Husk jeg
Bare grin ikke, dette er slet ikke en joke - den samme server med data fra det samme system viste sig igen at være åben for hele verden.
Nå, lad os finde ud af det...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Lad mig først minde dig lidt om begivenhedernes kronologi:
- Den 12.04.2019. april XNUMX (om natten) blev der opdaget en Elasticsearch-server, der ikke krævede godkendelse for at oprette forbindelse.
- Den 13.04.2019/XNUMX/XNUMX (morgen) blev der sendt en meddelelse til serverejerne.
- Den 13.04.2019. april XNUMX (om eftermiddagen) blev serveren "stille" fjernet fra offentlig adgang.
På tidspunktet for den første servernedlukning så Elasticsearch-indekserne sådan ud:
Og nu den 21.05.2019/16/00 omkring kl. XNUMX:XNUMX (Moskva-tid) vises den samme Elasticsearch-server med de samme (plus nye) indekser igen i det offentlige domæne:
Jeg kunne ikke tro mine egne øjne, da jeg så det (umiddelbart efter forestillingen kl PH-dage om emnet opdagelse af åbne databaser) i mailmeddelelsen fra vores
Men nej, det var ikke en fejl, og efter at have tjekket alt manuelt, klokken 01:25 den 22.05.2019. maj XNUMX, sendte jeg igen en alarm til de samme adresser som første gang.
Siden den første lukning blev denne server scannet af Shodan 11 gange, og indtil den 21. maj var Elasticsearch lukket på den.
Først om morgenen den 24.05.2019. maj XNUMX forsvandt denne Elasticsearch fra offentligheden for anden gang. I løbet af denne tid er indeksene vokset betydeligt:
Og hvis du ser på dataene (kun væsentlige oplysninger, der indeholder personoplysninger om borgere) i indeksene for perioden fra 1. maj til 22. maj, så er billedet som følger:
- 127,525 poster i indekset paygibdd
- 49,627 poster i indekset shtrafov-net
- 162,282 poster i indekset oplata-fssp
- 220,201 poster i indekset gosoplata
Eksempeldata fra indeks gosoplata:
Eksempeldata fra indeks paygibdd:
Nå, prikken over i'et var et brev fra en af adresserne, som jeg sendte meddelelser til:
Vi har modtaget dit brev om den åbne ElasticSearch - tak for informationen, databasen blev lukket. Den systemadministrator, der genåbnede adgangen, er blevet fyret. Den juridiske tjeneste forbereder sig også på at sende en erklæring til Indenrigsministeriet i Republikken Tatarstan om tegn på tilstedeværelsen i systemadministratorens handlinger af elementer i henhold til artikel 272 og 273 i Den Russiske Føderations straffelov.
Nyheder om informationslækager og insidere kan altid findes på min Telegram-kanal "
Kilde: www.habr.com