Souviens-toi que je et à la maison comment les détails des paiements en faveur de la police de la circulation et de la FSSP des utilisateurs du site se sont avérés être dans le domaine public paiement trafic police.rf, paygibdd.ru, gos-oplata.ru, fines.net и oplata-fssp.ru?
Ne riez pas, ce n'est pas du tout une blague - le même serveur avec les données du même système était à nouveau ouvert au monde entier.
Eh bien, allons découvrir...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Pour commencer, je vous rappelle un peu la chronologie des événements :
- Le 12.04.2019/XNUMX/XNUMX (nuit), un serveur Elasticsearch a été découvert qui ne nécessite pas d'authentification pour se connecter.
- Le 13.04.2019/XNUMX/XNUMX (matin), une notification a été envoyée aux propriétaires de serveurs.
- 13.04.2019/XNUMX/XNUMX (dans l'après-midi) le serveur "tranquillement" a été retiré du libre accès.
Au moment du premier arrêt du serveur, les index Elasticsearch ressemblaient à ceci :
Et le 21.05.2019/16/00 vers XNUMXhXNUMX (heure de Moscou), le même serveur Elasticsearch, avec les mêmes index (plus de nouveaux), apparaît à nouveau dans le domaine public :
Je n'en croyais pas mes yeux quand j'ai vu (immédiatement après la représentation à Journées PH sur le thème de la détection des bases de données ouvertes) dans la notification par e-mail de notre . Pour être honnête, la première pensée a été qu'il s'agissait d'une sorte de problème système.
Cependant, non, ce n'était pas un problème et après avoir tout revérifié manuellement, à 01h25 déjà le 22.05.2019/XNUMX/XNUMX, j'ai de nouveau envoyé une alerte aux mêmes adresses que la première fois.
Depuis la première fermeture, ce serveur a été scanné par Shodan 11 fois et Elasticsearch y a été fermé jusqu'au 21 mai.
Ce n'est que le 24.05.2019/XNUMX/XNUMX au matin que cet Elasticsearch a disparu de l'accès public pour la deuxième fois. Pendant ce temps, les indices ont solidement augmenté :
Et si vous regardez les données (uniquement des informations significatives contenant des données personnelles des citoyens) dans les indices pour la période du 1er mai au 22 mai, alors l'image est la suivante :
- 127,525 XNUMX entrées dans l'index paygibdd
- 49,627 XNUMX entrées dans l'index shtrafov-net
- 162,282 XNUMX entrées dans l'index oplata-fssp
- 220,201 XNUMX entrées dans l'index gosoplata
Exemple de données d'index gosoplata:
Exemple de données d'index paygibdd:
Eh bien, la cerise sur le gâteau était une lettre d'une des adresses à laquelle j'ai envoyé des alertes :
Nous avons reçu votre lettre concernant l'ElasticSearch ouvert - merci pour l'information, la base de données a été fermée. L'administrateur système qui a rouvert l'accès a été licencié. Le service juridique prépare également la soumission au ministère de l'Intérieur de la République du Tatarstan d'une déclaration sur les signes de la présence dans les actions de l'administrateur du système d'une composition en vertu des articles 272 et 273 du Code pénal de la Fédération de Russie .
Les nouvelles sur les fuites d'informations et les initiés peuvent toujours être trouvées sur ma chaîne Telegram "»: .
Source: habr.com