Hjoed sille wy twa gefallen tagelyk sjen - de gegevens fan kliïnten en partners fan twa folslein ferskillende bedriuwen wiene frij beskikber "mei tank oan" iepen Elasticsearch-tsjinners mei logs fan ynformaasjesystemen (IS) fan dizze bedriuwen.
Yn it earste gefal binne dit tsientûzenen (en miskien hûnderttûzenen) kaartsjes foar ferskate kulturele eveneminten (teaters, klups, rivierreizen, ensfh.) ferkocht fia it Radario-systeem (www.radario.ru).
Yn it twadde gefal binne dit gegevens oer toeristyske reizen fan tûzenen (mooglik ferskate tsientûzenen) reizgers dy't reizen kochten fia reisburo's ferbûn mei it Sletat.ru-systeem (www.sletat.ru).
Ik wol fuortdaliks opmerke dat net allinnich de nammen fan de bedriuwen dy't de gegevens iepenbier beskikber makken ferskille, mar ek de oanpak fan dizze bedriuwen om it ynsidint te erkennen en de dêrop folgjende reaksje. Mar earst dingen earst ...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Gefal ien. "Radario"
Yn 'e jûn fan 06.05.2019/XNUMX/XNUMX ús systeem , eigendom fan de elektroanyske kaartferkeap tsjinst Radario.
Neffens de al fêststelde tryste tradysje befette de tsjinner detaillearre logs fan it ynformaasjesysteem fan 'e tsjinst, wêrfan it mooglik wie om persoanlike gegevens, brûkerslogins en wachtwurden te krijen, lykas ek de elektroanyske kaartsjes sels foar ferskate eveneminten yn it hiele lân.
It totale folume fan logs is mear as 1 TB.
Neffens de Shodan-sykmasjine is de tsjinner sûnt 11.03.2019 maart 06.05.2019 iepenbier beskikber. Ik melde Radario-meiwurkers op 22/50/07.05.2019 om 09:30 (MSK) en op XNUMX/XNUMX/XNUMX om sawat XNUMX:XNUMX oere waard de tsjinner net beskikber.
De logs befette in universele (ienige) machtigingstoken, dy't tagong joech ta alle kochte kaartsjes fia spesjale keppelings, lykas:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkIt probleem wie ek dat om rekken te hâlden mei kaartsjes, trochgeande nûmering fan bestellingen waard brûkt en ienfâldige opsomming fan it ticketnûmer (xxxxxxxx) of bestelle (YYYYYYY), wie it mooglik om alle kaartsjes fan it systeem te krijen.
Om de relevânsje fan 'e database te kontrolearjen, kocht ik sels earlik it goedkeapste kaartsje:
en letter fûn it op in iepenbiere server yn 'e IS-logs:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkApart wol ik ûnderstreekje dat kaartsjes beskikber wiene sawol foar eveneminten dy't al plak hawwe as foar dyjingen dy't noch pland binne. Dat is, in potensjele oanfaller koe it kaartsje fan in oar brûke om it plande evenemint yn te gean.
Gemiddeld befette elke Elasticsearch-yndeks mei logs foar ien spesifike dei (begjinnend fan 24.01.2019/07.05.2019/25 oant 35/XNUMX/XNUMX) fan XNUMX oant XNUMX tûzen kaartsjes.
Neist de kaartsjes sels befette de yndeks logins (e-mailadressen) en tekstwachtwurden foar tagong ta de persoanlike akkounts fan Radario-partners dy't kaartsjes ferkeapje foar har eveneminten fia dizze tsjinst:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"Yn totaal waarden mear as 500 oanmeld-/wachtwurdpearen ûntdutsen. Statistiken oer kaartferkeap binne sichtber yn 'e persoanlike akkounts fan partners:
Ek iepenbier beskikber wiene de nammen, telefoannûmers en e-mailadressen fan keapers dy't besletten hawwe om earder kochte tickets werom te jaan:
"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"Op ien willekeurich selektearre dei waarden mear as 500 sokke records ûntdutsen.
Ik krige in antwurd op de warskôging fan de technyske direkteur fan Radario:
Ik bin de technyske direkteur fan Radario en soe graach betankje foar it identifisearjen fan it probleem. Sa't jo witte, hawwe wy sletten tagong ta elastysk en oplosse it probleem fan opnij útjaan fan kaartsjes foar kliïnten.
