I dag vil vi se på to tilfælde på én gang - data fra klienter og partnere fra to helt forskellige virksomheder var frit tilgængelige "takket være" åbne Elasticsearch-servere med logfiler over informationssystemer (IS) fra disse virksomheder.
I det første tilfælde drejer det sig om titusindvis (og måske hundredtusindvis) billetter til forskellige kulturelle begivenheder (teatre, klubber, flodture osv.), der sælges gennem Radario-systemet (www.radario.ru).
I det andet tilfælde er dette data om turistrejser for tusinder (muligvis flere titusindvis) af rejsende, der købte ture gennem rejsebureauer forbundet til Sletat.ru-systemet (www.sletat.ru).
Jeg vil gerne bemærke med det samme, at ikke kun navnene på de virksomheder, der gjorde det muligt for dataene at blive offentligt tilgængelige, er forskellige, men også disse virksomheders tilgang til at genkende hændelsen og den efterfølgende reaktion på den. Men først ting først...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Sag et. "Radario"
Om aftenen den 06.05.2019/XNUMX/XNUMX vores system , ejet af den elektroniske billetsalgstjeneste Radario.
Ifølge den allerede etablerede triste tradition indeholdt serveren detaljerede logfiler over tjenestens informationssystem, hvorfra det var muligt at hente persondata, brugerlogin og adgangskoder, samt selve de elektroniske billetter til forskellige arrangementer i hele landet.
Den samlede mængde logfiler oversteg 1 TB.
Ifølge Shodan-søgemaskinen har serveren været offentlig tilgængelig siden 11.03.2019. marts 06.05.2019. Jeg underrettede Radario-medarbejdere den 22/50/07.05.2019 kl. 09:30 (MSK) og den XNUMX/XNUMX/XNUMX omkring kl. XNUMX:XNUMX blev serveren utilgængelig.
Logfilerne indeholdt et universelt (enkelt) godkendelsestoken, der gav adgang til alle købte billetter via specielle links, som:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkProblemet var også, at for at tage højde for billetter, blev der brugt løbende nummerering af ordrer og simpel opregning af billetnummeret (XXXXXXXX) eller bestil (ÅÅÅÅÅÅÅÅ), var det muligt at få alle billetter fra systemet.
For at tjekke relevansen af databasen købte jeg endda ærligt mig selv den billigste billet:
og senere fandt det på en offentlig server i IS-logfilerne:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkSeparat vil jeg gerne understrege, at billetter var tilgængelige både til arrangementer, der allerede har fundet sted, og til dem, der stadig er under planlægning. Det vil sige, at en potentiel angriber kan bruge en andens billet til at deltage i den planlagte begivenhed.
I gennemsnit indeholdt hvert Elasticsearch-indeks, der indeholdt logfiler for en bestemt dag (startende fra 24.01.2019/07.05.2019/25 til 35/XNUMX/XNUMX) fra XNUMX til XNUMX tusinde billetter.
Ud over selve billetterne indeholdt indekset logins (e-mail-adresser) og tekstadgangskoder for adgang til de personlige konti hos Radario-partnere, som sælger billetter til deres begivenheder gennem denne tjeneste:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"I alt blev der fundet mere end 500 login/adgangskodepar. Billetsalgsstatistikker er synlige på partneres personlige konti:
Også offentligt tilgængelige var navne, telefonnumre og e-mailadresser på købere, der besluttede at returnere tidligere købte billetter:
"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"På en tilfældigt udvalgt dag blev mere end 500 sådanne optegnelser opdaget.
Jeg modtog et svar på advarslen fra den tekniske direktør for Radario:
Jeg er teknisk direktør for Radario og vil gerne takke dig for at identificere problemet. Som du ved, har vi lukket for adgang til elastik og løser problemet med genudstedelse af billetter til kunder.
