Gaur bi kasu aztertuko ditugu aldi berean: bi enpresa guztiz ezberdinen bezeroen eta bazkideen datuak doan eskuragarri zeuden "esker" Elasticsearch zerbitzari irekiei, enpresa horien informazio sistemen (IS) erregistroekin.
Lehenengo kasuan, Radario sistemaren bidez saldutako hainbat kultur ekitalditarako (antzokiak, klubak, ibai-ibilaldiak...) dozenaka mila (eta agian ehunka mila) sarrera dira (www.radario.ru).
Bigarren kasuan, Sletat.ru sistemarekin lotutako bidaia agentzien bidez bisitak erosi zituzten milaka bidaiariren (baliteke hainbat milaka) bidaiari buruzko datuak dira (www.sletat.ru).
Berehala adierazi nahiko nuke datuak publikoki eskuragarri izatea ahalbidetu zuten enpresen izenak ez ezik, gertakaria ezagutzeko eta horren ondoriozko erreakzioa ezagutzeko duten planteamendua ere desberdina dela. Baina lehenik eta behin...
ΠΠΈΡΠΊΠ»Π΅ΠΉΠΌΠ΅Ρ: Π²ΡΡ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ Π½ΠΈΠΆΠ΅ ΠΏΡΠ±Π»ΠΈΠΊΡΠ΅ΡΡΡ ΠΈΡΠΊΠ»ΡΡΠΈΡΠ΅Π»ΡΠ½ΠΎ Π² ΠΎΠ±ΡΠ°Π·ΠΎΠ²Π°ΡΠ΅Π»ΡΠ½ΡΡ
ΡΠ΅Π»ΡΡ
. ΠΠ²ΡΠΎΡ Π½Π΅ ΠΏΠΎΠ»ΡΡΠ°Π» Π΄ΠΎΡΡΡΠΏΠ° ΠΊ ΠΏΠ΅ΡΡΠΎΠ½Π°Π»ΡΠ½ΡΠΌ Π΄Π°Π½Π½ΡΠΌ ΡΡΠ΅ΡΡΠΈΡ
Π»ΠΈΡ ΠΈ ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΉ. ΠΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ Π²Π·ΡΡΠ° Π»ΠΈΠ±ΠΎ ΠΈΠ· ΠΎΡΠΊΡΡΡΡΡ
ΠΈΡΡΠΎΡΠ½ΠΈΠΊΠΎΠ², Π»ΠΈΠ±ΠΎ Π±ΡΠ»Π° ΠΏΡΠ΅Π΄ΠΎΡΡΠ°Π²Π»Π΅Π½Π° Π°Π²ΡΠΎΡΡ Π°Π½ΠΎΠ½ΠΈΠΌΠ½ΡΠΌΠΈ Π΄ΠΎΠ±ΡΠΎΠΆΠ΅Π»Π°ΡΠ΅Π»ΡΠΌΠΈ.
Kasu bat. "Radario"
06.05.2019/XNUMX/XNUMXko arratsaldean gure sistema , sarrera elektronikoen salmenta Radario zerbitzuaren jabetzakoa.
Dagoeneko ezarritako tradizio tristearen arabera, zerbitzariak zerbitzuaren informazio sistemaren erregistro zehatzak zituen, eta bertatik datu pertsonalak, erabiltzaileen saio-saioa eta pasahitzak eskuratu ahal izan ziren, baita herrialde osoko hainbat ekitalditarako sarrera elektronikoak berak ere.
Erregistroen guztizko bolumena TB 1 baino gehiagokoa izan zen.
Shodan bilatzailearen arabera, zerbitzaria publikoki eskuragarri dago 11.03.2019ko martxoaren 06.05.2019tik. Radarioko langileei jakinarazi nien 22/50/07.05.2019ean 09:30ean (MSK) eta XNUMX/XNUMX/XNUMXean XNUMX:XNUMXean zerbitzaria ez zegoen erabilgarri.
Erregistroek baimen unibertsala (bakarra) zuten, esteka berezien bidez erositako txartel guztietarako sarbidea emanez, hala nola:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkArazoa zen, halaber, txartelak kontabilizatzeko, eskaerak etengabeko zenbaketa erabiltzen zela eta txartelaren zenbakiaren zenbaketa sinplea (XXXXXXXXX) edo agindu (YYYYYYY), sistematik sarrera guztiak eskuratzea posible zen.
Datu-basearen garrantzia egiaztatzeko, zintzotasunez erosi nuen txartela merkeena:
eta geroago IS erregistroetan zerbitzari publiko batean aurkitu zuen:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkBereiz, azpimarratu nahiko nuke sarrerak eskuragarri zeudela bai dagoeneko egin diren ekitaldietarako, bai oraindik antolatzen ari direnetarako. Hau da, balizko erasotzaile batek beste norbaiten txartela erabil dezake aurreikusitako ekitaldian sartzeko.
Batez beste, egun zehatz bateko erregistroak dituen Elasticsearch indize bakoitzak (24.01.2019/07.05.2019/25tik 35/XNUMX/XNUMXera arte) XNUMX eta XNUMX mila sarrera zituen.
Sarrerez gain, indizeak zerbitzu honen bidez euren ekitaldietarako sarrerak saltzen dituzten Radarioko bazkideen kontu pertsonaletara sartzeko saio-hasierak (helbide elektronikoak) eta testu-pasahitzak zeuden:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"Guztira, 500 saio-hasiera/pasahitz bikote baino gehiago detektatu ziren. Sarreren salmenta-estatistikak bazkideen kontu pertsonaletan daude ikusgai:
Era berean, publikoki eskuragarri zeuden aurrez erositako sarrerak itzultzea erabaki duten erosleen izenak, telefono zenbakiak eta helbide elektronikoak:
"Content": "{"name":"***","surname":"*** ","middleName":"ΠΠ²Π³Π΅Π½ΡΠ΅Π²Π½Π° ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"Ausaz hautatutako egun batean, horrelako 500 erregistro baino gehiago aurkitu ziren.
