Σήμερα θα εξετάσουμε δύο περιπτώσεις ταυτόχρονα - τα δεδομένα των πελατών και των συνεργατών δύο εντελώς διαφορετικών εταιρειών ήταν ελεύθερα διαθέσιμα "χάρη" στους ανοιχτούς διακομιστές Elasticsearch με αρχεία καταγραφής συστημάτων πληροφοριών (IS) αυτών των εταιρειών.
Στην πρώτη περίπτωση, πρόκειται για δεκάδες χιλιάδες (και ίσως εκατοντάδες χιλιάδες) εισιτήρια για διάφορες πολιτιστικές εκδηλώσεις (θέατρα, κλαμπ, εκδρομές στο ποτάμι κ.λπ.) που πωλούνται μέσω του συστήματος Radario (www.radario.ru).
Στη δεύτερη περίπτωση, πρόκειται για δεδομένα για τουριστικά ταξίδια χιλιάδων (πιθανώς πολλών δεκάδων χιλιάδων) ταξιδιωτών που αγόρασαν εκδρομές μέσω ταξιδιωτικών πρακτορείων που συνδέονται με το σύστημα Sletat.ru (www.sletat.ru).
Θα ήθελα να σημειώσω αμέσως ότι δεν διαφέρουν μόνο τα ονόματα των εταιρειών που επέτρεψαν τη δημοσιοποίηση των δεδομένων, αλλά και την προσέγγιση αυτών των εταιρειών για την αναγνώριση του συμβάντος και την επακόλουθη αντίδραση σε αυτό. Πρώτα όμως πρώτα…
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Περίπτωση πρώτη. "Ραντάριο"
Το απόγευμα της 06.05.2019/XNUMX/XNUMX το σύστημά μας , ιδιοκτησία της υπηρεσίας ηλεκτρονικής πώλησης εισιτηρίων Radario.
Σύμφωνα με την ήδη καθιερωμένη θλιβερή παράδοση, ο διακομιστής περιείχε λεπτομερή αρχεία καταγραφής του πληροφοριακού συστήματος της υπηρεσίας, από τα οποία ήταν δυνατή η λήψη προσωπικών δεδομένων, συνδέσεων χρήστη και κωδικών πρόσβασης, καθώς και τα ίδια τα ηλεκτρονικά εισιτήρια για διάφορες εκδηλώσεις σε όλη τη χώρα.
Ο συνολικός όγκος των αρχείων καταγραφής υπερέβη το 1 TB.
Σύμφωνα με τη μηχανή αναζήτησης Shodan, ο διακομιστής είναι δημόσια προσβάσιμος από τις 11.03.2019 Μαρτίου 06.05.2019. Ειδοποίησα τους υπαλλήλους της Radario στις 22/50/07.05.2019 στις 09:30 (MSK) και στις XNUMX/XNUMX/XNUMX περίπου στις XNUMX:XNUMX ο διακομιστής έγινε μη διαθέσιμος.
Τα αρχεία καταγραφής περιείχαν ένα καθολικό (ενιαίο) διακριτικό εξουσιοδότησης, παρέχοντας πρόσβαση σε όλα τα αγορασμένα εισιτήρια μέσω ειδικών συνδέσμων, όπως:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkΤο πρόβλημα ήταν επίσης ότι για τον υπολογισμό των εισιτηρίων χρησιμοποιήθηκε η συνεχής αρίθμηση των παραγγελιών και η απλή απαρίθμηση του αριθμού του εισιτηρίου (XXXXXXXXX) ή παραγγείλετε (ΕΕΕΕΕΕ), ήταν δυνατή η λήψη όλων των εισιτηρίων από το σύστημα.
Για να ελέγξω τη συνάφεια της βάσης δεδομένων, αγόρασα ειλικρινά τον εαυτό μου το φθηνότερο εισιτήριο:
και αργότερα το βρήκε σε έναν δημόσιο διακομιστή στα αρχεία καταγραφής IS:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkΞεχωριστά, θα ήθελα να τονίσω ότι διατέθηκαν εισιτήρια τόσο για εκδηλώσεις που έχουν ήδη πραγματοποιηθεί όσο και για εκείνες που ακόμη προγραμματίζονται. Δηλαδή, ένας πιθανός εισβολέας θα μπορούσε να χρησιμοποιήσει το εισιτήριο κάποιου άλλου για να εισέλθει στην προγραμματισμένη εκδήλωση.
