Heddiw, byddwn yn edrych ar ddau achos ar unwaith - roedd data cleientiaid a phartneriaid dau gwmni hollol wahanol ar gael am ddim “diolch i” gweinyddwyr Elasticsearch agored gyda logiau o systemau gwybodaeth (IS) y cwmnïau hyn.
Yn yr achos cyntaf, mae'r rhain yn ddegau o filoedd (ac efallai cannoedd o filoedd) o docynnau ar gyfer digwyddiadau diwylliannol amrywiol (theatrau, clybiau, teithiau afon, ac ati) a werthir trwy'r system Radario (www.radario.ru).
Yn yr ail achos, dyma ddata ar deithiau twristiaid o filoedd (o bosibl sawl degau o filoedd) o deithwyr a brynodd deithiau trwy asiantaethau teithio sy'n gysylltiedig â system Sletat.ru (www.sletat.ru).
Hoffwn nodi ar unwaith fod nid yn unig enwau’r cwmnïau a ganiataodd i’r data fod ar gael i’r cyhoedd yn wahanol, ond hefyd dull y cwmnïau hyn o gydnabod y digwyddiad a’r ymateb dilynol iddo. Ond pethau cyntaf yn gyntaf…
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Achos un. "Radario"
Gyda'r nos ar 06.05.2019/XNUMX/XNUMX ein system , sy'n eiddo i'r gwasanaeth gwerthu tocynnau electronig Radario.
Yn ôl y traddodiad trist sydd eisoes wedi'i sefydlu, roedd y gweinydd yn cynnwys logiau manwl o system wybodaeth y gwasanaeth, lle roedd yn bosibl cael data personol, mewngofnodi defnyddwyr a chyfrineiriau, yn ogystal â'r tocynnau electronig eu hunain ar gyfer digwyddiadau amrywiol ledled y wlad.
Roedd cyfanswm cyfaint y boncyffion yn fwy nag 1 TB.
Yn ôl peiriant chwilio Shodan, mae'r gweinydd wedi bod ar gael i'r cyhoedd ers Mawrth 11.03.2019, 06.05.2019. Hysbysais weithwyr Radario ar 22/50/07.05.2019 am 09:30 (MSK) ac ar XNUMX/XNUMX/XNUMX am tua XNUMX:XNUMX nid oedd y gweinydd ar gael.
Roedd y logiau'n cynnwys tocyn awdurdodi cyffredinol (sengl), yn darparu mynediad i'r holl docynnau a brynwyd trwy ddolenni arbennig, fel:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkY broblem hefyd oedd, er mwyn rhoi cyfrif am docynnau, bod rhifo archebion yn barhaus yn cael ei ddefnyddio a rhifo rhif y tocyn yn syml (XXXXXXXX) neu archebu (YYYYYYYY), roedd yn bosibl cael yr holl docynnau o'r system.
Er mwyn gwirio perthnasedd y gronfa ddata, prynais y tocyn rhataf i mi fy hun yn onest:
ac fe'i canfuwyd yn ddiweddarach ar weinydd cyhoeddus yn y logiau GG:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkAr wahân, hoffwn bwysleisio bod tocynnau ar gael ar gyfer digwyddiadau sydd eisoes wedi'u cynnal ac ar gyfer y rhai sy'n dal i gael eu cynllunio. Hynny yw, gallai ymosodwr posibl ddefnyddio tocyn rhywun arall i fynd i mewn i'r digwyddiad arfaethedig.
Ar gyfartaledd, roedd pob mynegai Elasticsearch yn cynnwys logiau ar gyfer un diwrnod penodol (yn dechrau o 24.01.2019/07.05.2019/25 i 35/XNUMX/XNUMX) yn cynnwys rhwng XNUMX a XNUMX mil o docynnau.
Yn ogystal â'r tocynnau eu hunain, roedd y mynegai yn cynnwys mewngofnodi (cyfeiriadau e-bost) a chyfrineiriau testun ar gyfer mynediad i gyfrifon personol partneriaid Radario sy'n gwerthu tocynnau i'w digwyddiadau trwy'r gwasanaeth hwn:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"Yn gyfan gwbl, canfuwyd mwy na 500 o barau mewngofnodi/cyfrinair. Mae ystadegau gwerthu tocynnau i’w gweld yng nghyfrifon personol partneriaid:
Hefyd ar gael yn gyhoeddus roedd enwau, rhifau ffôn a chyfeiriadau e-bost prynwyr a benderfynodd ddychwelyd tocynnau a brynwyd yn flaenorol:
"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"Mewn un diwrnod a ddewiswyd ar hap, darganfuwyd mwy na 500 o gofnodion o'r fath.
Cefais ymateb i'r rhybudd gan gyfarwyddwr technegol Radrio:
Fi yw cyfarwyddwr technegol Radrio a hoffwn ddiolch ichi am nodi'r broblem. Fel y gwyddoch, rydym wedi cau mynediad i elastig ac yn datrys y mater o ailgyhoeddi tocynnau i gleientiaid.
