Danas ćemo pogledati dva slučaja odjednom - podaci klijenata i partnera dviju potpuno različitih tvrtki bili su slobodno dostupni "zahvaljujući" otvorenim Elasticsearch poslužiteljima s zapisnicima informacijskih sustava (IS) tih tvrtki.
U prvom slučaju radi se o desecima tisuća (a možda i stotinama tisuća) ulaznica za razne kulturne događaje (kazališta, klubovi, riječni izleti i sl.) prodanih preko sustava Radario (www.radario.ru).
U drugom slučaju radi se o podacima o turističkim putovanjima tisuća (moguće nekoliko desetaka tisuća) putnika koji su kupili ture preko turističkih agencija povezanih sa sustavom Sletat.ru (www.sletat.ru).
Odmah napominjem da se razlikuju ne samo nazivi tvrtki koje su omogućile da podaci postanu javno dostupni, već i pristup tih tvrtki prepoznavanju incidenta i naknadnoj reakciji na njega. Ali prvo o svemu...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Slučaj prvi. "Radario"
U večernjim satima 06.05.2019 naš sustav , u vlasništvu servisa za elektroničku prodaju karata Radario.
Po već ustaljenoj tužnoj tradiciji, server je sadržavao detaljne logove informacijskog sustava servisa iz kojih je bilo moguće dobiti osobne podatke, korisničke logine i lozinke, kao i same elektroničke ulaznice za razna događanja diljem zemlje.
Ukupna količina zapisa premašila je 1 TB.
Prema tražilici Shodan, poslužitelj je javno dostupan od 11.03.2019. ožujka 06.05.2019. Zaposlenike Radarija sam obavijestio 22 u 50:07.05.2019 (MSK) i 09 oko 30:XNUMX poslužitelj je postao nedostupan.
Dnevnici su sadržavali univerzalni (jedan) autorizacijski token, koji je omogućavao pristup svim kupljenim ulaznicama putem posebnih poveznica, poput:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkProblem je također bio što se za obračun ulaznica koristilo kontinuirano numeriranje naloga i jednostavno nabrajanje broja karte (XXXXXXXXX) ili naručiti (YYYYYYY), bilo je moguće nabaviti sve ulaznice iz sustava.
Da provjerim relevantnost baze podataka, čak sam sebi pošteno kupio najjeftiniju kartu:
a kasnije ga pronašao na javnom poslužitelju u zapisima IS-a:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkPosebno želim naglasiti da je bilo ulaznica za događaje koji su već održani i za one koji su u planu. Odnosno, potencijalni napadač mogao bi iskoristiti tuđu ulaznicu za ulazak na planirani događaj.
U prosjeku, svaki Elasticsearch indeks koji sadrži zapise za jedan određeni dan (počevši od 24.01.2019. do 07.05.2019.) sadržavao je od 25 do 35 tisuća ulaznica.
Indeks je osim samih ulaznica sadržavao logine (e-mail adrese) i tekstualne lozinke za pristup osobnim računima Radario partnera koji putem ove usluge prodaju ulaznice za svoje događaje:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"Ukupno je otkriveno više od 500 parova prijava/lozinka. Statistika prodaje ulaznica vidljiva je na osobnim računima partnera:
Javno su dostupna i imena, brojevi telefona i e-mail adrese kupaca koji su odlučili vratiti ranije kupljene ulaznice:
"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"U jednom nasumično odabranom danu otkriveno je više od 500 takvih zapisa.
Na dojavu sam dobio odgovor od tehničkog direktora Radarija:
Ja sam tehnički direktor Radarija i želio bih vam zahvaliti što ste identificirali problem. Kao što znate, zatvorili smo pristup elastiku i rješavamo pitanje reizdavanja karata za klijente.
Malo kasnije, tvrtka je dala službenu izjavu:
Ranjivost je otkrivena u sustavu za elektroničku prodaju karata Radario i odmah je ispravljena, što je moglo dovesti do curenja podataka od klijenata usluge, rekao je direktor marketinga tvrtke, Kirill Malyshev, za moskovsku gradsku novinsku agenciju.
