Dnes se podíváme na dva případy najednou – data klientů a partnerů dvou zcela odlišných společností byla volně dostupná „díky“ otevřeným Elasticsearch serverům s logy informačních systémů (IS) těchto společností.
V prvním případě se jedná o desítky tisíc (a možná i statisíce) vstupenek na různé kulturní akce (divadla, kluby, výlety po řekách atd.) prodávaných prostřednictvím systému Radario (www.radario.ru).
V druhém případě se jedná o údaje o turistických zájezdech tisíců (možná několika desítek tisíc) cestovatelů, kteří si zájezdy zakoupili přes cestovní kanceláře napojené na systém Sletat.ru (www.sletat.ru).
Hned bych chtěl poznamenat, že se liší nejen jména společností, které umožnily zveřejnění dat, ale také přístup těchto společností k rozpoznání incidentu a následné reakci na něj. Ale nejdřív…
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Případ jedna. "radio"
Večer 06.05.2019 náš systém , kterou vlastní elektronická služba prodeje vstupenek Radario.
Podle již zavedené smutné tradice server obsahoval podrobné logy informačního systému služby, ze kterých bylo možné získávat osobní údaje, uživatelská jména a hesla, ale i samotné elektronické vstupenky na různé akce po celé republice.
Celkový objem protokolů přesáhl 1 TB.
Podle vyhledávače Shodan je server veřejně dostupný od 11.03.2019. března 06.05.2019. Informoval jsem zaměstnance společnosti Radario dne 22 ve 50:07.05.2019 (MSK) a dne 09 asi v 30:XNUMX byl server nedostupný.
Protokoly obsahovaly univerzální (jediný) autorizační token, který umožňoval přístup ke všem zakoupeným tiketům prostřednictvím speciálních odkazů, jako jsou:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkProblém byl také v tom, že pro zaúčtování tiketů se používalo průběžné číslování objednávek a jednoduché vyčíslení čísla tiketu (XXXXXXXX) nebo objednat (YYYYYYY), bylo možné získat všechny vstupenky ze systému.
Abych si ověřil relevanci databáze, dokonce jsem si poctivě koupil nejlevnější letenku:
a později to našel na veřejném serveru v protokolech IS:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkSamostatně bych rád zdůraznil, že vstupenky byly k dispozici jak na akce, které již proběhly, tak na ty, které se teprve plánují. To znamená, že potenciální útočník by mohl ke vstupu na plánovanou událost použít něčí tiket.
V průměru každý index Elasticsearch obsahující protokoly pro jeden konkrétní den (od 24.01.2019. 07.05.2019. 25 do 35. XNUMX. XNUMX) obsahoval XNUMX až XNUMX tisíc tiketů.
Kromě samotných vstupenek index obsahoval přihlašovací údaje (e-mailové adresy) a textová hesla pro přístup k osobním účtům partnerů společnosti Radario, kteří prostřednictvím této služby prodávají vstupenky na své akce:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"Celkem bylo zjištěno více než 500 párů login/heslo. Statistiky prodeje vstupenek jsou viditelné v osobních účtech partnerů:
Veřejně dostupná byla také jména, telefonní čísla a e-mailové adresy kupujících, kteří se rozhodli vrátit dříve zakoupené vstupenky:
"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"Za jeden náhodně vybraný den bylo objeveno více než 500 takových záznamů.
Obdržel jsem odpověď na upozornění od technického ředitele společnosti Radario:
Jsem technický ředitel společnosti Radario a rád bych vám poděkoval za identifikaci problému. Jak víte, uzavřeli jsme přístup do elastiku a řešíme otázku opětovného vydávání vstupenek pro klienty.
O něco později společnost vydala oficiální prohlášení:
V elektronickém systému prodeje vstupenek Radario byla objevena zranitelnost a okamžitě opravena, což by mohlo vést k úniku dat od klientů služby, řekl marketingový ředitel společnosti Kirill Malyshev agentuře Moscow City News Agency.
„Ve skutečnosti jsme objevili zranitelnost v provozu systému související s pravidelnými aktualizacemi, která byla opravena ihned po zjištění. V důsledku zranitelnosti by za určitých podmínek mohlo nepřátelské jednání třetích stran vést k úniku dat, nebyly však zaznamenány žádné incidenty. V tuto chvíli jsou všechny závady odstraněny,“ uvedl K. Malyshev.
Zástupce společnosti zdůraznil, že bylo rozhodnuto v průběhu řešení problému znovu vydat všechny prodané vstupenky, aby se zcela vyloučila možnost jakéhokoli podvodu vůči klientům služeb.
O několik dní později jsem zkontroloval dostupnost dat pomocí uniklých odkazů - přístup k „odhaleným“ lístkům byl skutečně pokryt. Podle mého názoru se jedná o kompetentní, profesionální přístup k řešení problému úniku dat.
Případ dva. "Fly.ru"
Brzy ráno 15.05.2019 DeviceLock Data Breach Intelligence identifikoval veřejný Elasticsearch server s protokoly určitého IS.
Později bylo zjištěno, že server patří do služby pro výběr zájezdů „Sletat.ru“.
Z indexu cbto__0 bylo možné získat tisíce (11,7 tisíce včetně duplikátů) e-mailových adres a také některé platební údaje (ceny zájezdu) a údaje o zájezdu (kdy, kde, údaje o letence vše cestující zahrnutí do zájezdu atd.) ve výši cca 1,8 tisíce záznamů:
"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"Mimochodem, odkazy na placené prohlídky docela fungují:
V indexech s názvem graylog_ v čistém textu byly přihlašovací údaje a hesla cestovních kanceláří připojených k systému Sletat.ru a prodávajících zájezdy svým klientům:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."Podle mých odhadů bylo zobrazeno několik stovek párů login/heslo.
Z osobního účtu cestovní kanceláře na portálu agent.sletat.ru bylo možné získat zákaznická data, včetně čísel pasů, mezinárodních pasů, dat narození, celých jmen, telefonních čísel a e-mailových adres.
Upozornil jsem službu Sletat.ru 15.05.2019 v 10:46 (MSK) a o pár hodin později (do 16:00) zmizela z jejich bezplatného přístupu. Později, v reakci na zveřejnění v Kommersant, učinilo vedení služby prostřednictvím médií velmi podivné prohlášení:
Šéf společnosti Andrei Vershinin vysvětlil, že Sletat.ru poskytuje řadě hlavních partnerských touroperátorů přístup k historii dotazů ve vyhledávači. A předpokládal, že to DeviceLock obdržel: „Specifikovaná databáze však neobsahuje údaje o cestovních pasech turistů, přihlašovací údaje a hesla cestovních kanceláří, platební údaje atd. Andrei Vershinin poznamenal, že Sletat.ru dosud neobdržel žádné důkazy o tak závažných obviněních. „Nyní se pokoušíme kontaktovat DeviceLock. Věříme, že jde o rozkaz. Některým lidem se nelíbí náš rychlý růst,“ dodal. "
Jak je uvedeno výše, přihlašovací údaje, hesla a pasové údaje turistů byly ve veřejné doméně poměrně dlouho (přinejmenším od 29.03.2019. března XNUMX, kdy byl server společnosti poprvé zaznamenán ve veřejné doméně vyhledávačem Shodan). Samozřejmě nás nikdo nekontaktoval. Doufám, že na únik upozornili alespoň cestovní kanceláře a donutili je změnit hesla.
Zprávy o únicích informací a zasvěcených osobách najdete vždy na mém kanálu Telegram "".
Zdroj: www.habr.com