Radarioko zuzendari teknikoaren alertari erantzuna jaso nuen:
Radarioko zuzendari teknikoa naiz eta eskerrak eman nahi nizkizuke arazoa identifikatu izanagatik. Dakizuenez, elastikorako sarbidea itxi dugu eta bezeroentzako txartelak berriro jaulkitzearen arazoa konpontzen ari gara.
Pixka bat geroago konpainiak adierazpen ofiziala egin zuen:
Radario txartel elektronikoen salmenta sisteman ahultasun bat aurkitu eta berehala zuzendu da, zerbitzuaren bezeroen datuen filtrazioa ekar zezakeela, Kirill Malyshev konpainiako marketin zuzendariak Moskuko Hiri Berri Agentziari esan dionez.
"Egia esan, eguneratze arruntekin lotutako sistemaren funtzionamenduan ahultasun bat aurkitu genuen, aurkitu eta berehala konpondu zena. Ahultasunaren ondorioz, baldintza jakin batzuetan, hirugarrenen lagunarteko ekintzak datu-ihesak eragin ditzakete, baina ez zen intzidentziarik erregistratu. Momentuz, akats guztiak ezabatu diraΒ», esan du K. Malyshevek.
Enpresako ordezkari batek nabarmendu du arazoa konpontzen den bitartean saltzen diren txartel guztiak berriro kaleratzea erabaki dela, zerbitzuaren bezeroen aurkako edozein iruzur egiteko aukera guztiz ezabatzeko.
Egun batzuk geroago, filtratutako estekak erabiliz datuen erabilgarritasuna egiaztatu nuen - "ageriko" txarteletarako sarbidea estalita zegoen. Nire ustez, datuen ihesaren arazoa konpontzeko ikuspegi eskudun eta profesionala da.
Bigarren kasua. "Fly.ru"
15.05.2019/XNUMX/XNUMX goizean goiz DeviceLock datuen urraketa adimena IS jakin baten erregistroekin Elasticsearch zerbitzari publiko bat identifikatu zuen.
Geroago, zerbitzaria "Sletat.ru" ibilaldi hautatzeko zerbitzuarena dela ezarri zen.
Aurkibidetik cbto__0 milaka (11,7 mila bikoiztuak barne) helbide elektronikoak eskuratu ahal izan ziren, baita ordainketa-informazio batzuk (bidaien kostuak) eta bidaiaren datuak (noiz, non, hegazkin txartelaren xehetasunak). guztiak bidaian sartutako bidaiariak, etab.) 1,8 mila erregistro inguru:
"full_message": "ΠΠΎΠ»ΡΡΠ΅Π½ Π·Π°ΠΏΡΠΎΡ Π·Π° ΡΠΎΠ·Π΄Π°Π½ΠΈΠ΅ ΠΏΠ»Π°ΡΠ΅ΠΆΠ½ΠΎΠ³ΠΎ ΡΡΠ΅Π΄ΡΡΠ²Π°: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"Bide batez, ordaindutako ibilaldietarako estekak nahiko funtzionatzen ari dira:
Izena duten aurkibideetan greylog_ testu argian Sletat.ru sistemara konektatutako bidaia agentzien saio-hasiera eta pasahitzak zeuden eta beren bezeroei bisitak saltzen zituzten:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."Nire kalkuluen arabera, ehunka saio-hasiera/pasahitz bikote bistaratu ziren.
Bidaia agentziaren kontu pertsonaletik atarian agente.sletat.ru bezeroen datuak eskuratu ahal izan ziren, pasaporte-zenbakiak, nazioarteko pasaporteak, jaiotegunak, izen-abizenak, telefono-zenbakiak eta helbide elektronikoak barne.
Sletat.ru zerbitzuari jakinarazi nion 15.05.2019/10/46ean 16:00an (MSK) eta ordu batzuk geroago (XNUMX:XNUMXak arte) doako sarbidetik desagertu egin zen. Gero, Kommersant-en argitaratutakoari erantzunez, zerbitzuaren zuzendaritzak oso adierazpen bitxia egin zuen komunikabideen bidez:
Enpresako buruak, Andrei Vershininek, azaldu duenez, Sletat.ru-k bazkide tour-operadore handi batzuei bilatzaileko kontsulten historiarako sarbidea eskaintzen die. Eta DeviceLock-ek jaso zuela suposatu zuen: "Hala ere, zehaztutako datu-baseak ez du turisten pasaportearen datuak, bidaia agentzien saio-saioa eta pasahitzak, ordainketa-informazioa, etab.". Andrei Vershininek adierazi du Sletat.ru-k oraindik ez duela halako akusazio larrien frogarik jaso. "Orain DeviceLock-ekin harremanetan jartzen saiatzen ari gara. Hau agindu bat dela uste dugu. Batzuei ez zaie gustatzen gure hazkunde azkarra", gaineratu zuen. "
Goian erakusten den bezala, saio-hasierak, pasahitzak eta turisten pasaporteen datuak domeinu publikoan egon ziren denbora luzez (gutxienez 29.03.2019ko martxoaren XNUMXtik, Shodan bilatzaileak konpainiaren zerbitzaria domeinu publikoan erregistratu zuenetik). Noski, inor ez zen gurekin harremanetan jarri. Espero dut gutxienez bidaia agentziei filtrazioaren berri eman eta pasahitzak aldatzera behartu izana.
Informazio filtrazioei eta barrukoei buruzko albisteak beti aurki daitezke nire Telegram kanalean "'.
Iturria: www.habr.com