Hoxe analizaremos dous casos á vez: os datos de clientes e socios de dúas empresas completamente diferentes estaban dispoñibles gratuitamente "grazas" aos servidores de Elasticsearch abertos con rexistros dos sistemas de información (IS) destas empresas.
No primeiro caso, trátase de decenas de miles (e quizais centos de miles) de entradas para diversos eventos culturais (teatros, discotecas, paseos fluviais, etc.) vendidos a través do sistema Radario (www.radario.ru).
No segundo caso, trátase de datos sobre viaxes turísticas de miles (posiblemente varias decenas de miles) de viaxeiros que compraron viaxes a través de axencias de viaxes conectadas ao sistema Sletat.ru (www.sletat.ru).
Gustaríame sinalar de inmediato que non só os nomes das empresas que permitiron que os datos fosen dispoñibles públicamente difiren, senón tamén o enfoque destas empresas para recoñecer o incidente e a reacción posterior ao mesmo. Pero primeiro o primeiro...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Caso un. "Radario"
Na noite do 06.05.2019/XNUMX/XNUMX o noso sistema , propiedade do servizo de venda electrónica de billetes Radario.
Segundo a triste tradición xa consolidada, o servidor contiña rexistros detallados do sistema de información do servizo, dos que se podían obter datos persoais, inicios de sesión e contrasinais de usuarios, así como as propias entradas electrónicas para diversos eventos en todo o país.
O volume total de rexistros superou 1 TB.
Segundo o buscador Shodan, o servidor está dispoñible publicamente desde o 11.03.2019 de marzo de 06.05.2019. Avisei aos empregados de Radario o 22/50/07.05.2019 ás 09:30 (MSK) e o XNUMX/XNUMX/XNUMX ás XNUMX:XNUMX aproximadamente, o servidor non estaba dispoñible.
Os rexistros contiñan un token de autorización universal (único), que proporcionaba acceso a todas as entradas compradas mediante ligazóns especiais, como:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkO problema tamén foi que para contabilizar os tickets utilizouse a numeración continua de pedidos e a simple enumeración do número de ticket (XXXXXXXX) ou pedir (YYYYYYY), foi posible obter todos os tickets do sistema.
Para comprobar a relevancia da base de datos, incluso comprei sinceramente o billete máis barato:
e máis tarde atopouno nun servidor público nos rexistros de IS:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkPor separado, quero subliñar que as entradas estaban dispoñibles tanto para eventos que xa se realizaron como para os que aínda están en programación. É dicir, un atacante potencial podería usar o ticket doutra persoa para entrar no evento planificado.
De media, cada índice de Elasticsearch que contiña rexistros dun día específico (a partir do 24.01.2019/07.05.2019/25 ao 35/XNUMX/XNUMX) contiña de XNUMX a XNUMX mil tickets.
Ademais das propias entradas, o índice contiña inicios de sesión (enderezos de correo electrónico) e contrasinais de texto para acceder ás contas persoais dos socios de Radario que venden entradas para os seus eventos a través deste servizo:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"En total, detectáronse máis de 500 pares de inicio de sesión/contrasinal. As estatísticas de venda de entradas están visibles nas contas persoais dos socios:
Tamén estaban dispoñibles públicamente os nomes, números de teléfono e enderezos de correo electrónico dos compradores que decidiron devolver as entradas compradas anteriormente:
"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"Nun día seleccionado ao azar, descubríronse máis de 500 rexistros deste tipo.
Recibín unha resposta á alerta do director técnico de Radario:
Son o director técnico de Radario e quero agradecerlle a identificación do problema. Como sabedes, pechamos o acceso a elastic e estamos resolvendo o problema da reemisión de tickets para os clientes.
Pouco despois, a empresa fixo unha declaración oficial:
Descubriuse unha vulnerabilidade no sistema de venda de billetes electrónicos Radario e corrixiuse de inmediato, o que podería provocar unha fuga de datos dos clientes do servizo, dixo o director de mercadotecnia da compañía, Kirill Malyshev, á Axencia de Noticias da cidade de Moscova.
