Erinnert ihr euch, dass ich und auf meinem darüber, wie Details zu Zahlungen zugunsten der GIBDD und FSSP von Nutzern der Websites оплатагибдд.рф, paygibdd.ru, gos-oplata.ru, штрафов.net und oplata-fssp.ru?

plötzlich zugänglich wurden? Lacht nicht, das ist kein Scherz – derselbe Server mit Daten aus demselben System war erneut für die ganze Welt geöffnet.
Nun, fangen wir an, das zu klären…
Haftungsausschluss: Alle Informationen unten werden ausschließlich zu Bildungszwecken veröffentlicht. Der Autor hatte keinen Zugang zu persönlichen Daten Dritter oder Unternehmen. Die Informationen stammen entweder aus öffentlichen Quellen oder wurden dem Autor von anonymen, wohlwollenden Personen zur Verfügung gestellt.Zunächst möchte ich an die Chronologie der Ereignisse erinnern:
- In der Nacht vom 12.04.2019 wurde ein Elasticsearch-Server entdeckt, der keine Authentifizierung für die Verbindung benötigte.
- Morgens am 13.04.2019 wurde eine Benachrichtigung an die Serverbesitzer gesendet.
- Am Nachmittag des 13.04.2019 wurde der Server "still" aus dem öffentlichen Zugang entfernt.
Zum Zeitpunkt der ersten Schließung des Servers sahen die Elasticsearch-Indizes folgendermaßen aus:

Und so erschien am 21.05.2019 gegen 16:00 Uhr (MSK) derselbe Elasticsearch-Server mit den gleichen (plus neuen) Indizes erneut öffentlich zugänglich:

Ich konnte meinen Augen nicht trauen, als ich (gleich nach meinem Vortrag auf der PHDays zum Thema Entdeckung offener Datenbanken) eine Benachrichtigung von unserer . Um ehrlich zu sein, dachte ich zuerst, dass es sich um einen Systemfehler handelt.
Das war allerdings kein Fehler, und nachdem ich alles manuell überprüft hatte, habe ich um 01:25 Uhr am 22.05.2019 erneut eine Benachrichtigung an dieselben Adressen gesendet wie beim ersten Mal.
Seit der ersten Schließung wurde dieser Server von Shodan 11 Mal gescannt, und bis zum 21. Mai war Elasticsearch darauf maskiert.
Erst am 24.05.2019 morgens verschwand dieser Elasticsearch ein zweites Mal aus dem öffentlichen Zugriff. In der Zwischenzeit hatten die Indizes deutlich zugenommen:

Und wenn man die Daten (nur signifikante Informationen, die persönliche Daten von Bürgern enthalten) in den Indizes für den Zeitraum vom 1. bis 22. Mai betrachtet, sieht es so aus:
- 127.525 Datensätze im Index paygibdd
- 49.627 Datensätze im Index shtrafov-net
- 162.282 Datensätze im Index oplata-fssp
- 220.201 Datensätze im Index gosoplata
Beispieldaten aus dem Index gosoplata:

Beispieldaten aus dem Index paygibdd:

Ein weiteres Highlight war die E-Mail von einer der Adressen, an die ich Benachrichtigungen gesendet habe:
Wir haben Ihre E-Mail über den offenen ElasticSearch erhalten – vielen Dank für die Informationen, die Datenbank wurde geschlossen. Der Systemadministrator, der den Zugang erneut eröffnet hat, wurde entlassen. Auch die Rechtsabteilung bereitet eine Anzeige über das Verhalten des Systemadministrators gemäß den Artikeln 272 und 273 des Strafgesetzbuches der Russischen Föderation vor, die an das Innenministerium der Republik Tatarstan gesendet werden soll.
Neuigkeiten über Datenlecks und Insider finden Sie immer auf meinem Telegram-Kanal „»: .
Quelle: habr.com
