Сёння разгледзім адразу два кейсы – дадзеныя кліентаў і партнёраў двух зусім розных кампаній апынуліся ў вольным доступе "дзякуючы" адкрытым серверам Elasticsearch з логамі інфармацыйных сістэм (ІС) гэтых кампаній.
У першым выпадку - гэта дзясяткі тысяч (а можа і сотні тысяч) квіткоў на розныя культурныя мерапрыемствы (тэатры, клубы, рачныя прагулкі і да т.п.) прадаваныя праз сістэму «Радарыё» (www.radario.ru).
У другім выпадку - гэта дадзеныя аб турыстычных паездках тысяч (магчыма некалькіх дзясяткаў тысяч) падарожнікаў, якія набылі туры праз турагенцтвы, падлучаныя да сістэмы «Злётаць.ру»www.sletat.ru).
Адразу адзначу, што адрозніваюцца не толькі назвы кампаній, якія дапусцілі трапленне дадзеных у адкрыты доступ, але і падыход гэтых кампаній да прызнання інцыдэнту і наступная рэакцыя на яго. Але пра ўсё па парадку...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Выпадак першы. «Радарыё»
Увечары 06.05.2019 наша сістэма , які належыць сэрвісу па продажы электронных білетаў «Радарыё».
Па ўжо сумнай традыцыі, сервер утрымліваў дэталёвыя логі інфармацыйнай сістэмы сэрвісу, з якіх можна было атрымаць персанальныя дадзеныя, лагіны і паролі карыстальнікаў, а таксама непасрэдна самі электронныя білеты на розныя мерапрыемствы па ўсёй краіне.
Агульны аб'ём логаў перавышаў 1 Тб.
Па дадзеных пошукавіка Shodan сервер знаходзіўся ў адчыненым доступе з 11.03.2019. Я апавясціў супрацоўнікаў «Радарыё» 06.05.2019 у 22:50 (МСК) і 07.05.2019 каля 09:30 сервер стаў недаступны.
У логах знаходзіўся ўніверсальны (адзіны) токен аўтарызацыі, які прадстаўляе доступ да ўсіх набытых квіткоў па адмысловых спасылках, выгляду:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkПраблема таксама заключалася ў тым, што для ўліку білетаў выкарыстоўвалася скразная нумарацыя заказаў і простым пераборам нумара білета.XXXXXXXX) або замовы (ГГГГГГГ), можна было атрымаць усе квіткі з сістэмы.
Для праверкі актуальнасці базы я нават сапраўды купіў сабе самы танны квіток:
і пазней выявіў яго на агульнадаступным серверы ў логах ІС:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkАсобна хочацца падкрэсліць, што былі даступны білеты як на мерапрыемствы, якія ўжо прайшлі, так і на тыя, якія яшчэ толькі плануюцца. Гэта значыць, патэнцыйны зламыснік мог скарыстацца чужым білетам для праходу на запланаванае мерапрыемства.
У сярэднім у кожным індэксе Elasticsearch, які змяшчае логі за адзін пэўны дзень (пачынаючы з 24.01.2019 і па 07.05.2019), знаходзілася ад 25 да 35 тыс. білетаў.
Апроч саміх квіткоў у індэксе змяшчаліся лагіны (адрасы электроннай пошты) і тэкставыя паролі для доступу ў асабістыя кабінеты партнёраў «Радарыа», якія прадаюць квіткі на свае мерапрыемствы праз дадзены сэрвіс:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"Усяго было знойдзена больш за 500 пар лагін/пароль. У асабістых кабінетах партнёраў бачная статыстыка продажаў білетаў:
Таксама ў адкрытым доступе знаходзіліся Прозвішча, імя, тэлефоны і адрасы электроннай пошты пакупнікоў, якія вырашылі ажыццявіць вяртанне, набытых раней білетаў:
"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"За адзін, выпадкова абраны дзень, было знойдзена больш за 500 такіх запісаў.
Я атрымаў адказ на апавяшчэнне ад тэхнічнага дырэктара «Радарыё»:
Я тэхнічны дырэктар Радарыё, і хацеў бы падзякаваць за выяўленне праблемы. Доступ да эластыка, як вам вядома, мы закрылі і вырашаем пытанне з перавыпускам квіткоў для кліентаў.
