Recorda jo i a casa com els detalls dels pagaments a favor de la policia de trànsit i el FSSP dels usuaris del lloc es van fer públics paymentgibdd.rf, paygibdd.ru, gos-oplata.ru, fines.net и oplata-fssp.ru?
No us rigueu, això no és cap broma: el mateix servidor amb dades del mateix sistema va tornar a estar obert a tot el món.
Bé, anem a descobrir-ho...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.En primer lloc, permeteu-me recordar-vos una mica la cronologia dels fets:
- El 12.04.2019 d'abril de XNUMX (a la nit), es va descobrir un servidor Elasticsearch que no necessitava autenticació per connectar-se.
- El 13.04.2019/XNUMX/XNUMX (matí) es va enviar una notificació als propietaris del servidor.
- El 13.04.2019 d'abril de XNUMX (a la tarda), el servidor va ser retirat "en silenci" de l'accés públic.
En el moment del primer tancament del servidor, els índexs Elasticsearch tenien aquest aspecte:
I ara el 21.05.2019/16/00 cap a les XNUMX:XNUMX (hora de Moscou), el mateix servidor Elasticsearch, amb els mateixos índexs (a més de nous) apareix de nou al domini públic:
No em podia creure els meus ulls quan el vaig veure (immediatament després de l'actuació a PHDies sobre el tema de la detecció de bases de dades obertes) a la notificació per correu del nostre . Per ser honest, el meu primer pensament va ser que es tractava d'una mena d'error del sistema.
Tanmateix, no, no va ser un error i després de comprovar-ho tot manualment, a les 01:25 del 22.05.2019 de maig de XNUMX, vaig tornar a enviar una alerta a les mateixes adreces que la primera vegada.
Des del primer tancament, Shodan va escanejar aquest servidor 11 vegades i fins al 21 de maig, Elasticsearch s'hi va tancar.
Només el matí del 24.05.2019 de maig de XNUMX, aquest Elasticsearch va desaparèixer de l'accés públic per segona vegada. Durant aquest temps, els índexs han crescut significativament:
I si observeu les dades (només informació significativa que conté dades personals dels ciutadans) als índexs del període de l'1 al 22 de maig, la imatge és la següent:
- 127,525 entrades a l'índex paygibdd
- 49,627 entrades a l'índex shtrafov-net
- 162,282 entrades a l'índex oplata-fssp
- 220,201 entrades a l'índex gosoplata
Dades d'exemple de l'índex gosoplata:
Dades d'exemple de l'índex paygibdd:
Bé, la cirereta del pastís va ser una carta d'una de les adreces a la qual vaig enviar notificacions:
Hem rebut la teva carta sobre ElasticSearch obert; gràcies per la informació, la base de dades es va tancar. L'administrador del sistema que va tornar a obrir l'accés ha estat acomiadat. El servei jurídic també s'està preparant per enviar al Ministeri de l'Interior de la República de Tatarstan una declaració sobre signes de presència en les accions de l'administrador del sistema d'elements d'acord amb els articles 272 i 273 del Codi Penal de la Federació Russa.
Les notícies sobre filtracions d'informació i persones privilegiades sempre es poden trobar al meu canal de Telegram "' .
Font: www.habr.com