In bytsje letter makke it bedriuw in offisjele ferklearring:
In kwetsberens waard ûntdutsen yn it Radario elektroanysk kaartferkeapsysteem en prompt korrizjearre, wat kin liede ta in lek fan gegevens fan 'e kliïnten fan' e tsjinst, fertelde de marketingdirekteur fan it bedriuw, Kirill Malyshev, it Moscow City News Agency.
"Wy hawwe eins in kwetsberens ûntdutsen yn 'e systeemoperaasje ferbûn mei reguliere updates, dy't direkt nei ûntdekking waard repareare. As gefolch fan 'e kwetsberens kinne ûnder bepaalde betingsten ûnfreonlike aksjes fan tredden liede ta gegevenslekken, mar gjin ynsidinten waarden opnommen. Op it stuit binne alle fouten elimineare, "sei K. Malyshev.
In fertsjintwurdiger fan it bedriuw beklamme dat it waard besletten om alle kaartsjes opnij út te jaan dy't ferkocht binne tidens de oplossing fan it probleem om de mooglikheid fan fraude tsjin tsjinstkliïnten folslein te eliminearjen.
In pear dagen letter kontrolearre ik de beskikberens fan gegevens mei de útlekte keppelings - tagong ta de "bleatstelde" kaartsjes wie yndie bedekt. Yn myn miening is dit in kompetinte, profesjonele oanpak foar it oplossen fan it probleem fan gegevenslekkage.
Gefal twa. "Fly.ru"
Moarn betiid 15.05.2019/XNUMX/XNUMX DeviceLock Data Breach Intelligence identifisearre in iepenbiere Elasticsearch-tsjinner mei logs fan in bepaalde IS.
Letter waard fêststeld dat de tsjinner heart ta de tour seleksje tsjinst "Sletat.ru".
Fan yndeks cbto__0 it wie mooglik om tûzenen (11,7 tûzen ynklusyf duplikaten) fan e-mailadressen te krijen, lykas ek wat betellingsynformaasje (reiskosten) en toergegevens (wannear, wêr, details fan fleantickets всех reizgers opnommen yn 'e tocht, ensfh.) yn it bedrach fan sawat 1,8 tûzen records:
"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"Trouwens, de keppelings nei betelle tochten wurkje aardich:
Yn yndeksen mei namme greylog_ yn dúdlike tekst wiene de oanmeldingen en wachtwurden fan reisburo's ferbûn mei it Sletat.ru-systeem en ferkochten tochten oan har kliïnten:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."Neffens myn skattingen waarden ferskate hûnderten oanmeld-/wachtwurdpearen werjûn.
Fan it persoanlike akkount fan it reisburo op it portaal agent.sletat.ru it wie mooglik om klantgegevens te krijen, ynklusyf paspoartnûmers, ynternasjonale paspoarten, bertedatums, folsleine nammen, telefoannûmers en e-mailadressen.
Ik haw de tsjinst Sletat.ru op 'e hichte brocht op 15.05.2019/10/46 om 16:00 (MSK) en in pear oeren letter (oant XNUMX:XNUMX) ferdwûn it út har fergese tagong. Letter, yn reaksje op de publikaasje yn Kommersant, makke it management fan 'e tsjinst in heul nuvere ferklearring fia de media:
De haad fan it bedriuw, Andrei Vershinin, ferklearre dat Sletat.ru in oantal grutte partner touroperators tagong jout ta de skiednis fan fragen yn 'e sykmasine. En hy naam oan dat DeviceLock it ûntfong: "De opjûne databank befettet lykwols gjin paspoartgegevens fan toeristen, logins en wachtwurden fan reisburo's, betellingsynformaasje, ensfh." Andrei Vershinin merkte op dat Sletat.ru noch gjin bewiis hat krigen fan sokke serieuze beskuldigingen. "Wy besykje no kontakt te meitsjen mei DeviceLock. Wy leauwe dat dit in oarder is. Guon minsken hâlde ús rappe groei net, "tafoege hy. "
Lykas hjirboppe toand, wiene oanmeldingen, wachtwurden en paspoartgegevens fan toeristen in lange tiid yn it publike domein (teminsten sûnt 29.03.2019 maart XNUMX, doe't de tsjinner fan it bedriuw foar it earst waard opnommen yn it publike domein troch de Shodan-sykmasjine). Fansels hat nimmen kontakt mei ús hân. Ik hoopje dat se teminsten reisburo's ynformeare oer it lek en twongen har te feroarjen har wachtwurden.
Nijs oer ynformaasjelekken en ynsiders kinne altyd fûn wurde op myn Telegram-kanaal "".
Boarne: www.habr.com