Hodiaŭ ni rigardos du kazojn samtempe - la datumoj de klientoj kaj partneroj de du tute malsamaj kompanioj estis libere haveblaj "danke al" malfermitaj Elasticsearch-serviloj kun protokoloj de informaj sistemoj (IS) de ĉi tiuj kompanioj.
En la unua kazo, temas pri dekmiloj (kaj eble centoj da miloj) da biletoj por diversaj kulturaj eventoj (teatroj, kluboj, rivervojaĝoj ktp.) venditaj per la sistemo Radario (www.radario.ru).
En la dua kazo, ĉi tio estas datumoj pri turismaj vojaĝoj de miloj (eble kelkaj dekoj da miloj) da vojaĝantoj, kiuj aĉetis ekskursojn per vojaĝagentejoj ligitaj al la sistemo Sletat.ru (www.sletat.ru).
Mi ŝatus rimarki tuj, ke ne nur la nomoj de la kompanioj, kiuj permesis al la datumoj fariĝi publike disponeblaj, diferencas, sed ankaŭ la aliro de ĉi tiuj kompanioj por rekoni la okazaĵon kaj la postan reagon al ĝi. Sed unue unue...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Kazo unu. "Radario"
Vespere de 06.05.2019/XNUMX/XNUMX nia sistemo , posedata de la elektronika biletvendservo Radario.
Laŭ la jam establita malĝoja tradicio, la servilo enhavis detalajn protokolojn de la informa sistemo de la servo, el kiuj eblis akiri personajn datumojn, uzantsalutinojn kaj pasvortojn, kaj ankaŭ la elektronikajn biletojn mem por diversaj eventoj en la tuta lando.
La totala volumo de ŝtipoj superis 1 TB.
Laŭ la serĉilo Shodan, la servilo estas publike havebla ekde la 11.03.2019-a de marto 06.05.2019. Mi sciigis al la dungitoj de Radario la 22/50/07.05.2019 je la 09:30 (MSK) kaj la XNUMX/XNUMX/XNUMX ĉirkaŭ la XNUMX:XNUMX la servilo fariĝis neatingebla.
La protokoloj enhavis universalan (ununuran) rajtigan ĵetonon, provizante aliron al ĉiuj aĉetitaj biletoj per specialaj ligiloj, kiel:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkLa problemo estis ankaŭ ke por respondeci pri biletoj, kontinua numerado de mendoj estis uzita kaj simpla nombrado de la biletnombro (XXXXXXX) aŭ mendi (JJYYYYY), eblis akiri ĉiujn biletojn de la sistemo.
Por kontroli la gravecon de la datumbazo, mi eĉ honeste aĉetis al mi la plej malmultekostan bileton:
kaj poste trovis ĝin sur publika servilo en la IS-protokoloj:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkAparte mi ŝatus emfazi, ke biletoj estis disponeblaj kaj por jam okazintaj aranĝoj kaj por tiuj, kiuj ankoraŭ estas planitaj. Tio estas, ebla atakanto povus uzi la bileton de iu alia por eniri la planitan eventon.
Averaĝe, ĉiu Elasticsearch-indekso enhavanta protokolojn por unu specifa tago (komencante de 24.01.2019/07.05.2019/25 ĝis 35/XNUMX/XNUMX) enhavis de XNUMX ĝis XNUMX mil biletoj.
Krom la biletoj mem, la indekso enhavis ensalutojn (retpoŝtadresojn) kaj tekstajn pasvortojn por aliro al la personaj kontoj de Radario-partneroj, kiuj vendas biletojn al siaj eventoj per ĉi tiu servo:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"Entute, pli ol 500 ensalutaj/pasvortparoj estis detektitaj. Biletaj vendaj statistikoj estas videblaj en personaj kontoj de partneroj:
Ankaŭ publike haveblaj estis la nomoj, telefonnumeroj kaj retadresoj de aĉetantoj, kiuj decidis resendi antaŭe aĉetitajn biletojn:
"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"En unu hazarde elektita tago, pli ol 500 tiaj rekordoj estis malkovritaj.
Mi ricevis respondon al la atentigo de la teknika direktoro de Radario:
Mi estas la teknika direktoro de Radario kaj ŝatus danki vin pro identigi la problemon. Kiel vi scias, ni fermis aliron al elasto kaj solvas la problemon de reeldono de biletoj por klientoj.