Κατά μέσο όρο, κάθε ευρετήριο Elasticsearch που περιείχε αρχεία καταγραφής για μια συγκεκριμένη ημέρα (από 24.01.2019/07.05.2019/25 έως 35/XNUMX/XNUMX) περιείχε από XNUMX έως XNUMX χιλιάδες εισιτήρια.
Εκτός από τα ίδια τα εισιτήρια, το ευρετήριο περιείχε στοιχεία σύνδεσης (διευθύνσεις email) και κωδικούς πρόσβασης κειμένου για πρόσβαση στους προσωπικούς λογαριασμούς των συνεργατών της Radario που πωλούν εισιτήρια για τις εκδηλώσεις τους μέσω αυτής της υπηρεσίας:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"Συνολικά, εντοπίστηκαν περισσότερα από 500 ζεύγη σύνδεσης/κωδικού πρόσβασης. Τα στατιστικά στοιχεία πωλήσεων εισιτηρίων είναι ορατά στους προσωπικούς λογαριασμούς των συνεργατών:
Επίσης, ήταν διαθέσιμα στο κοινό τα ονόματα, οι αριθμοί τηλεφώνου και οι διευθύνσεις ηλεκτρονικού ταχυδρομείου των αγοραστών που αποφάσισαν να επιστρέψουν εισιτήρια που είχαν αγοράσει προηγουμένως:
"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"Σε μια τυχαία επιλεγμένη ημέρα, ανακαλύφθηκαν περισσότερα από 500 τέτοια αρχεία.
Έλαβα απάντηση στην ειδοποίηση από τον τεχνικό διευθυντή του Radario:
Είμαι ο τεχνικός διευθυντής της Radario και θα ήθελα να σας ευχαριστήσω για τον εντοπισμό του προβλήματος. Όπως γνωρίζετε, έχουμε κλειστή πρόσβαση στο ελαστικό και λύνουμε το θέμα της επανέκδοσης εισιτηρίων για πελάτες.
Λίγο αργότερα η εταιρεία έκανε επίσημη δήλωση:
Ανακαλύφθηκε μια ευπάθεια στο σύστημα πώλησης ηλεκτρονικών εισιτηρίων Radario και διορθώθηκε αμέσως, η οποία θα μπορούσε να οδηγήσει σε διαρροή δεδομένων από τους πελάτες της υπηρεσίας, δήλωσε ο διευθυντής μάρκετινγκ της εταιρείας, Kirill Malyshev, στο πρακτορείο ειδήσεων της Μόσχας.
«Ανακαλύψαμε στην πραγματικότητα μια ευπάθεια στη λειτουργία του συστήματος που σχετίζεται με τακτικές ενημερώσεις, η οποία διορθώθηκε αμέσως μετά την ανακάλυψη. Ως αποτέλεσμα της ευπάθειας, υπό ορισμένες προϋποθέσεις, εχθρικές ενέργειες τρίτων θα μπορούσαν να οδηγήσουν σε διαρροή δεδομένων, αλλά δεν καταγράφηκαν περιστατικά. Αυτή τη στιγμή, όλες οι βλάβες έχουν εξαλειφθεί», είπε ο K. Malyshev.
Εκπρόσωπος της εταιρείας τόνισε ότι αποφασίστηκε να επανεκδοθούν όλα τα εισιτήρια που πωλήθηκαν κατά την επίλυση του προβλήματος προκειμένου να εξαλειφθεί πλήρως η πιθανότητα οποιασδήποτε απάτης σε βάρος πελατών εξυπηρέτησης.
Λίγες ημέρες αργότερα, έλεγξα τη διαθεσιμότητα των δεδομένων χρησιμοποιώντας τους συνδέσμους που διέρρευσαν - η πρόσβαση στα «εκτεθειμένα» εισιτήρια ήταν πράγματι καλυμμένη. Κατά τη γνώμη μου, αυτή είναι μια ικανή, επαγγελματική προσέγγιση για την επίλυση του προβλήματος της διαρροής δεδομένων.
Περίπτωση δεύτερη. "Fly.ru"
Νωρίς το πρωί 15.05.2019/XNUMX/XNUMX Νοημοσύνη παραβίασης δεδομένων DeviceLock εντόπισε έναν δημόσιο διακομιστή Elasticsearch με αρχεία καταγραφής συγκεκριμένου IS.
Αργότερα διαπιστώθηκε ότι ο διακομιστής ανήκει στην υπηρεσία επιλογής περιηγήσεων "Sletat.ru".
