Heute werden wir uns zwei Fälle gleichzeitig ansehen: Die Daten von Kunden und Partnern zweier völlig unterschiedlicher Unternehmen waren „dank“ offener Elasticsearch-Server mit Protokollen der Informationssysteme (IS) dieser Unternehmen frei verfügbar.
Im ersten Fall handelt es sich um Zehntausende (und möglicherweise Hunderttausende) Tickets für verschiedene kulturelle Veranstaltungen (Theater, Clubs, Flussfahrten usw.), die über das Radario-System verkauft werden (www.radario.ru).
Im zweiten Fall handelt es sich um Daten zu touristischen Reisen von Tausenden (möglicherweise mehreren Zehntausend) Reisenden, die Touren über Reisebüros gekauft haben, die mit dem Sletat.ru-System verbunden sind (www.sletat.ru).
Ich möchte gleich darauf hinweisen, dass nicht nur die Namen der Unternehmen, die die Veröffentlichung der Daten ermöglicht haben, unterschiedlich sind, sondern auch die Herangehensweise dieser Unternehmen an die Erkennung des Vorfalls und die anschließende Reaktion darauf. Aber das Wichtigste zuerst…
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Fall eins. „Radario“
Am Abend des 06.05.2019 unser System , im Besitz des elektronischen Ticketverkaufsdienstes Radario.
Der bereits etablierten traurigen Tradition zufolge enthielt der Server detaillierte Protokolle des Informationssystems des Dienstes, aus denen persönliche Daten, Benutzer-Logins und Passwörter sowie die elektronischen Tickets selbst für verschiedene Veranstaltungen im ganzen Land abgerufen werden konnten.
Das Gesamtvolumen der Protokolle überstieg 1 TB.
Laut der Suchmaschine Shodan ist der Server seit dem 11.03.2019. März 06.05.2019 öffentlich zugänglich. Ich habe die Mitarbeiter von Radario am 22 um 50:07.05.2019 Uhr (MSK) benachrichtigt und am 09 gegen 30:XNUMX Uhr war der Server nicht mehr verfügbar.
Die Protokolle enthielten ein universelles (einziges) Autorisierungs-Token, das den Zugriff auf alle gekauften Tickets über spezielle Links ermöglichte, wie zum Beispiel:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkDas Problem bestand auch darin, dass zur Abrechnung der Tickets eine fortlaufende Nummerierung der Bestellungen und eine einfache Aufzählung der Ticketnummer (XXXXXXXX) oder bestellen (JJJJJJJ) war es möglich, alle Tickets aus dem System zu beziehen.
Um die Relevanz der Datenbank zu prüfen, habe ich mir ehrlich gesagt sogar das günstigste Ticket gekauft:
und habe es später auf einem öffentlichen Server in den IS-Protokollen gefunden:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkUnabhängig davon möchte ich betonen, dass sowohl für bereits stattgefundene als auch für noch in Planung befindliche Veranstaltungen Tickets erhältlich waren. Das heißt, ein potenzieller Angreifer könnte das Ticket einer anderen Person nutzen, um Zutritt zur geplanten Veranstaltung zu erhalten.
Im Durchschnitt enthielt jeder Elasticsearch-Index, der Protokolle für einen bestimmten Tag (vom 24.01.2019 bis zum 07.05.2019) enthielt, 25 bis 35 Tickets.
Zusätzlich zu den Tickets selbst enthielt der Index Logins (E-Mail-Adressen) und Textpasswörter für den Zugriff auf die persönlichen Konten von Radario-Partnern, die über diesen Service Tickets für ihre Veranstaltungen verkaufen:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"Insgesamt wurden mehr als 500 Login/Passwort-Paare erkannt. Statistiken zum Ticketverkauf sind in den persönlichen Konten der Partner sichtbar:
Ebenfalls öffentlich zugänglich waren die Namen, Telefonnummern und E-Mail-Adressen der Käufer, die sich entschieden hatten, zuvor gekaufte Tickets zurückzugeben:
"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"An einem zufällig ausgewählten Tag wurden mehr als 500 solcher Aufzeichnungen entdeckt.
Ich habe vom technischen Direktor von Radario eine Antwort auf die Warnung erhalten:
Ich bin der technische Leiter von Radario und möchte Ihnen dafür danken, dass Sie das Problem identifiziert haben. Wie Sie wissen, haben wir den Zugang zu Elastic gesperrt und lösen das Problem der Neuausstellung von Tickets für Kunden.