"Realmente descubrimos unha vulnerabilidade no funcionamento do sistema asociada con actualizacións regulares, que foi solucionada inmediatamente despois do descubrimento. Como consecuencia da vulnerabilidade, en determinadas condicións, as accións hostiles de terceiros poderían provocar fugas de datos, pero non se rexistraron incidentes. Polo momento, todas as faltas foron eliminadas”, dixo K. Malyshev.
Un representante da empresa subliñou que se decidiu reeditar todos os tickets vendidos durante a solución do problema para eliminar por completo a posibilidade de calquera fraude contra os clientes do servizo.
Uns días despois, comprobei a dispoñibilidade de datos usando as ligazóns filtradas: o acceso aos tickets "expostos" estaba realmente cuberto. Na miña opinión, este é un enfoque competente e profesional para resolver o problema da fuga de datos.
Caso dous. "Fly.ru"
A primeira hora da mañá do 15.05.2019/XNUMX/XNUMX DeviceLock Data Breach Intelligence identificou un servidor público de Elasticsearch con rexistros dun determinado IS.
Máis tarde estableceuse que o servidor pertence ao servizo de selección de viaxes "Sletat.ru".
Do índice cbto__0 foi posible obter miles (11,7 mil incluídos os duplicados) de enderezos de correo electrónico, así como algunha información de pago (custos da viaxe) e datos da viaxe (cando, onde, detalles do billete de avión). Todo viaxeiros incluídos no percorrido, etc.) por uns 1,8 mil rexistros:
"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"Por certo, as ligazóns ás visitas de pago funcionan bastante:
En índices con nome greylog_ en texto claro estaban os inicios de sesión e contrasinais das axencias de viaxes conectadas ao sistema Sletat.ru e que vendían tours aos seus clientes:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."Segundo as miñas estimacións, mostráronse varios centos de pares de inicio de sesión/contrasinal.
Desde a conta persoal da axencia de viaxes no portal axente.sletat.ru foi posible obter datos de clientes, incluíndo números de pasaporte, pasaportes internacionais, datas de nacemento, nomes completos, números de teléfono e enderezos de correo electrónico.
Avisei ao servizo Sletat.ru o 15.05.2019/10/46 ás 16:00 (MSK) e unhas horas máis tarde (ata as XNUMX:XNUMX) desapareceu do seu acceso gratuíto. Máis tarde, en resposta á publicación en Kommersant, a dirección do servizo fixo unha declaración moi estraña a través dos medios:
O xefe da empresa, Andrei Vershinin, explicou que Sletat.ru ofrece a varios operadores turísticos socios importantes acceso ao historial de consultas no buscador. E asumiu que DeviceLock o recibiu: "Non obstante, a base de datos especificada non contén datos de pasaportes de turistas, inicios de sesión e contrasinais das axencias de viaxes, información de pago, etc". Andrei Vershinin sinalou que Sletat.ru aínda non recibiu ningunha proba de acusacións tan graves. "Agora estamos tentando contactar con DeviceLock. Cremos que esta é unha orde. A algunhas persoas non lles gusta o noso rápido crecemento", engadiu. "
Como se mostra arriba, os datos de inicio de sesión, contrasinais e pasaportes dos turistas foron de dominio público durante bastante tempo (polo menos desde o 29.03.2019 de marzo de XNUMX, cando o servidor da empresa foi rexistrado por primeira vez no dominio público polo motor de busca Shodan). Por suposto, ninguén se puxo en contacto connosco. Espero que polo menos avisasen ás axencias de viaxes da filtración e obrigasen a cambiar os seus contrasinais.
As noticias sobre filtracións de información e información privilegiada sempre pódense atopar na miña canle de Telegram "».
Fonte: www.habr.com