Από ευρετήριο cbto__0 ήταν δυνατό να ληφθούν χιλιάδες (11,7 χιλιάδες συμπεριλαμβανομένων των διπλότυπων) διευθύνσεων ηλεκτρονικού ταχυδρομείου, καθώς και ορισμένες πληροφορίες πληρωμής (κόστος εκδρομής) και δεδομένα περιήγησης (πότε, πού, λεπτομέρειες αεροπορικών εισιτηρίων όλα ταξιδιώτες που περιλαμβάνονται στην ξενάγηση κ.λπ.) στο ποσό των περίπου 1,8 χιλιάδων εγγραφών:
"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"Παρεμπιπτόντως, οι σύνδεσμοι για ξεναγήσεις επί πληρωμή λειτουργούν αρκετά:
Σε ευρετήρια με όνομα graylog_ σε σαφές κείμενο ήταν τα στοιχεία σύνδεσης και οι κωδικοί πρόσβασης των ταξιδιωτικών γραφείων που συνδέονται με το σύστημα Sletat.ru και πωλούν περιηγήσεις στους πελάτες τους:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."Σύμφωνα με τις εκτιμήσεις μου, εμφανίστηκαν αρκετές εκατοντάδες ζεύγη σύνδεσης/κωδικού πρόσβασης.
Από τον προσωπικό λογαριασμό του ταξιδιωτικού γραφείου στην πύλη agent.sletat.ru ήταν δυνατή η απόκτηση δεδομένων πελατών, συμπεριλαμβανομένων αριθμών διαβατηρίου, διεθνών διαβατηρίων, ημερομηνίας γέννησης, πλήρους επωνυμίας, αριθμών τηλεφώνου και διευθύνσεων email.
Ειδοποίησα την υπηρεσία Sletat.ru στις 15.05.2019/10/46 στις 16:00 (MSK) και λίγες ώρες αργότερα (μέχρι τις XNUMX:XNUMX) εξαφανίστηκε από την ελεύθερη πρόσβασή τους. Αργότερα, ως απάντηση στο δημοσίευμα στην Kommersant, η διοίκηση της υπηρεσίας έκανε μια πολύ περίεργη δήλωση μέσω των ΜΜΕ:
Ο επικεφαλής της εταιρείας, Andrei Vershinin, εξήγησε ότι το Sletat.ru παρέχει σε ορισμένους μεγάλους συνεργαζόμενους ταξιδιωτικούς πράκτορες πρόσβαση στο ιστορικό των ερωτημάτων στη μηχανή αναζήτησης. Και υπέθεσε ότι το DeviceLock το έλαβε: «Ωστόσο, η καθορισμένη βάση δεδομένων δεν περιέχει δεδομένα διαβατηρίων τουριστών, στοιχεία σύνδεσης και κωδικούς πρόσβασης ταξιδιωτικών πρακτορείων, πληροφορίες πληρωμής κ.λπ.». Ο Αντρέι Βερσίνιν σημείωσε ότι το Sletat.ru δεν έχει λάβει ακόμη στοιχεία για τέτοιες σοβαρές κατηγορίες. «Τώρα προσπαθούμε να επικοινωνήσουμε με το DeviceLock. Πιστεύουμε ότι αυτό είναι μια εντολή. Σε κάποιους ανθρώπους δεν αρέσει η ταχεία ανάπτυξή μας», πρόσθεσε. "
Όπως φαίνεται παραπάνω, οι συνδέσεις, οι κωδικοί πρόσβασης και τα δεδομένα διαβατηρίων των τουριστών βρίσκονται σε δημόσιο τομέα για αρκετό καιρό (τουλάχιστον από τις 29.03.2019 Μαρτίου XNUMX, όταν ο διακομιστής της εταιρείας καταγράφηκε για πρώτη φορά σε δημόσιο τομέα από τη μηχανή αναζήτησης Shodan) . Φυσικά κανείς δεν επικοινώνησε μαζί μας. Ελπίζω ότι τουλάχιστον ειδοποίησαν τα ταξιδιωτικά γραφεία για τη διαρροή και τους ανάγκασαν να αλλάξουν τους κωδικούς πρόσβασης.
Μπορείτε πάντα να βρείτε ειδήσεις σχετικά με διαρροές πληροφοριών και μυστικά στοιχεία στο κανάλι μου στο Telegram "».
Πηγή: www.habr.com