An-diugh seallaidh sinn ri dà chùis aig an aon àm - bha dàta luchd-dèiligidh agus com-pàirtichean dà chompanaidh gu tur eadar-dhealaichte ri fhaighinn gu saor “taing do” frithealaichean Elasticsearch fhosgladh le logaichean de shiostaman fiosrachaidh (IS) de na companaidhean sin.
Anns a 'chiad chùis, is iad sin deichean de mhìltean (agus' s dòcha na ceudan de mhìltean) de thiocaidean airson diofar thachartasan cultarail (taighean-cluiche, clubaichean, turasan abhainn, msaa) air an reic tron t-siostam Radario (www.radario.ru).
Anns an dàrna cùis, is e seo dàta mu thursan luchd-turais de mhìltean (is dòcha grunn deichean de mhìltean) de luchd-siubhail a cheannaich tursan tro bhuidhnean siubhail ceangailte ri siostam Sletat.ru (www.sletat.ru).
Bu mhath leam a thoirt fa-near sa bhad nach e a-mhàin ainmean nan companaidhean a leig leis an dàta a bhith ri fhaighinn gu poblach eadar-dhealaichte, ach cuideachd dòigh-obrach nan companaidhean sin gus an tachartas aithneachadh agus an ath-bheachd air. Ach a’ chiad rudan an-toiseach…
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Cùis a h-aon. "Radario"
Air feasgar 06.05.2019/XNUMX/XNUMX an siostam againn , a tha leis an t-seirbheis reic thiogaidean dealanach Radario.
A rèir an traidisean brònach a chaidh a stèidheachadh mar-thà, bha clàran mionaideach aig an t-seirbheisiche de shiostam fiosrachaidh na seirbheis, às an robh e comasach dàta pearsanta fhaighinn, logaichean luchd-cleachdaidh agus faclan-faire, a bharrachd air na tiogaidean dealanach fhèin airson diofar thachartasan air feadh na dùthcha.
Bha an àireamh iomlan de logaichean nas àirde na 1 TB.
A rèir einnsean sgrùdaidh Shodan, tha am frithealaiche air a bhith ri fhaighinn gu poblach bho 11.03.2019 Màrt 06.05.2019. Chuir mi fios gu luchd-obrach Radario air 22/50/07.05.2019 aig 09:30 (MSK) agus air XNUMX/XNUMX/XNUMX aig mu XNUMX:XNUMX cha robh am frithealaiche ri fhaighinn.
Bha comharra cead uile-choitcheann (singilte) anns na logaichean, a’ toirt cothrom air a h-uile tiogaid a chaidh a cheannach tro cheanglaichean sònraichte, leithid:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkB’ e an duilgheadas a bh’ ann cuideachd, airson cunntas a thoirt air tiogaidean, gun deach àireamh leantainneach de òrduighean a chleachdadh agus àireamhachadh sìmplidh de àireamh nan tiogaidean (XXXXXXX) no òrdugh (YYYYYYYY), bha e comasach na tiogaidean gu lèir fhaighinn bhon t-siostam.
Gus sgrùdadh a dhèanamh air iomchaidheachd an stòr-dàta, cheannaich mi eadhon gu onarach an tiogaid as saoire:
agus an dèidh sin lorg e air frithealaiche poblach anns na logaichean IS:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkAir leth, bu mhath leam cuideam a chuir air gun robh tiogaidean rim faighinn an dà chuid airson tachartasan a tha air tachairt mar-thà agus dhaibhsan a tha fhathast gan dealbhadh. Is e sin, dh’ fhaodadh neach-ionnsaigh tiogaid cuideigin eile a chleachdadh airson a dhol a-steach don tachartas a tha san amharc.
Gu cuibheasach, bha gach clàr-amais Elasticsearch anns a bheil logaichean airson aon latha sònraichte (a ’tòiseachadh bho 24.01.2019/07.05.2019/25 gu 35/XNUMX/XNUMX) eadar XNUMX agus XNUMX mìle tiogaid.
A bharrachd air na tiogaidean fhèin, bha logins (seòlaidhean post-d) agus faclan-faire teacsa airson faighinn gu cunntasan pearsanta chom-pàirtichean Radario a bhios a’ reic thiogaidean dha na tachartasan aca tron t-seirbheis seo:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"Gu h-iomlan, chaidh còrr air 500 paidhir logadh a-steach / facal-faire a lorg. Tha staitistig reic thiogaidean rim faicinn ann an cunntasan pearsanta chom-pàirtichean:
Cuideachd rim faighinn gu poblach bha ainmean, àireamhan fòn agus seòlaidhean puist-d luchd-ceannach a chuir roimhe tiogaidean a chaidh a cheannach roimhe a thilleadh:
"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"Ann an aon latha a chaidh a thaghadh air thuaiream, chaidh còrr air 500 clàr den leithid a lorg.
Fhuair mi freagairt don rabhadh bho stiùiriche teignigeach Radario:
Tha mi nam stiùiriche teignigeach air Radario agus bu mhath leam taing a thoirt dhut airson an duilgheadas a chomharrachadh. Mar a tha fios agad, tha sinn air cothrom air elastic a dhùnadh agus tha sinn a’ fuasgladh na cùise mu bhith ag ath-sgaoileadh thiogaidean do luchd-dèiligidh.
