍለጋ ሞተር በሕዝብ ጎራ ውስጥ ለመጀመሪያ ጊዜ ከተመዘገበበት ጊዜ ጀምሮ)። በእርግጥ ማንም አላገናኘንም። ቢያንስ ለጉዞ ኤጀንሲዎች ስለመፍሰሱ አሳውቀው የይለፍ ቃሎቻቸውን እንዲቀይሩ እንዳስገደዷቸው ተስፋ አደርጋለሁ።

የመረጃ ፍንጣቂዎች እና የውስጥ አዋቂ ዜናዎች ሁልጊዜ በቴሌግራም ቻናሌ ላይ ይገኛሉ"መረጃ ይፈስሳል».

ምንጭ: hab.com