امروز ما به دو مورد به طور همزمان نگاه خواهیم کرد - داده های مشتریان و شرکای دو شرکت کاملاً متفاوت "به لطف" سرورهای باز Elasticsearch با گزارش های سیستم های اطلاعاتی (IS) این شرکت ها به طور رایگان در دسترس بود.
در مورد اول، این ها ده ها هزار (و شاید صدها هزار) بلیط برای رویدادهای فرهنگی مختلف (تئاتر، باشگاه، سفرهای رودخانه و غیره) هستند که از طریق سیستم راداریو فروخته می شوند.www.radario.ru).
در مورد دوم، این اطلاعات مربوط به سفرهای توریستی هزاران (احتمالاً چند ده هزار) مسافری است که تورها را از طریق آژانس های مسافرتی متصل به سیستم Sletat.ru خریداری کرده اند.www.sletat.ru).
میخواهم فوراً متذکر شوم که نه تنها نام شرکتهایی که اجازه دادهاند دادهها در دسترس عموم قرار گیرد، متفاوت است، بلکه رویکرد این شرکتها برای شناسایی حادثه و واکنش متعاقب آن به آن نیز متفاوت است. اما اول از همه…
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
مورد یک. "راداریو"
در عصر 06.05.2019/XNUMX/XNUMX سیستم ما ، متعلق به سرویس فروش الکترونیک بلیط راداریو.
طبق سنت غم انگیزی که قبلاً ایجاد شده است ، سرور حاوی گزارش های دقیقی از سیستم اطلاعاتی سرویس است که از آنها می توان اطلاعات شخصی ، ورود به سیستم کاربر و رمز عبور و همچنین خود بلیط های الکترونیکی رویدادهای مختلف در سراسر کشور را بدست آورد.
حجم کل گزارشها از 1 ترابایت بیشتر شد.
طبق موتور جستجوی Shodan، این سرور از 11.03.2019 مارس 06.05.2019 در دسترس عموم قرار گرفته است. من در تاریخ 22/50/07.05.2019 در ساعت 09:30 (MSK) به کارکنان راداریو اطلاع دادم و در تاریخ XNUMX/XNUMX/XNUMX در حدود ساعت XNUMX:XNUMX سرور از دسترس خارج شد.
گزارشها حاوی یک نشانه مجوز جهانی (تک) بودند که دسترسی به تمام بلیطهای خریداریشده را از طریق پیوندهای ویژه، مانند:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkمشکل نیز این بود که برای حسابداری بلیط ها از شماره گذاری مداوم سفارش ها و شمارش ساده شماره بلیط (XXXXXXXXX) یا سفارش دهید (آره) امکان دریافت تمامی بلیط ها از سامانه وجود داشت.
برای بررسی ارتباط پایگاه داده، حتی صادقانه ارزان ترین بلیط را برای خودم خریدم:
و بعداً آن را در یک سرور عمومی در گزارش های IS یافت:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkبه طور جداگانه، من می خواهم تأکید کنم که بلیط ها هم برای رویدادهایی که قبلاً برگزار شده و هم برای مواردی که هنوز در حال برنامه ریزی هستند موجود بود. یعنی یک مهاجم بالقوه می تواند از بلیط شخص دیگری برای ورود به رویداد برنامه ریزی شده استفاده کند.
به طور متوسط، هر فهرست Elasticsearch حاوی لاگ برای یک روز خاص (از تاریخ 24.01.2019/07.05.2019/25 تا 35/XNUMX/XNUMX) شامل XNUMX تا XNUMX هزار بلیط بود.
علاوه بر خود بلیطها، این فهرست حاوی لاگین (آدرس ایمیل) و رمزهای عبور متنی برای دسترسی به حسابهای شخصی شرکای راداریو بود که بلیط رویدادهای خود را از طریق این سرویس میفروشند:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"در مجموع، بیش از 500 جفت ورود / رمز عبور شناسایی شد. آمار فروش بلیط در حساب های شخصی شرکا قابل مشاهده است:
همچنین نام، شماره تلفن و آدرس ایمیل خریدارانی که تصمیم به بازگرداندن بلیتهای خریداریشده قبلی داشتند، در دسترس عموم قرار گرفت:
"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"در یک روز انتخاب شده به طور تصادفی، بیش از 500 رکورد از این دست کشف شد.
پاسخی به هشدار مدیر فنی راداریو دریافت کردم:
من مدیر فنی راداریو هستم و از شما برای شناسایی مشکل تشکر می کنم. همانطور که می دانید ما دسترسی به الاستیک را بسته ایم و در حال حل مشکل صدور مجدد بلیط برای مراجعین هستیم.
