Bu gün biz bir anda iki işə baxacağıq - iki tamamilə fərqli şirkətin müştəriləri və tərəfdaşlarının məlumatları bu şirkətlərin məlumat sistemlərinin (İS) qeydləri olan açıq Elasticsearch serverləri "sayəsində" sərbəst şəkildə əldə edilə bilər.
Birinci halda, bunlar Radario sistemi (www.radario.ru).
İkinci halda, bu, Sletat.ru sisteminə qoşulmuş turizm agentlikləri vasitəsilə turlar almış minlərlə (bəlkə də bir neçə on minlərlə) səyahətçinin turist səfərləri haqqında məlumatdır (www.sletat.ru).
Dərhal qeyd etmək istərdim ki, təkcə məlumatların ictimaiyyətə açıqlanmasına imkan verən şirkətlərin adları deyil, həm də bu şirkətlərin hadisəni tanımağa yanaşması və ona sonrakı reaksiyası da fərqlənir. Amma hər şeydən əvvəl...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Birinci hal. "Radario"
06.05.2019/XNUMX/XNUMX tarixində axşam sistemimiz , elektron bilet satışı xidməti Radario-ya məxsusdur.
Artıq qurulmuş kədərli ənənəyə görə, serverdə xidmətin məlumat sisteminin müfəssəl jurnalları var idi, onlardan şəxsi məlumatları, istifadəçi loqinlərini və şifrələrini, habelə ölkə daxilində müxtəlif tədbirlər üçün elektron biletləri əldə etmək mümkün idi.
Qeydlərin ümumi həcmi 1 TB-i ötüb.
Shodan axtarış sisteminə görə, server 11.03.2019 mart 06.05.2019-cu ildən ictimaiyyətə açıqdır. 22/50/07.05.2019-cu il tarixində saat 09:30-də (MSK) Radario işçilərinə xəbər verdim və XNUMX/XNUMX/XNUMX tarixində saat XNUMX:XNUMX radələrində server əlçatmaz oldu.
Qeydlərdə universal (tək) icazə nişanı var idi ki, bu da bütün alınmış biletlərə xüsusi keçidlər vasitəsilə girişi təmin edir, məsələn:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkProblem həm də ondan ibarət idi ki, biletləri uçota almaq üçün sifarişlərin davamlı nömrələnməsindən və bilet nömrəsinin sadə sadalanmasından istifadə olunurdu (XXXXXXXXX) və ya sifariş (YYYYYYY), bütün biletləri sistemdən əldə etmək mümkün idi.
Verilənlər bazasının aktuallığını yoxlamaq üçün hətta vicdanla özümə ən ucuz bilet aldım:
və sonra onu IS qeydlərində ictimai serverdə tapdı:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkAyrı-ayrılıqda qeyd etmək istərdim ki, biletlər həm artıq baş vermiş, həm də hələ planlaşdırılan tədbirlər üçün mövcud idi. Yəni, potensial təcavüzkar planlaşdırılan tədbirə daxil olmaq üçün başqasının biletindən istifadə edə bilər.
Orta hesabla, bir xüsusi gün üçün (24.01.2019-dan 07.05.2019-a qədər) qeydləri ehtiva edən hər bir Elasticsearch indeksi 25 ilə 35 min biletdən ibarət idi.
Biletlərin özündən əlavə, indeksdə bu xidmət vasitəsilə tədbirlərinə bilet satan Radario tərəfdaşlarının şəxsi hesablarına daxil olmaq üçün girişlər (e-poçt ünvanları) və mətn parolları var:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"Ümumilikdə 500-dən çox giriş/parol cütü aşkar edilib. Bilet satış statistikası tərəfdaşların şəxsi hesablarında görünür:
Daha əvvəl alınmış biletləri qaytarmaq qərarına gələn alıcıların adları, telefon nömrələri və e-poçt ünvanları da ictimaiyyətə açıq idi:
"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"Təsadüfi seçilmiş bir gündə 500-dən çox belə qeyd aşkar edildi.
Radario-nun texniki direktorundan xəbərdarlığa cavab aldım:
Mən Radario-nun texniki direktoruyam və problemi müəyyən etdiyiniz üçün sizə təşəkkür etmək istəyirəm. Bildiyiniz kimi, biz elastikliyə girişi bağlamışıq və müştərilər üçün biletlərin yenidən buraxılması məsələsini həll edirik.
Bir qədər sonra şirkət rəsmi açıqlama verdi:
Şirkətin marketinq direktoru Kirill Malışev Moskva Şəhər İnformasiya Agentliyinə bildirib ki, Radario elektron bilet satışı sistemində boşluq aşkar edilib və operativ şəkildə aradan qaldırılıb ki, bu da xidmətin müştərilərindən məlumatların sızmasına səbəb ola bilər.