Wenig später gab das Unternehmen eine offizielle Erklärung ab:
Im elektronischen Ticketverkaufssystem von Radario sei eine Schwachstelle entdeckt und umgehend behoben worden, die zu einem Datenleck bei den Kunden des Dienstes führen könnte, sagte der Marketingdirektor des Unternehmens, Kirill Malyshev, gegenüber der Moskauer Stadtnachrichtenagentur.
„Wir haben tatsächlich eine Schwachstelle im Systembetrieb im Zusammenhang mit regelmäßigen Updates entdeckt, die sofort nach Entdeckung behoben wurde. Aufgrund der Sicherheitslücke konnte es unter bestimmten Umständen durch unfreundliches Handeln Dritter zu Datenlecks kommen, es wurden jedoch keine Vorfälle registriert. Im Moment sind alle Mängel beseitigt“, sagte K. Malyshev.
Ein Vertreter des Unternehmens betonte, dass beschlossen wurde, alle im Zuge der Lösung des Problems verkauften Tickets erneut auszustellen, um die Möglichkeit eines Betrugs gegenüber Servicekunden vollständig auszuschließen.
Einige Tage später überprüfte ich anhand der durchgesickerten Links die Verfügbarkeit der Daten – der Zugriff auf die „offengelegten“ Tickets war tatsächlich gedeckt. Meiner Meinung nach ist dies ein kompetenter und professioneller Ansatz zur Lösung des Problems der Datenlecks.
Fall zwei. „Fly.ru“
Früh am Morgen 15.05.2019 DeviceLock Data Breach Intelligence hat einen öffentlichen Elasticsearch-Server mit Protokollen eines bestimmten IS identifiziert.
Später wurde festgestellt, dass der Server zum Tourenauswahldienst „Sletat.ru“ gehört.
Vom Index cbto__0 Es war möglich, Tausende (11,7 Tausend inklusive Duplikate) E-Mail-Adressen sowie einige Zahlungsinformationen (Tourkosten) und Tourdaten (wann, wo, Flugticketdetails) zu erhalten alle in die Tour einbezogene Reisende usw.) in Höhe von etwa 1,8 Tausend Datensätzen:
"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"Die Links zu kostenpflichtigen Touren funktionieren übrigens ganz gut:
In Verzeichnissen mit Namen greylog_ Im Klartext befanden sich die Login-Daten und Passwörter von Reisebüros, die mit dem Sletat.ru-System verbunden waren und Touren an ihre Kunden verkauften:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."Nach meinen Schätzungen wurden mehrere Hundert Login/Passwort-Paare angezeigt.
Vom persönlichen Konto des Reisebüros auf dem Portal agent.sletat.ru Es war möglich, Kundendaten zu erhalten, darunter Passnummern, internationale Pässe, Geburtsdaten, vollständige Namen, Telefonnummern und E-Mail-Adressen.
Ich habe den Dienst Sletat.ru am 15.05.2019 um 10:46 Uhr (MSK) benachrichtigt und einige Stunden später (bis 16:00 Uhr) verschwand er aus ihrem freien Zugang. Später, als Reaktion auf die Veröffentlichung in Kommersant, gab die Leitung des Dienstes über die Medien eine sehr seltsame Erklärung ab:
Der Leiter des Unternehmens, Andrei Vershinin, erklärte, dass Sletat.ru einer Reihe großer Partnerreiseveranstalter Zugriff auf den Verlauf der Suchanfragen in der Suchmaschine verschafft. Und er ging davon aus, dass DeviceLock es erhalten hat: „Die angegebene Datenbank enthält jedoch keine Passdaten von Touristen, Logins und Passwörter von Reisebüros, Zahlungsinformationen usw.“ Andrei Werschinin wies darauf hin, dass Sletat.ru noch keine Beweise für solch schwerwiegende Anschuldigungen erhalten habe. „Wir versuchen jetzt, DeviceLock zu kontaktieren. Wir glauben, dass dies ein Befehl ist. Manchen gefällt unser schnelles Wachstum nicht“, fügte er hinzu. "
Wie oben gezeigt, waren Logins, Passwörter und Passdaten von Touristen schon seit geraumer Zeit öffentlich zugänglich (zumindest seit dem 29.03.2019. März XNUMX, als der Server des Unternehmens erstmals von der Suchmaschine Shodan als öffentlich zugänglich erfasst wurde). Natürlich hat uns niemand kontaktiert. Ich hoffe, dass sie zumindest die Reisebüros über das Leck informiert und sie gezwungen haben, ihre Passwörter zu ändern.
Neuigkeiten zu Informationslecks und Insidern finden Sie immer auf meinem Telegram-Kanal.".
Source: habr.com