Ychydig yn ddiweddarach gwnaeth y cwmni ddatganiad swyddogol:
Darganfuwyd bregusrwydd yn system gwerthu tocynnau electronig Radario a’i gywiro’n brydlon, a allai arwain at ollwng data gan gleientiaid y gwasanaeth, meddai cyfarwyddwr marchnata’r cwmni, Kirill Malyshev, wrth Asiantaeth Newyddion Dinas Moscow.
“Fe wnaethon ni ddarganfod bregusrwydd yng ngweithrediad y system sy'n gysylltiedig â diweddariadau rheolaidd, a gafodd ei drwsio yn syth ar ôl ei ddarganfod. O ganlyniad i'r bregusrwydd, o dan rai amodau, gallai gweithredoedd anghyfeillgar trydydd parti arwain at ollwng data, ond ni chofnodwyd unrhyw ddigwyddiadau. Ar hyn o bryd, mae'r holl ddiffygion wedi'u dileu,” meddai K. Malyshev.
Pwysleisiodd cynrychiolydd cwmni y penderfynwyd ailgyhoeddi'r holl docynnau a werthwyd yn ystod yr ateb i'r broblem er mwyn dileu'n llwyr y posibilrwydd o unrhyw dwyll yn erbyn cleientiaid gwasanaeth.
Ychydig ddyddiau'n ddiweddarach, gwiriais argaeledd data gan ddefnyddio'r dolenni a ddatgelwyd - yn wir roedd mynediad i'r tocynnau “agored” wedi'i gwmpasu. Yn fy marn i, mae hwn yn ddull cymwys, proffesiynol o ddatrys problem gollwng data.
Achos dau. "Fly.ru"
Yn gynnar yn y bore 15.05.2019/XNUMX/XNUMX Cudd-wybodaeth Torri Data DeviceLock nodi gweinydd Elasticsearch cyhoeddus gyda logiau o GG penodol.
Yn ddiweddarach, sefydlwyd bod y gweinydd yn perthyn i'r gwasanaeth dewis teithiau "Sletat.ru".
O fynegai cbto__0 roedd yn bosibl cael miloedd (11,7 mil gan gynnwys dyblyg) o gyfeiriadau e-bost, yn ogystal â rhywfaint o wybodaeth talu (costau teithiau) a data teithiau (pryd, ble, manylion tocyn awyr holl teithwyr a gynhwysir yn y daith, ac ati) yn y swm o tua 1,8 mil o gofnodion:
"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"Gyda llaw, mae'r dolenni i deithiau taledig yn eithaf gweithio:
Mewn mynegeion ag enw llwydlog_ mewn testun clir oedd mewngofnodiadau a chyfrineiriau asiantaethau teithio sy'n gysylltiedig â system Sletat.ru ac yn gwerthu teithiau i'w cleientiaid:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."Yn ôl fy amcangyfrifon, dangoswyd cannoedd o barau mewngofnodi/cyfrinair.
O gyfrif personol yr asiantaeth deithio ar y porth asiant.sletat.ru roedd yn bosibl cael data cwsmeriaid, gan gynnwys rhifau pasbort, pasbortau rhyngwladol, dyddiadau geni, enwau llawn, rhifau ffôn a chyfeiriadau e-bost.
Hysbysais y gwasanaeth Sletat.ru ar 15.05.2019/10/46 am 16:00 (MSK) ac ychydig oriau'n ddiweddarach (tan XNUMX:XNUMX) diflannodd o'u mynediad am ddim. Yn ddiweddarach, mewn ymateb i'r cyhoeddiad yn Kommersant, gwnaeth rheolwyr y gwasanaeth ddatganiad rhyfedd iawn trwy'r cyfryngau:
Esboniodd pennaeth y cwmni, Andrei Vershinin, fod Sletat.ru yn darparu mynediad i hanes ymholiadau yn y peiriant chwilio i nifer o weithredwyr teithiau partner mawr. Ac fe dybiodd fod DeviceLock wedi’i dderbyn: “Fodd bynnag, nid yw’r gronfa ddata benodedig yn cynnwys data pasbort twristiaid, mewngofnodi a chyfrineiriau asiantaethau teithio, gwybodaeth talu, ac ati.” Nododd Andrei Vershinin nad yw Sletat.ru eto wedi derbyn unrhyw dystiolaeth o gyhuddiadau mor ddifrifol. “Rydyn ni nawr yn ceisio cysylltu â DeviceLock. Credwn mai gorchymyn yw hwn. Nid yw rhai pobl yn hoffi ein twf cyflym, ”ychwanegodd. "
Fel y dangosir uchod, roedd mewngofnodi, cyfrineiriau, a data pasbort twristiaid yn y parth cyhoeddus am amser eithaf hir (o leiaf ers Mawrth 29.03.2019, XNUMX, pan gofnodwyd gweinydd y cwmni yn gyhoeddus gyntaf gan beiriant chwilio Shodan). Wrth gwrs, ni gysylltodd neb â ni. Gobeithiaf eu bod o leiaf wedi hysbysu asiantaethau teithio am y gollyngiad ac wedi eu gorfodi i newid eu cyfrineiriau.
Mae newyddion am ollyngiadau gwybodaeth a mewnwyr i'w gweld bob amser ar fy sianel Telegram "'.
Ffynhonnell: hab.com