А крыху пазней кампанія зрабіла афіцыйную заяву:
У электроннай сістэме продажу квіткоў Radario была выяўленая і своечасова ўхіленая ўразлівасць, якая магла прывесці да ўцечкі дадзеных кліентаў сэрвісу, паведаміў Агенцтву гарадскіх навін «Масква» дырэктар па маркетынгу кампаніі Кірыл Малышаў.
«Намі сапраўды была выяўленая ўразлівасць у працы сістэмы, звязаная з рэгулярным абнаўленнем, якая была ўхіленая адразу ж пасля выяўлення. У выніку ўразлівасці пры пэўных умовах непрыязныя дзеянні трэціх асоб маглі прывесці да ўцечкі звестак, аднак якіх-небудзь інцыдэнтаў зафіксавана не было. У дадзены момант усе няспраўнасці ўхіленыя», - паведаміў К.Малышаў.
Прадстаўнік кампаніі падкрэсліў, што было прынята рашэнне перавыпусціць усе білеты, прададзеныя за час вырашэння праблемы, каб поўнасцю выключыць магчымасць любога махлярства ў адносінах да кліентаў сэрвісу.
Праз некалькі дзён я праверыў даступнасць дадзеных па збеглых спасылках – доступ да «засвечаных» квіткоў сапраўды быў прычынены. На мой погляд гэта пісьменны, прафесійны падыход да рашэння праблемы ўцечкі дадзеных.
Выпадак другі. «Злётаць.ру»
Раніцай 15.05.2019 DeviceLock Data Breach Intelligence выявіў агульнадаступны сервер Elasticsearch з логамі нейкай ІС.
Пазней было ўстаноўлена, што сервер належыць сэрвісу па падборы тураў "Злётаць.ру".
З індэкса cbto__0 можна было атрымаць тысячы (11,7 тыс. уключаючы дублі) адрасоў электроннай пошты, а таксама некаторую аплатную інфармацыю (кошт тураў) і дадзеныя тур паездак (калі, куды, дадзеныя авіябілетаў ўсіх упісаных у тур падарожнікаў і да т.п.) у колькасці каля 1,8 тыс. запісаў:
"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"Дарэчы сказаць, лінкі на аплачаныя туры суцэль працоўныя:
У індэксах з імем graylog_ у адкрытым выглядзе знаходзіліся лагіны і паролі турагенцтваў, падлучаных да сістэмы «Злётаць.ру» і якія прадаюць туры сваім кліентам:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."Па маіх прыкідках засвяцілася некалькі сотняў пар лагін/пароль.
З асабістага кабінета турагенцтва на партале agent.sletat.ru можна было атрымаць дадзеныя кліентаў, уключаючы нумары пашпартоў, замежпаспартаў, даты нараджэння, Прозвішча, імя, тэлефоны і адрасы электроннай пошты.
Я апавясціў сэрвіс «Злётаць.ру» 15.05.2019 у 10:46 (МСК) і праз некалькі гадзін (да 16:00) ён знік іх свабоднага доступу. Пазней у адказ на публікацыю ў Камерсанце, кіраўніцтва сэрвісу зрабіла вельмі дзіўную заяву праз СМІ:
Кіраўнік кампаніі Андрэй Вяршынін растлумачыў, што "Злётаць.ру" падае шэрагу найбуйнейшых тураператараў-партнёраў доступ да гісторыі запытаў у пошукавай сістэме. І выказаў здагадку, што DeviceLock атрымала яго: "Аднак у названай базе няма пашпартных дадзеных турыстаў, лагінаў і пароляў турагенцтваў, аплатных дадзеных і т. д.". Андрэй Вяршынін адзначыў, што ніякіх доказаў такіх сур'ёзных абвінавачванняў «Злётаць.ру» да гэтага часу не атрымала. «Цяпер спрабуем звязацца з кампаніяй DeviceLock. Мяркуем, што гэта заказуха. Камусьці не падабаецца наш імклівы рост», - дадаў ён. «
Як паказана вышэй і лагіны, і паролі, і пашпартныя дадзеныя турыстаў знаходзіліся ў вольным доступе дастаткова працяглы час (як мінімум з 29.03.2019, калі сервер кампаніі ўпершыню быў зафіксаваны ў адкрытым доступе пошукавікам Shodan). Зразумела, з намі ніхто не злучаўся. Спадзяюся, што, хаця б турагенцтвы яны апавясцілі аб уцечцы і прымусілі іх змяніць паролі.
Навіны пра ўцечкі інфармацыі і інсайдэраў заўсёды можна знайсці на маім Telegram-канале.
Крыніца: habr.com