Lidt senere afgav virksomheden en officiel erklæring:
En sårbarhed blev opdaget i Radarios elektroniske billetsalgssystem og omgående rettet, hvilket kunne føre til et læk af data fra tjenestens kunder, fortalte virksomhedens marketingdirektør, Kirill Malyshev, til Moscow City News Agency.
"Vi opdagede faktisk en sårbarhed i systemdriften forbundet med regelmæssige opdateringer, som blev rettet umiddelbart efter opdagelsen. Som følge af sårbarheden kan uvenlige handlinger fra tredjeparter under visse betingelser føre til datalækage, men der blev ikke registreret nogen hændelser. I øjeblikket er alle fejlene blevet elimineret,” sagde K. Malyshev.
En virksomhedsrepræsentant understregede, at det blev besluttet at genudstede alle solgte billetter under løsningen af problemet for fuldstændigt at eliminere muligheden for svindel mod servicekunder.
Et par dage senere tjekkede jeg tilgængeligheden af data ved hjælp af de lækkede links - adgang til de "udsatte" billetter var faktisk dækket. Efter min mening er dette en kompetent, professionel tilgang til at løse problemet med datalækage.
Sag to. "Fly.ru"
Tidligt om morgenen 15.05.2019/XNUMX/XNUMX DeviceLock Data Breach Intelligence identificeret en offentlig Elasticsearch-server med logfiler for en bestemt IS.
Senere blev det fastslået, at serveren tilhører tjenesten til valg af ture "Sletat.ru".
Fra indeks cbto__0 det var muligt at få tusindvis (11,7 tusinde inklusive dubletter) af e-mail-adresser, samt nogle betalingsoplysninger (rejseomkostninger) og turdata (hvornår, hvor, flybilletdetaljer Alle rejsende inkluderet i turen osv.) i mængden af omkring 1,8 tusinde poster:
"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"Forresten fungerer linkene til betalte ture ganske godt:
I indeks med navn graylog_ i klar tekst var logins og adgangskoder for rejsebureauer, der er forbundet til Sletat.ru-systemet og sælger ture til deres kunder:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."Ifølge mine skøn blev der vist flere hundrede login/adgangskode-par.
Fra rejsebureauets personlige konto på portalen agent.sletat.ru det var muligt at indhente kundedata, herunder pasnumre, internationale pas, fødselsdatoer, fulde navne, telefonnumre og mailadresser.
Jeg underrettede Sletat.ru-tjenesten den 15.05.2019/10/46 kl. 16:00 (MSK) og et par timer senere (indtil kl. XNUMX:XNUMX) forsvandt den fra deres gratis adgang. Senere, som svar på offentliggørelsen i Kommersant, kom tjenestens ledelse med en meget mærkelig udtalelse gennem medierne:
Lederen af virksomheden, Andrei Vershinin, forklarede, at Sletat.ru giver en række større partnerrejsearrangører adgang til historikken for forespørgsler i søgemaskinen. Og han antog, at DeviceLock modtog det: "Den angivne database indeholder dog ikke turisters pasdata, rejsebureau-logins og adgangskoder, betalingsoplysninger osv." Andrei Vershinin bemærkede, at Sletat.ru endnu ikke har modtaget beviser for sådanne alvorlige anklager. "Vi forsøger nu at kontakte DeviceLock. Vi mener, at dette er en ordre. Nogle mennesker kan ikke lide vores hurtige vækst," tilføjede han. "
Som vist ovenfor var logins, adgangskoder og pasdata for turister i det offentlige domæne i ret lang tid (i det mindste siden 29.03.2019. marts XNUMX, hvor virksomhedens server første gang blev registreret i det offentlige domæne af Shodan-søgemaskinen). Der var selvfølgelig ingen, der kontaktede os. Jeg håber, at de i det mindste underrettede rejsebureauer om lækagen og tvang dem til at ændre deres adgangskoder.
Nyheder om informationslækager og insidere kan altid findes på min Telegram-kanal "'.
Kilde: www.habr.com