Karon atong tan-awon ang duha ka mga kaso sa usa ka higayon - ang datos sa mga kliyente ug mga kasosyo sa duha ka hingpit nga lainlain nga mga kompanya libre nga magamit "salamat sa" bukas nga mga server sa Elasticsearch nga adunay mga log sa mga sistema sa impormasyon (IS) sa kini nga mga kompanya.
Sa una nga kaso, kini napulo ka libo (ug tingali gatusan ka libo) nga mga tiket alang sa lainlaing mga kalihokan sa kultura (mga teatro, club, pagbiyahe sa suba, ug uban pa) nga gibaligya pinaagi sa sistema sa Radario (www.radario.ru).
Sa ikaduha nga kaso, kini ang datos sa mga pagbiyahe sa turista sa liboan (tingali pipila ka napulo ka libo) sa mga magpapanaw nga mipalit og mga tour pinaagi sa mga ahensya sa pagbiyahe nga konektado sa sistema sa Sletat.ru (www.sletat.ru).
Gusto nako nga timan-an dayon nga dili lamang ang mga ngalan sa mga kompanya nga nagtugot sa datos nga mahimong magamit sa publiko lahi, apan usab ang pamaagi sa kini nga mga kompanya sa pag-ila sa insidente ug ang sunod nga reaksyon niini. Apan una sa tananβ¦
ΠΠΈΡΠΊΠ»Π΅ΠΉΠΌΠ΅Ρ: Π²ΡΡ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ Π½ΠΈΠΆΠ΅ ΠΏΡΠ±Π»ΠΈΠΊΡΠ΅ΡΡΡ ΠΈΡΠΊΠ»ΡΡΠΈΡΠ΅Π»ΡΠ½ΠΎ Π² ΠΎΠ±ΡΠ°Π·ΠΎΠ²Π°ΡΠ΅Π»ΡΠ½ΡΡ
ΡΠ΅Π»ΡΡ
. ΠΠ²ΡΠΎΡ Π½Π΅ ΠΏΠΎΠ»ΡΡΠ°Π» Π΄ΠΎΡΡΡΠΏΠ° ΠΊ ΠΏΠ΅ΡΡΠΎΠ½Π°Π»ΡΠ½ΡΠΌ Π΄Π°Π½Π½ΡΠΌ ΡΡΠ΅ΡΡΠΈΡ
Π»ΠΈΡ ΠΈ ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΉ. ΠΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ Π²Π·ΡΡΠ° Π»ΠΈΠ±ΠΎ ΠΈΠ· ΠΎΡΠΊΡΡΡΡΡ
ΠΈΡΡΠΎΡΠ½ΠΈΠΊΠΎΠ², Π»ΠΈΠ±ΠΎ Π±ΡΠ»Π° ΠΏΡΠ΅Π΄ΠΎΡΡΠ°Π²Π»Π΅Π½Π° Π°Π²ΡΠΎΡΡ Π°Π½ΠΎΠ½ΠΈΠΌΠ½ΡΠΌΠΈ Π΄ΠΎΠ±ΡΠΎΠΆΠ΅Π»Π°ΡΠ΅Π»ΡΠΌΠΈ.
Kaso usa. "Radario"
Sa gabii sa 06.05.2019/XNUMX/XNUMX among sistema , nga gipanag-iya sa electronic ticket sales service Radario.
Sumala sa natukod na nga makapasubo nga tradisyon, ang server naglangkob sa detalyado nga mga log sa sistema sa impormasyon sa serbisyo, diin posible nga makakuha og personal nga datos, mga login sa user ug mga password, ingon man ang mga electronic ticket mismo alang sa nagkalain-laing mga panghitabo sa tibuok nasud.
Ang kinatibuk-ang gidaghanon sa mga troso milapas sa 1 TB.
Sumala sa search engine sa Shodan, ang server magamit sa publiko sukad Marso 11.03.2019, 06.05.2019. Gipahibalo nako ang mga empleyado sa Radario sa 22/50/07.05.2019 sa 09:30 (MSK) ug sa XNUMX/XNUMX/XNUMX sa mga XNUMX:XNUMX ang server nahimong dili magamit.
