سننظر اليوم إلى حالتين في وقت واحد - كانت بيانات العملاء والشركاء لشركتين مختلفتين تمامًا متاحة مجانًا "بفضل" خوادم Elasticsearch المفتوحة مع سجلات أنظمة المعلومات (IS) لهذه الشركات.
في الحالة الأولى، هذه هي عشرات الآلاف (وربما مئات الآلاف) من التذاكر لمختلف الفعاليات الثقافية (المسارح والنوادي والرحلات النهرية وما إلى ذلك) المباعة من خلال نظام راداريو (www.radario.ru).
في الحالة الثانية، هذه بيانات عن الرحلات السياحية لآلاف (ربما عدة عشرات الآلاف) من المسافرين الذين اشتروا جولات من خلال وكالات السفر المرتبطة بنظام Sletat.ru (www.sletat.ru).
أود أن أشير على الفور إلى أنه لا تختلف أسماء الشركات التي سمحت بإتاحة البيانات للجمهور فحسب، بل تختلف أيضًا في نهج هذه الشركات في التعرف على الحادث ورد الفعل اللاحق عليه. لكن أول الأشياء أولاً …
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
الحالة الأولى. "راداريو"
في مساء يوم 06.05.2019/XNUMX/XNUMX نظامنا ، المملوكة لخدمة بيع التذاكر الإلكترونية Radario.
وفقًا للتقليد المحزن القائم بالفعل، يحتوي الخادم على سجلات مفصلة لنظام معلومات الخدمة، والتي كان من الممكن من خلالها الحصول على البيانات الشخصية وتسجيلات دخول المستخدم وكلمات المرور، بالإضافة إلى التذاكر الإلكترونية نفسها لمختلف الأحداث في جميع أنحاء البلاد.
تجاوز الحجم الإجمالي للسجلات 1 تيرابايت.
وفقًا لمحرك بحث Shodan، أصبح الخادم متاحًا للجمهور منذ 11.03.2019 مارس 06.05.2019. لقد قمت بإبلاغ موظفي Radario بتاريخ 22/50/07.05.2019 الساعة 09:30 (MSK) وفي XNUMX/XNUMX/XNUMX حوالي الساعة XNUMX:XNUMX أصبح الخادم غير متاح.
تحتوي السجلات على رمز ترخيص عالمي (مفرد)، مما يوفر الوصول إلى جميع التذاكر المشتراة عبر روابط خاصة، مثل:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkوكانت المشكلة أيضًا أنه لحساب التذاكر، تم استخدام الترقيم المستمر للطلبات والتعداد البسيط لرقم التذكرة (XXXXXXXX) أو أمر (YYYYYYY)، كان من الممكن الحصول على جميع التذاكر من النظام.
للتحقق من أهمية قاعدة البيانات، اشتريت لنفسي بصراحة أرخص تذكرة:
ووجدته لاحقًا على خادم عام في سجلات IS:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkبشكل منفصل، أود التأكيد على أن التذاكر كانت متاحة للأحداث التي حدثت بالفعل وتلك التي لا تزال قيد التخطيط. أي أنه يمكن للمهاجم المحتمل استخدام تذكرة شخص آخر للدخول إلى الحدث المخطط له.
في المتوسط، يحتوي كل فهرس Elasticsearch على سجلات ليوم واحد محدد (بدءًا من 24.01.2019/07.05.2019/25 إلى 35/XNUMX/XNUMX) من XNUMX إلى XNUMX ألف تذكرة.
بالإضافة إلى التذاكر نفسها، يحتوي الفهرس على معلومات تسجيل الدخول (عناوين البريد الإلكتروني) وكلمات مرور نصية للوصول إلى الحسابات الشخصية لشركاء Radario الذين يبيعون التذاكر لأحداثهم من خلال هذه الخدمة:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"في المجمل، تم اكتشاف أكثر من 500 زوج من تسجيل الدخول/كلمة المرور. تظهر إحصائيات مبيعات التذاكر في الحسابات الشخصية للشركاء:
كما كانت متاحة للجمهور أيضًا الأسماء وأرقام الهواتف وعناوين البريد الإلكتروني للمشترين الذين قرروا إعادة التذاكر التي تم شراؤها مسبقًا:
"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"وفي يوم واحد تم اختياره عشوائيًا، تم اكتشاف أكثر من 500 سجل من هذا القبيل.
وصلني الرد على التنبيه من المدير الفني لراداريو:
أنا المدير الفني لشركة Radario وأود أن أشكرك على تحديد المشكلة. كما تعلمون، لقد أغلقنا الوصول إلى المرونة ونعمل على حل مشكلة إعادة إصدار التذاكر للعملاء.
وبعد قليل أصدرت الشركة بيانًا رسميًا:
وقال كيريل ماليشيف، مدير التسويق في الشركة، لوكالة أنباء مدينة موسكو، إنه تم اكتشاف ثغرة أمنية في نظام مبيعات التذاكر الإلكترونية Radario وتم تصحيحها على الفور، مما قد يؤدي إلى تسرب البيانات من عملاء الخدمة.
