Oghje avemu guardà dui casi in una volta - i dati di i clienti è i partenarii di dui cumpagnie cumplettamente diffirenti era liberamente dispunibule "grazie à" servitori Elasticsearch aperti cù logs di sistemi d'infurmazione (IS) di sti cumpagnie.
In u primu casu, si tratta di decine di millaie (è forse centinaie di millaie) di biglietti per diverse manifestazioni culturali (teatri, clubs, viaghji fluviali, etc.) venduti attraversu u sistema Radariu (www.radario.ru).
In u sicondu casu, questu hè dati nantu à i viaghji turistici di millaie (forse parechji decine di millaie) di viaghjatori chì anu compru viaghji attraversu l'agenzii di viaghju cunnessi à u sistema Sletat.ru (www.sletat.ru).
Vogliu nutà subitu chì micca solu i nomi di l'imprese chì permettenu e dati per esse publicamente dispunibuli sò diffirenti, ma ancu l'approcciu di sti cumpagnie per ricunnosce l'incidentu è a reazione dopu à questu. Ma prima cosa prima...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Casu unu. "Radariu"
A sera di 06.05.2019/XNUMX/XNUMX u nostru sistema , pusseduta da u serviziu di vendita di biglietti elettronichi Radariu.
Sicondu a tradizioni tristi digià stabilitu, u servitore cuntene logs detallati di u sistema d'infurmazione di u serviziu, da quale era pussibule di ottene dati persunali, logins d'utilizatori è password, è ancu i biglietti elettronici stessi per diversi avvenimenti in tuttu u paese.
U voluminu tutale di logs superava 1 TB.
Sicondu u mutore di ricerca Shodan, u servitore hè dispunibule publicamente da l'11.03.2019 di marzu di u 06.05.2019. Aghju notificatu l'impiegati di Radario u 22/50/07.05.2019 à 09:30 (MSK) è u XNUMX/XNUMX/XNUMX à circa XNUMX:XNUMX u servitore hè diventatu indisponibile.
I logs cuntenenu un token d'autorizazione universale (unicu), chì furnisce l'accessu à tutti i biglietti acquistati per via di ligami speciali, cum'è:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkU prublema era ancu chì per cuntà i biglietti, hè stata utilizata una numerazione cuntinua di ordini è una enumerazione simplice di u numeru di u bigliettu (XXXXXXXXX) o ordine (YYYYYYY), era pussibule acquistà tutti i biglietti da u sistema.
Per verificà a rilevanza di a basa di dati, aghju ancu onestamente compru u bigliettu più prezzu:
è dopu l'hà trovu nantu à un servitore publicu in i logs IS:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkSeparatamente, vogliu enfatizà chì i biglietti eranu dispunibuli sia per l'avvenimenti chì sò digià fattu sia per quelli chì sò sempre previsti. Vale à dì, un putenziale attaccante puderia usà u bigliettu di qualcunu altru per entra in l'avvenimentu pianificatu.
In media, ogni indice Elasticsearch chì cuntene logs per un ghjornu specificu (a partendu da u 24.01.2019/07.05.2019/25 à u 35/XNUMX/XNUMX) cuntene da XNUMX à XNUMX mila biglietti.
In più di i biglietti stessi, l'indici cuntene logins (indirizzi email) è password di testu per l'accessu à i cunti persunali di i partenarii Radario chì vendenu i biglietti per i so avvenimenti attraversu stu serviziu:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"In totale, più di 500 coppie login / password sò state rilevate. E statistiche di vendita di biglietti sò visibili in i cunti persunali di i partenarii:
Ancu publicamente dispunibuli eranu i nomi, i numeri di telefunu è l'indirizzi email di i cumpratori chì anu decisu di vultà i biglietti acquistati prima:
"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"In un ghjornu sceltu aleatoriamente, più di 500 tali records sò stati scuperti.
Aghju ricevutu una risposta à l'alerta da u direttore tecnicu di Radariu:
Sò u direttore tecnicu di Radariu è vi ringraziu per identificà u prublema. Comu sapete, avemu chjusu l'accessu à l'elasticu è risolvemu u prublema di riemissione di i biglietti per i clienti.