کمی بعد، این شرکت بیانیه ای رسمی داد:
کریل مالیشف، مدیر بازاریابی شرکت، به خبرگزاری شهر مسکو گفت، یک آسیبپذیری در سیستم فروش بلیط الکترونیکی راداریو کشف شد و به سرعت اصلاح شد، که میتواند منجر به نشت اطلاعات از مشتریان این سرویس شود.
ما در واقع یک آسیبپذیری در عملیات سیستم مرتبط با بهروزرسانیهای منظم کشف کردیم که بلافاصله پس از کشف برطرف شد. در نتیجه آسیب پذیری، تحت شرایط خاص، اقدامات غیر دوستانه اشخاص ثالث می تواند منجر به نشت داده شود، اما هیچ حادثه ای ثبت نشده است. در حال حاضر، همه ایرادات برطرف شده است.
یکی از نمایندگان شرکت تاکید کرد که تصمیم بر این شد که تمامی بلیت های فروخته شده در حین رفع مشکل مجدداً صادر شود تا امکان کلاهبرداری از مشتریان خدمات به طور کامل از بین برود.
چند روز بعد، در دسترس بودن داده ها را با استفاده از پیوندهای لو رفته بررسی کردم - دسترسی به بلیط های "معروف" در واقع پوشش داده شده بود. به نظر من، این یک رویکرد شایسته و حرفه ای برای حل مشکل نشت داده است.
مورد دوم "Fly.ru"
صبح زود 15.05.2019/XNUMX/XNUMX اطلاعات نقض داده DeviceLock یک سرور عمومی Elasticsearch را با گزارشهای یک IS مشخص شناسایی کرد.
بعداً مشخص شد که سرور متعلق به سرویس انتخاب تور "Sletat.ru" است.
از نمایه cbto__0 به دست آوردن هزاران (11,7 هزار با احتساب موارد تکراری) آدرس ایمیل، و همچنین برخی از اطلاعات پرداخت (هزینه های تور) و داده های تور (زمان، کجا، جزئیات بلیط هواپیما) امکان پذیر بود. از همه مسافران شامل تور و غیره) به میزان حدود 1,8 هزار رکورد:
"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"به هر حال، پیوندهای تورهای پولی کاملاً کار می کنند:
در نمایه های با نام خاکستری_ در متن واضح، لاگین و رمز عبور آژانس های مسافرتی متصل به سیستم Sletat.ru و فروش تورها به مشتریان خود بود:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."طبق برآورد من، چند صد جفت ورود/گذرواژه نمایش داده شد.
از حساب شخصی آژانس مسافرتی در پورتال agent.sletat.ru به دست آوردن اطلاعات مشتری از جمله شماره پاسپورت، گذرنامه بین المللی، تاریخ تولد، نام کامل، شماره تلفن و آدرس ایمیل امکان پذیر بود.
من به سرویس Sletat.ru در 15.05.2019/10/46 در ساعت 16:00 (MSK) اطلاع دادم و چند ساعت بعد (تا ساعت XNUMX:XNUMX) از دسترسی رایگان آنها ناپدید شد. بعداً در واکنش به انتشار در کامرسانت، مدیریت این سرویس از طریق رسانه ها اظهار نظر بسیار عجیبی کرد:
رئیس این شرکت، آندری ورشینین، توضیح داد که Sletat.ru تعدادی از اپراتورهای تورهای شریک اصلی را با دسترسی به تاریخچه جستجوها در موتور جستجو فراهم می کند. و او فرض کرد که DeviceLock آن را دریافت کرده است: "با این حال، پایگاه داده مشخص شده حاوی اطلاعات پاسپورت گردشگران، لاگین آژانس مسافرتی و رمز عبور، اطلاعات پرداخت و غیره نیست." آندری ورشینین خاطرنشان کرد که Sletat.ru هنوز هیچ مدرکی مبنی بر چنین اتهامات جدی دریافت نکرده است. ما اکنون در حال تلاش برای تماس با DeviceLock هستیم. ما معتقدیم که این یک دستور است. برخی از مردم رشد سریع ما را دوست ندارند.» "
همانطور که در بالا نشان داده شد، اطلاعات ورود، رمز عبور و گذرنامه گردشگران برای مدت زمان زیادی در مالکیت عمومی بود (حداقل از 29.03.2019 مارس XNUMX، زمانی که سرور شرکت برای اولین بار توسط موتور جستجوی Shodan در مالکیت عمومی ثبت شد). البته کسی با ما تماس نگرفت. امیدوارم حداقل آژانسهای مسافرتی را درمورد این نشت مطلع کرده و آنها را مجبور به تغییر رمز عبور خود کرده باشند.
اخبار مربوط به درز اطلاعات و خودی ها را همیشه می توانید در کانال تلگرام من پیدا کنید.'.
منبع: www.habr.com