Ang mga log adunay usa ka unibersal (single) nga awtorisasyon nga token, nga naghatag access sa tanan nga gipalit nga mga tiket pinaagi sa mga espesyal nga link, sama sa:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkAng problema mao usab nga sa pag-asoy sa mga tiket, ang padayon nga pag-numero sa mga order gigamit ug yano nga pag-ihap sa numero sa tiket (XXXXXXXXX) o order (YYYYYYY), posible nga makuha ang tanan nga mga tiket gikan sa sistema.
Aron masusi ang kalambigitan sa database, matinud-anon ko nga gipalit ang akong kaugalingon sa labing barato nga tiket:
ug sa ulahi nakit-an kini sa usa ka publiko nga server sa mga log sa IS:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkSa tinuud, gusto nako ipasabut nga ang mga tiket magamit alang sa mga panghitabo nga nahitabo na ug alang sa mga giplano pa. Kana mao, ang usa ka potensyal nga tig-atake mahimong mogamit sa tiket sa laing tawo aron makasulod sa giplano nga panghitabo.
Sa kasagaran, ang matag indeks sa Elasticsearch nga adunay mga log alang sa usa ka piho nga adlaw (sugod sa 24.01.2019/07.05.2019/25 hangtod 35/XNUMX/XNUMX) adunay gikan sa XNUMX hangtod XNUMX ka libo nga mga tiket.
Dugang pa sa mga tiket mismo, ang index adunay mga logins (mga email address) ug mga text password alang sa pag-access sa personal nga mga account sa mga kauban sa Radario nga nagbaligya og mga tiket sa ilang mga panghitabo pinaagi niini nga serbisyo:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"Sa kinatibuk-an, labaw pa sa 500 nga mga pares sa pag-login/password ang nakit-an. Ang mga istatistika sa pagbaligya sa tiket makita sa mga personal nga account sa mga kauban:
Anaa usab sa publiko ang mga ngalan, numero sa telepono ug email address sa mga pumapalit nga nakahukom nga ibalik ang napalit nga mga tiket:
"Content": "{"name":"***","surname":"*** ","middleName":"ΠΠ²Π³Π΅Π½ΡΠ΅Π²Π½Π° ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"Sa usa ka random nga gipili nga adlaw, kapin sa 500 ka ingon nga mga rekord ang nadiskobrehan.
Nakadawat ko og tubag sa alerto gikan sa technical director sa Radario:
Ako ang teknikal nga direktor sa Radario ug gusto nga magpasalamat kanimo sa pag-ila sa problema. Sama sa imong nahibal-an, gisirado namon ang pag-access sa pagkamaunat ug gisulbad ang isyu sa pag-isyu pag-usab og mga tiket alang sa mga kliyente.
Wala madugay ang kompanya mihimo usa ka opisyal nga pahayag:
Nadiskobrehan ang usa ka kahuyang sa sistema sa pagbaligya sa elektronik nga tiket sa Radario ug gitul-id dayon, nga mahimong mosangpot sa usa ka pagtulo sa datos gikan sa mga kliyente sa serbisyo, ang direktor sa marketing sa kompanya, si Kirill Malyshev, misulti sa Moscow City News Agency.
"Nadiskobrehan gyud namo ang usa ka kahuyang sa operasyon sa sistema nga may kalabutan sa mga regular nga pag-update, nga giayo dayon human sa pagkadiskobre. Isip resulta sa pagkahuyang, ubos sa pipila ka mga kondisyon, ang dili mahigalaon nga mga aksyon sa mga ikatulo nga partido mahimong mosangpot sa pagtagas sa datos, apan walay mga insidente nga natala. Sa pagkakaron, ang tanang kasaypanan nawagtang na,β matod ni K. Malyshev.
Gipasiugda sa usa ka representante sa kompanya nga nakahukom nga i-reissue ang tanan nga mga tiket nga gibaligya sa panahon sa solusyon sa problema aron hingpit nga mapapas ang posibilidad sa bisan unsang pagpanglimbong batok sa mga kliyente sa serbisyo.
Paglabay sa pipila ka adlaw, gisusi nako ang pagkaanaa sa datos gamit ang mga leaked link - ang pag-access sa mga "nabutyag" nga mga tiket sa tinuud nasakup. Sa akong opinyon, kini usa ka takos, propesyonal nga pamaagi sa pagsulbad sa problema sa data leakage.