Beagan nas fhaide air adhart rinn a’ chompanaidh aithris oifigeil:
Chaidh so-leòntachd a lorg ann an siostam reic thiogaidean dealanach Radario agus chaidh a cheartachadh gu sgiobalta, a dh’ fhaodadh leantainn gu aodion dàta bho luchd-dèiligidh na seirbheis, thuirt stiùiriche margaidheachd na companaidh, Kirill Malyshev, ri Buidheann Naidheachd Cathair Moscow.
“Fhuair sinn a-mach gu robh so-leòntachd ann an gnìomhachd an t-siostaim co-cheangailte ri ùrachaidhean cunbhalach, a chaidh a shuidheachadh dìreach às deidh an lorg. Mar thoradh air an so-leòntachd, fo chumhachan sònraichte, dh’ fhaodadh gnìomhan mì-chàirdeil treas phàrtaidhean leantainn gu aodion dàta, ach cha deach tachartasan sam bith a chlàradh. Aig an àm seo, chaidh na sgàinidhean uile a chuir às," thuirt K. Malyshev.
Dhaingnich riochdaire companaidh gun deach co-dhùnadh a h-uile tiogaid a chaidh a reic ath-sgaoileadh fhad ‘s a bha iad a’ fuasgladh na duilgheadas gus cuir às gu tur comasachd foill sam bith an aghaidh teachdaichean seirbheis.
Beagan làithean às deidh sin, rinn mi sgrùdadh air na bha ri fhaighinn de dhàta a ’cleachdadh na ceanglaichean a chaidh a leigeil ma sgaoil - gu dearbh bha cothrom air na tiogaidean“ fosgailte ”. Nam bheachd-sa, is e dòigh chomasach, proifeasanta a tha seo airson fuasgladh fhaighinn air duilgheadas aodion dàta.
Cùis a dhà. "Fly.ru"
Tràth sa mhadainn 15.05.2019/XNUMX/XNUMX Fiosrachadh briseadh dàta DeviceLock chomharraich e frithealaiche Elasticsearch poblach le logaichean de IS sònraichte.
Nas fhaide air adhart chaidh a stèidheachadh gu bheil am frithealaiche a bhuineas don t-seirbheis taghadh turas “Sletat.ru”.
Bho chlàr-amais cbto__0 bha e comasach mìltean (11,7 mìle a’ toirt a-steach dùblaidhean) de sheòlaidhean puist-d fhaighinn, a bharrachd air beagan fiosrachaidh pàighidh (cosgaisean turais) agus dàta turais (cuin, càite, mion-fhiosrachadh tiogaid adhair всех luchd-siubhail air an gabhail a-steach sa chuairt, msaa) anns an uiread de mu 1,8 mìle clàr:
"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"Air an t-slighe, tha na ceanglaichean gu cuairtean pàighte gu math ag obair:
Ann an clàran-amais le ainm liath-log_ ann an teacsa soilleir bha logaichean agus faclan-faire bhuidhnean siubhail ceangailte ris an t-siostam Sletat.ru agus a’ reic chuairtean don luchd-dèiligidh aca:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."A rèir mo mheasaidhean, chaidh ceudan de chàraidean logadh a-steach / facal-faire a thaisbeanadh.
Bho chunntas pearsanta na buidhne siubhail air an portal àidseant.sletat.ru bha e comasach dàta teachdaiche fhaighinn, a’ toirt a-steach àireamhan cead-siubhail, ceadan-siubhail eadar-nàiseanta, cinn-latha breith, ainmean slàn, àireamhan fòn agus seòlaidhean puist-d.
Chuir mi fios gu seirbheis Sletat.ru air 15.05.2019/10/46 aig 16:00 (MSK) agus beagan uairean a thìde às deidh sin (gu XNUMX:XNUMX) chaidh e à sealladh bhon ruigsinneachd an-asgaidh aca. Nas fhaide air adhart, mar fhreagairt don fhoillseachadh ann an Kommersant, rinn riaghladh na seirbheis aithris gu math neònach tro na meadhanan:
Mhìnich ceannard a 'chompanaidh, Andrei Vershinin, gu bheil Sletat.ru a' toirt cothrom do ghrunn phrìomh chompanaidhean turas com-pàirteach air eachdraidh cheistean san einnsean sgrùdaidh. Agus ghabh e ris gun d’ fhuair DeviceLock e: “Ach, chan eil dàta cead-siubhail luchd-turais, logaichean bhuidhnean siubhail agus faclan-faire, fiosrachadh pàighidh, msaa anns an stòr-dàta ainmichte. Thug Andrei Vershinin fa-near nach eil Sletat.ru fhathast air fianais sam bith fhaighinn mu chasaidean cho dona. “Tha sinn a-nis a’ feuchainn ri fios a chuir gu DeviceLock. Tha sinn a’ creidsinn gur e òrdugh a tha seo. Tha cuid de dhaoine nach toil leis an fhàs luath againn," thuirt e. "
Mar a chithear gu h-àrd, bha logaichean, faclan-faire, agus dàta cead-siubhail luchd-turais san raon phoblach airson ùine mhòr (co-dhiù bho 29.03.2019 Màrt XNUMX, nuair a chaidh frithealaiche na companaidh a chlàradh an toiseach san raon phoblach le einnsean sgrùdaidh Shodan). Gu dearbh, cha do chuir duine fios thugainn. Tha mi an dòchas co-dhiù gun do chuir iad fios gu buidhnean siubhail mun aodion agus gun tug iad orra na faclan-faire aca atharrachadh.
Gheibhear naidheachdan mu aoidion fiosrachaidh agus daoine a-staigh an-còmhnaidh air an t-sianal Telegram agam"".
Source: www.habr.com