“Biz faktiki olaraq sistem əməliyyatında müntəzəm yeniləmələrlə əlaqəli bir boşluq aşkar etdik və aşkar edildikdən dərhal sonra aradan qaldırıldı. Zəiflik nəticəsində müəyyən şərtlər altında üçüncü tərəflərin qeyri-dost hərəkətləri məlumatların sızmasına səbəb ola bilər, lakin heç bir insident qeydə alınmayıb. Hazırda bütün nasazlıqlar aradan qaldırılıb”, - deyə K.Malışev bildirib.
Şirkət nümayəndəsi vurğuladı ki, xidmət müştərilərinə qarşı hər hansı saxtakarlıq ehtimalını tamamilə aradan qaldırmaq üçün problemin həlli zamanı satılan bütün biletlərin yenidən buraxılmasına qərar verilib.
Bir neçə gündən sonra mən sızan bağlantılardan istifadə edərək məlumatların mövcudluğunu yoxladım - "məşhur" biletlərə giriş həqiqətən də əhatə olundu. Məncə, bu, məlumat sızması problemini həll etmək üçün səlahiyyətli, peşəkar bir yanaşmadır.
İkinci hal. "Fly.ru"
Səhər tezdən 15.05.2019 DeviceLock Data Broach Intelligence müəyyən İS-nin qeydləri ilə ictimai Elasticsearch serverini müəyyən etdi.
Sonradan məlum oldu ki, server “Sletat.ru” tur seçim xidmətinə məxsusdur.
İndeksdən cbto__0 minlərlə (dublikat daxil olmaqla 11,7 min) e-poçt ünvanlarını, həmçinin bəzi ödəniş məlumatlarını (tur xərcləri) və tur məlumatlarını (nə vaxt, harada, aviabilet təfərrüatları) əldə etmək mümkün olmuşdur. Bütün tura daxil olan səyahətçilər və s.) təxminən 1,8 min qeyd məbləğində:
"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"Yeri gəlmişkən, ödənişli turlara keçidlər olduqca işləyir:
Adı olan indekslərdə greylog_ aydın mətndə Sletat.ru sisteminə qoşulan və müştərilərinə turlar satan turizm agentliklərinin giriş və şifrələri var idi:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."Təxminlərimə görə, bir neçə yüz giriş/parol cütü göstərildi.
Səyahət agentliyinin portaldakı şəxsi hesabından agent.sletat.ru pasport nömrələri, beynəlxalq pasportlar, doğum tarixləri, tam adlar, telefon nömrələri və e-poçt ünvanları daxil olmaqla müştəri məlumatlarını əldə etmək mümkün olmuşdur.
Sletat.ru xidmətinə 15.05.2019/10/46-cu il tarixində saat 16:00-da (MSK) xəbər verdim və bir neçə saat sonra (saat XNUMX:XNUMX-a qədər) onların pulsuz girişindən itdi. Daha sonra “Kommersant”da dərc edilən yazıya cavab olaraq xidmətin rəhbərliyi media vasitəsilə çox qəribə bir açıqlama verdi:
Şirkətin rəhbəri Andrey Verşinin izah edib ki, Sletat.ru bir sıra əsas tərəfdaş turoperatorlara axtarış sistemində sorğuların tarixinə giriş imkanı verir. Və o, DeviceLock-un bunu aldığını güman etdi: "Lakin göstərilən məlumat bazasında turistlərin pasport məlumatları, turizm agentliyinin giriş və şifrələri, ödəniş məlumatları və s. yoxdur." Andrey Verşinin qeyd edib ki, Sletat.ru hələlik belə ciddi ittihamlarla bağlı heç bir sübut əldə etməyib. “Biz indi DeviceLock ilə əlaqə saxlamağa çalışırıq. Biz inanırıq ki, bu, sifarişdir. Bəziləri bizim sürətli inkişafımızı bəyənmir”, o əlavə edib. "
Yuxarıda göstərildiyi kimi, turistlərin loqinləri, parolları və pasport məlumatları kifayət qədər uzun müddət ictimai mülkiyyətdə idi (ən azı 29.03.2019 mart XNUMX-cu ildən, şirkətin serveri Shodan axtarış motoru tərəfindən ictimai domendə ilk dəfə qeydə alındıqdan sonra). Təbii ki, heç kim bizimlə əlaqə saxlamayıb. Ümid edirəm ki, onlar heç olmasa səyahət agentliklərinə sızma barədə məlumat verib, parollarını dəyişməyə məcbur ediblər.
İnformasiya sızması və insayderlər haqqında xəbərləri həmişə mənim Telegram kanalımda tapa bilərsiniz ".
Mənbə: www.habr.com