Kaso duha. "Fly.ru"
Sayo sa buntag 15.05.2019/XNUMX/XNUMX Paglapas sa Data sa DeviceLock Intelligence nagpaila sa usa ka publiko nga Elasticsearch server nga adunay mga troso sa usa ka IS.
Sa ulahi natukod nga ang server nahisakop sa serbisyo sa pagpili sa tour nga "Sletat.ru".
Gikan sa index cbto__0 posible nga makakuha og liboan (11,7 ka libo lakip ang mga duplicate) sa mga email address, ingon man usab sa pipila ka impormasyon sa pagbayad (mga gasto sa tour) ug tour data (kanus-a, diin, mga detalye sa tiket sa hangin sa tanan mga biyahero nga gilakip sa paglibot, ug uban pa) sa kantidad nga mga 1,8 ka libo nga mga rekord:
"full_message": "ΠΠΎΠ»ΡΡΠ΅Π½ Π·Π°ΠΏΡΠΎΡ Π·Π° ΡΠΎΠ·Π΄Π°Π½ΠΈΠ΅ ΠΏΠ»Π°ΡΠ΅ΠΆΠ½ΠΎΠ³ΠΎ ΡΡΠ΅Π΄ΡΡΠ²Π°: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"Pinaagi sa dalan, ang mga link sa bayad nga mga pagbiyahe maayo kaayo:
Sa mga indeks nga adunay ngalan graylog_ sa tin-aw nga teksto mao ang mga login ug password sa mga ahensya sa pagbiyahe nga konektado sa sistema sa Sletat.ru ug pagbaligya sa mga paglibot sa ilang mga kliyente:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."Sumala sa akong mga banabana, pipila ka gatos nga mga pares sa pag-login/password ang gipakita.
Gikan sa personal nga account sa travel agency sa portal agent.sletat.ru posible nga makakuha og data sa kustomer, lakip ang mga numero sa pasaporte, internasyonal nga pasaporte, petsa sa pagkatawo, kompletong mga ngalan, numero sa telepono ug mga adres sa email.
Gipahibalo nako ang serbisyo sa Sletat.ru kaniadtong 15.05.2019/10/46 sa 16:00 (MSK) ug pipila ka oras ang milabay (hangtod sa XNUMX:XNUMX) nawala kini sa ilang libre nga pag-access. Sa ulahi, agig tubag sa publikasyon sa Kommersant, ang pagdumala sa serbisyo naghimo usa ka katingad-an nga pahayag pinaagi sa media:
Ang pangulo sa kompanya, si Andrei Vershinin, mipasabut nga ang Sletat.ru naghatag sa daghang mga mayor nga partner tour operators nga adunay access sa kasaysayan sa mga pangutana sa search engine. Ug gihunahuna niya nga nadawat kini sa DeviceLock: "Bisan pa, ang gipiho nga database walaβy sulud nga datos sa pasaporte sa mga turista, mga login ug password sa ahensya sa pagbiyahe, impormasyon sa pagbayad, ug uban pa." Namatikdan ni Andrei Vershinin nga ang Sletat.ru wala pa makadawat bisan unsang ebidensya sa ingon ka grabe nga mga akusasyon. "Kami karon naningkamot sa pagkontak sa DeviceLock. Kami nagtuo nga kini usa ka mando. Ang ubang mga tawo dili ganahan sa among paspas nga pagtubo, βdugang niya. "
Sama sa gipakita sa ibabaw, ang mga login, password, ug data sa pasaporte sa mga turista naa sa pampublikong domain sa dugay nga panahon (labing menos sukad sa Marso 29.03.2019, XNUMX, sa dihang ang server sa kompanya unang natala sa pampublikong domain sa Shodan search engine). Siyempre, walay mikontak kanamo. Nanghinaut ko nga labing menos gipahibalo nila ang mga ahensya sa pagbiyahe bahin sa pagtulo ug gipugos sila nga usbon ang ilang mga password.
Ang mga balita bahin sa mga pagtulo sa impormasyon ug mga insider kanunay nga makit-an sa akong Telegram channel "".
Source: www.habr.com