Iom poste la kompanio faris oficialan deklaron:
Vulnerabileco estis malkovrita en la elektronika venda sistemo de biletoj Radario kaj tuj korektita, kio povus konduki al liko de datumoj de la klientoj de la servo, diris la merkatdirektoro de la kompanio, Kirill Malyshev, al la Moskva Urba Novaĵagentejo.
"Ni fakte malkovris vundeblecon en la sistema operacio asociita kun regulaj ĝisdatigoj, kiu estis riparita tuj post malkovro. Kiel rezulto de la vundebleco, sub certaj kondiĉoj, malafablaj agoj de triaj povus konduki al datumfluo, sed neniuj okazaĵoj estis registritaj. Nuntempe ĉiuj kulpoj estas eliminitaj”, diris K. Malyshev.
Reprezentanto de la kompanio emfazis, ke oni decidis reeldoni ĉiujn biletojn venditajn dum la solvo de la problemo por tute forigi la eblecon de iu ajn fraŭdo kontraŭ servaj klientoj.
Kelkajn tagojn poste, mi kontrolis la haveblecon de datumoj per la likitaj ligiloj - aliro al la "malkovritaj" biletoj estis ja kovrita. Laŭ mi, ĉi tio estas kompetenta, profesia aliro por solvi la problemon de datumfluo.
Kazo du. "Fly.ru"
Frue matene 15.05.2019/XNUMX/XNUMX DeviceLock Data Breach Inteligenteco identigis publikan Elasticsearch-servilon kun protokoloj de certa IS.
Poste oni konstatis, ke la servilo apartenas al la servo de elekta vojaĝo "Sletat.ru".
El indekso cbto__0 eblis akiri milojn (11,7 mil inkluzive de duplikatoj) da retadresoj, kaj ankaŭ iujn pagajn informojn (turneokostoj) kaj turneajn datumojn (kiam, kie, flugbiletaj detaloj). всех vojaĝantoj inkluzivitaj en la turneo, ktp.) en la kvanto de ĉirkaŭ 1,8 mil rekordoj:
"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"Cetere, la ligiloj al pagitaj ekskursoj sufiĉe funkcias:
En indeksoj kun nomo graylog_ en klara teksto estis la ensalutoj kaj pasvortoj de vojaĝagentejoj ligitaj al la sistemo Sletat.ru kaj vendante ekskursojn al siaj klientoj:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."Laŭ miaj taksoj, kelkaj centoj da ensalutaj/pasvortparoj estis montrataj.
El la persona konto de la vojaĝagentejo sur la portalo agent.sletat.ru eblis akiri klientajn datumojn, inkluzive de pasportnombroj, internaciaj pasportoj, datoj de naskiĝo, plenaj nomoj, telefonnumeroj kaj retadresoj.
Mi sciigis la servon Sletat.ru la 15.05.2019/10/46 je la 16:00 (MSK) kaj kelkajn horojn poste (ĝis XNUMX:XNUMX) ĝi malaperis de ilia senpaga aliro. Poste, responde al la publikigo en Kommersant, la administrado de la servo faris tre strangan deklaron per la amaskomunikilaro:
La estro de la kompanio, Andrei Vershinin, klarigis, ke Sletat.ru provizas kelkajn ĉefajn partnerajn turismajn operatorojn per aliro al la historio de demandoj en la serĉilo. Kaj li supozis, ke DeviceLock ricevis ĝin: "Tamen, la specifita datumbazo ne enhavas pasportajn datumojn de turistoj, ensalutojn kaj pasvortojn de vojaĝagentejoj, pagajn informojn, ktp." Andrei Vershinin rimarkis, ke Sletat.ru ankoraŭ ne ricevis pruvojn pri tiaj seriozaj akuzoj. "Ni nun provas kontakti DeviceLock. Ni kredas, ke ĉi tio estas ordo. Iuj homoj ne ŝatas nian rapidan kreskon," li aldonis. "
Kiel montrite supre, ensalutoj, pasvortoj kaj pasportaj datumoj de turistoj estis en publika havaĵo dum sufiĉe longa tempo (almenaŭ ekde la 29.03.2019-a de marto XNUMX, kiam la servilo de la kompanio estis unue registrita en la publika havaĵo de la serĉilo Shodan). Kompreneble, neniu kontaktis nin. Mi esperas, ke ili almenaŭ informis vojaĝagentejojn pri la liko kaj devigis ilin ŝanĝi siajn pasvortojn.
Novaĵoj pri informfuĝoj kaj internuloj ĉiam troveblas ĉe mia Telegram-kanalo "".
fonto: www.habr.com