“Zapravo smo otkrili ranjivost u radu sustava povezanu s redovitim ažuriranjem, koja je popravljena odmah nakon otkrivanja. Kao rezultat ranjivosti, pod određenim uvjetima, neprijateljske radnje trećih strana mogle bi dovesti do curenja podataka, ali nisu zabilježeni nikakvi incidenti. Trenutno su svi kvarovi otklonjeni”, rekao je K. Malyshev.
Predstavnik tvrtke naglasio je da je odlučeno da se sve prodane karte reizdaju tijekom rješavanja problema kako bi se u potpunosti eliminirala mogućnost bilo kakve prijevare prema klijentima usluge.
Nekoliko dana kasnije, provjerio sam dostupnost podataka pomoću linkova koji su procurili - pristup "izloženim" ulaznicama je doista pokriven. Po mom mišljenju, ovo je kompetentan, profesionalan pristup rješavanju problema curenja podataka.
Drugi slučaj. "Fly.ru"
Rano ujutro 15.05.2019 DeviceLock Data Breach Intelligence identificirao javni Elasticsearch poslužitelj s zapisnicima određenog IS-a.
Kasnije je utvrđeno da server pripada servisu za odabir putovanja “Sletat.ru”.
Iz indeksa cbto__0 bilo je moguće dobiti tisuće (11,7 tisuća uključujući duplikate) adresa e-pošte, kao i neke podatke o plaćanju (troškovi putovanja) i podatke o putovanju (kada, gdje, detalji o zrakoplovnoj karti Sve putnici uključeni u turneju itd.) u iznosu od oko 1,8 tisuća zapisa:
"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"Usput, veze na plaćene ture prilično rade:
U indeksima s imenom graylog_ čistim tekstom bile su prijave i lozinke putničkih agencija koje su povezane sa sustavom Sletat.ru i prodaju ture svojim klijentima:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."Prema mojim procjenama, prikazano je nekoliko stotina parova prijava/lozinka.
S osobnog računa putničke agencije na portalu agent.sletat.ru bilo je moguće dobiti podatke o kupcima, uključujući brojeve putovnica, međunarodne putovnice, datume rođenja, puna imena, telefonske brojeve i adrese e-pošte.
Obavijestio sam uslugu Sletat.ru 15.05.2019. u 10:46 (po moskovskom vremenu) i nekoliko sati kasnije (do 16:00) nestala je iz njihovog slobodnog pristupa. Kasnije, kao odgovor na objavu u Kommersantu, uprava službe dala je vrlo čudnu izjavu putem medija:
Šef tvrtke, Andrei Vershinin, objasnio je da Sletat.ru nizu velikih partnerskih turoperatora pruža pristup povijesti upita u tražilici. I pretpostavio je da ju je DeviceLock primio: "Međutim, navedena baza podataka ne sadrži podatke o putovnicama turista, prijave i lozinke putničkih agencija, podatke o plaćanju itd." Andrej Veršinjin napomenuo je da Sletat.ru još nije dobio nikakve dokaze za takve ozbiljne optužbe. “Sada pokušavamo kontaktirati DeviceLock. Vjerujemo da je to naredba. Nekima se ne sviđa naš brzi rast", dodao je. "
Kao što je gore prikazano, prijave, lozinke i podaci o putovnicama turista bili su u javnoj domeni dosta dugo (barem od 29.03.2019. ožujka XNUMX., kada je tražilica Shodan prvi put zabilježila poslužitelj tvrtke u javnoj domeni). Naravno, nitko nas nije kontaktirao. Nadam se da su barem obavijestili turističke agencije o curenju i natjerali ih da promijene svoje lozinke.
Vijesti o curenju informacija i insajderima uvijek možete pronaći na mom Telegram kanalu "".
Izvor: www.habr.com