Un pocu dopu, a cumpagnia hà fattu una dichjarazione ufficiale:
Una vulnerabilità hè stata scuperta in u sistema di vendita di biglietti elettronichi Radario è prontamente corretta, chì puderia purtà à una fuga di dati da i clienti di u serviziu, u direttore di marketing di a cumpagnia, Kirill Malyshev, hà dettu à l'Agenzia di News di Mosca.
"Avemu scupertu veramente una vulnerabilità in l'operazione di u sistema assuciata à l'aghjurnamenti regulari, chì hè stata riparata immediatamente dopu a scuperta. In u risultatu di a vulnerabilità, in certi cundizioni, l'azzioni unfriendly di terzu pò purtà à a fuga di dati, ma ùn sò micca stati registrati incidenti. À u mumentu, tutti i difetti sò stati eliminati ", disse K. Malyshev.
Un rappresentante di a cumpagnia hà enfatizatu chì hè statu decisu di reissue tutti i biglietti venduti durante a suluzione di u prublema per eliminà cumplettamente a pussibilità di qualsiasi fraudulente contru i clienti di serviziu.
Uni pochi ghjorni dopu, aghju verificatu a dispunibilità di dati utilizendu i ligami filtrati - l'accessu à i biglietti "esposti" era veramente coperto. In u mo parè, questu hè un approcciu cumpetente è prufessiunale per risolve u prublema di fuga di dati.
Casu dui. "Fly.ru"
A prima matina 15.05.2019/XNUMX/XNUMX DeviceLock Data Breach Intelligence identificatu un servitore Elasticsearch publicu cù logs di un certu IS.
In seguitu hè statu stabilitu chì u servitore appartene à u serviziu di scelta di tour "Sletat.ru".
Da l'indice cbto__0 era pussibule ottene millaie (11,7 mila cumpresi i duplicati) di indirizzi email, è ancu qualchì infurmazione di pagamentu (costu di tour) è dati di tour (quandu, induve, dettagli di u bigliettu aereu). всех viaghjatori inclusi in u tour, etc.) in quantità di circa 1,8 mila records:
"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"Per via, i ligami per i tour pagati sò abbastanza funzionanti:
In indici cù nome greylog_ in testu chjaru eranu i logins è e password di l'agenzii di viaghju cunnessi à u sistema Sletat.ru è vende tour à i so clienti:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."Sicondu i mo stimi, parechji cintunari di coppie login / password sò stati visualizati.
Da u contu persunale di l'agenzia di viaghju nantu à u portale agent.sletat.ru era pussibule di ottene dati di i clienti, cumpresi numeri di passaportu, passaporti internaziunali, date di nascita, nomi completi, numeri di telefunu è indirizzi email.
Aghju notificatu u serviziu Sletat.ru u 15.05.2019/10/46 à 16:00 (MSK) è uni pochi d'ore dopu (finu à XNUMX:XNUMX) hè sparitu da u so accessu liberu. In seguitu, in risposta à a publicazione in Kommersant, a gestione di u serviziu hà fattu una dichjarazione assai strana attraversu i media:
U capu di a cumpagnia, Andrei Vershinin, spiegò chì Sletat.ru furnisce una quantità di operatori turistici partenarii maiò cù accessu à a storia di e dumande in u mutore di ricerca. È hà presuntu chì DeviceLock hà ricevutu: "Tuttavia, a basa di dati specificata ùn cuntene micca dati di passaportu di i turisti, login è password di l'agenzia di viaghju, infurmazione di pagamentu, etc. Andrei Vershinin hà nutatu chì Sletat.ru ùn hà ancu ricevutu alcuna evidenza di accusazioni cusì gravi. "Avemu pruvatu à cuntattà DeviceLock. Cridemu chì questu hè un ordine. Qualchidunu ùn piace micca a nostra crescita rapida ", aghjunse. "
Cum'è mostratu sopra, i logins, i password è i dati di passaportu di i turisti eranu in u duminiu publicu per un bellu pezzu (almenu da u 29.03.2019 di marzu di u XNUMX, quandu u servitore di a cumpagnia hè statu prima registratu in u duminiu publicu da u mutore di ricerca Shodan). Di sicuru, nimu ci hà cuntattatu. Spergu chì almenu anu infurmatu l'agenzii di viaghju nantu à a fuga è li furzati à cambià e so password.
Nutizie nantu à e fughe di informazioni è insiders ponu sempre esse truvate nantu à u mo canale Telegram "».
Source: www.habr.com