"لقد اكتشفنا بالفعل ثغرة أمنية في تشغيل النظام مرتبطة بالتحديثات المنتظمة، والتي تم إصلاحها فور اكتشافها. ونتيجة لهذه الثغرة الأمنية، وفي ظل ظروف معينة، يمكن أن تؤدي الإجراءات غير الودية لأطراف ثالثة إلى تسرب البيانات، ولكن لم يتم تسجيل أي حوادث. قال ك. ماليشيف: "في الوقت الحالي، تم القضاء على جميع العيوب".
وأكد ممثل الشركة أنه تقرر إعادة إصدار جميع التذاكر المباعة خلال حل المشكلة وذلك للقضاء بشكل كامل على احتمالية حدوث أي احتيال ضد عملاء الخدمة.
وبعد بضعة أيام، قمت بالتحقق من توفر البيانات باستخدام الروابط المسربة - وتم تغطية الوصول إلى التذاكر "المكشوفة" بالفعل. في رأيي، هذا نهج مختص ومهني لحل مشكلة تسرب البيانات.
الحالة الثانية. "Fly.ru"
في الصباح الباكر بتاريخ 15.05.2019/XNUMX/XNUMX معلومات خرق بيانات DeviceLock حدد خادم Elasticsearch عامًا بسجلات IS معينة.
تبين لاحقًا أن الخادم ينتمي إلى خدمة اختيار الرحلات "Sletat.ru".
من الفهرس cbto__0 كان من الممكن الحصول على آلاف (11,7 ألفًا بما في ذلك النسخ المكررة) من عناوين البريد الإلكتروني، بالإضافة إلى بعض معلومات الدفع (تكاليف الجولة) وبيانات الجولة (متى وأين وتفاصيل تذكرة الطيران) جميع المسافرون المشمولون في الجولة، وما إلى ذلك) بمبلغ حوالي 1,8 ألف سجل:
"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"بالمناسبة، روابط الجولات المدفوعة تعمل بشكل جيد:
في الفهارس بالاسم سجل رمادي_ في نص واضح كانت هناك تسجيلات الدخول وكلمات المرور الخاصة بوكالات السفر المتصلة بنظام Sletat.ru وتبيع الجولات لعملائها:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."وفقًا لتقديراتي، تم عرض عدة مئات من أزواج تسجيل الدخول/كلمة المرور.
من الحساب الشخصي لوكالة السفر على البوابة agent.sletat.ru حيث أصبح من الممكن الحصول على بيانات العملاء، بما في ذلك أرقام جوازات السفر وجوازات السفر الدولية وتواريخ الميلاد والأسماء الكاملة وأرقام الهواتف وعناوين البريد الإلكتروني.
لقد أبلغت خدمة Sletat.ru بتاريخ 15.05.2019/10/46 الساعة 16:00 (بتوقيت موسكو) وبعد بضع ساعات (حتى الساعة XNUMX:XNUMX) اختفت من الوصول المجاني الخاص بهم. وفي وقت لاحق، ردًا على ما نشرته صحيفة كوميرسانت، أصدرت إدارة الخدمة بيانًا غريبًا للغاية عبر وسائل الإعلام:
وأوضح رئيس الشركة، أندريه فيرشينين، أن موقع Sletat.ru يوفر لعدد من منظمي الرحلات السياحية الشريكين الرئيسيين إمكانية الوصول إلى سجل الاستعلامات في محرك البحث. وافترض أن DeviceLock استلمها: "ومع ذلك، فإن قاعدة البيانات المحددة لا تحتوي على بيانات جواز سفر السائحين، وتسجيلات الدخول وكلمات المرور الخاصة بوكالات السفر، ومعلومات الدفع، وما إلى ذلك." وأشار أندريه فيرشينين إلى أن موقع Sletat.ru لم يتلق بعد أي دليل على مثل هذه الاتهامات الخطيرة. "نحن نحاول الآن الاتصال بـ DeviceLock. نعتقد أن هذا أمر. وأضاف أن بعض الناس لا يحبون نمونا السريع. "
كما هو موضح أعلاه، كانت تسجيلات الدخول وكلمات المرور وبيانات جوازات السفر للسياح في المجال العام لفترة طويلة (على الأقل منذ 29.03.2019 مارس XNUMX، عندما تم تسجيل خادم الشركة لأول مرة في المجال العام بواسطة محرك بحث Shodan). وبطبيعة الحال، لم يتصل بنا أحد. آمل أن يقوموا على الأقل بإخطار وكالات السفر بشأن التسريب وإجبارهم على تغيير كلمات المرور الخاصة بهم.
أخبار حول تسرب المعلومات والمطلعين يمكن العثور عليها دائمًا على قناتي على Telegram "".
المصدر: www.habr.com