ProHoster > Blog > Administrasyon an > De nan youn: done touris ak tikè pou evènman kiltirèl yo te disponib piblikman

De nan youn: done touris ak tikè pou evènman kiltirèl yo te disponib piblikman

Jodi a nou pral gade nan de ka nan yon fwa - done yo nan kliyan ak patnè nan de konpayi konplètman diferan te lib disponib "gras a" louvri Elasticsearch sèvè ak mòso bwa nan sistèm enfòmasyon (IS) nan konpayi sa yo.

De nan youn: done touris ak tikè pou evènman kiltirèl yo te disponib piblikman

Nan premye ka a, sa yo se dè dizèn de milye (e petèt dè santèn de milye) tikè pou divès evènman kiltirèl (teyat, klib, vwayaj rivyè, elatriye) vann atravè sistèm Radario a (www.radario.ru).

Nan dezyèm ka a, sa a se done sou vwayaj touris nan plizyè milye (pètèt plizyè dizèn de milye) vwayajè ki te achte vwayaj atravè ajans vwayaj ki konekte ak sistèm Sletat.ru (www.sletat.ru).

Mwen ta renmen sonje touswit ke non sèlman konpayi yo ki te pèmèt done yo vin disponib piblikman diferan, men tou, apwòch konpayi sa yo pou rekonèt ensidan an ak reyaksyon ki vin apre a. Men, premye bagay an premye...

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

Ka youn. "Radario"

Nan aswè 06.05.2019/XNUMX/XNUMX sistèm nou an dekouvri sèvè Elasticsearch la disponib gratis, ki posede pa sèvis lavant elektwonik tikè Radario.

Dapre tradisyon an tris deja etabli, sèvè a te genyen mòso bwa detaye nan sistèm enfòmasyon sèvis la, ki soti nan ki li te posib jwenn done pèsonèl, itilizatè yo konekte ak modpas, osi byen ke tikè yo elektwonik tèt yo pou divès evènman nan tout peyi a.

De nan youn: done touris ak tikè pou evènman kiltirèl yo te disponib piblikman

Volim total mòso bwa depase 1 TB.

Dapre motè rechèch Shodan, sèvè a te disponib piblikman depi 11.03.2019 mas 06.05.2019. Mwen te avèti anplwaye Radario sou 22/50/07.05.2019 a 09:30 (MSK) ak sou XNUMX/XNUMX/XNUMX nan apeprè XNUMX:XNUMX sèvè a te vin pa disponib.

Jounal yo te genyen yon siy otorizasyon inivèsèl (yon sèl), ki bay aksè a tout tikè achte atravè lyen espesyal, tankou:

http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk

http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk

Pwoblèm lan se te tou ke pou konte pou tikè yo, yo te itilize nimewote kontinyèl nan lòd ak senp enimerasyon nan nimewo tikè a (kseuo) oswa kòmande (YYYYYYY), li te posib jwenn tout tikè yo nan sistèm nan.

Pou tcheke enpòtans baz done a, mwen menm onètman te achte tikè ki pi bon mache a:

De nan youn: done touris ak tikè pou evènman kiltirèl yo te disponib piblikman
De nan youn: done touris ak tikè pou evènman kiltirèl yo te disponib piblikman

epi pita jwenn li sou yon sèvè piblik nan mòso bwa IS yo:

http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk

Separeman, mwen ta renmen mete aksan sou ke tikè yo te disponib tou de pou evènman ki te deja fèt ak pou moun ki toujou ap planifye. Sa vle di, yon atakan potansyèl ka sèvi ak tikè yon lòt moun pou antre nan evènman ki te planifye a.

An mwayèn, chak endèks Elasticsearch ki gen mòso bwa pou yon jou espesifik (kòmanse soti nan 24.01.2019/07.05.2019/25 a 35/XNUMX/XNUMX) te genyen ant XNUMX ak XNUMX mil tikè.

Anplis tikè yo tèt yo, endèks la te genyen koneksyon (adrès imel) ak modpas tèks pou aksè nan kont pèsonèl patnè Radario ki vann tikè pou evènman yo atravè sèvis sa a:

Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"

An total, yo te detekte plis pase 500 pè login/modpas. Estatistik lavant tikè yo vizib nan kont pèsonèl patnè yo:

De nan youn: done touris ak tikè pou evènman kiltirèl yo te disponib piblikman

Yo te disponib piblikman tou non, nimewo telefòn ak adrès imel achtè ki te deside retounen tikè yo te achte deja:

"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"

Nan yon sèl jou chwazi owaza, yo te dekouvri plis pase 500 dosye sa yo.

Mwen te resevwa yon repons a alèt la nan men direktè teknik Radario:

Mwen se direktè teknik Radario e mwen ta renmen remèsye w dèske w te idantifye pwoblèm nan. Kòm ou konnen, nou fèmen aksè nan elastik epi yo rezoud pwoblèm nan nan re-emèt tikè pou kliyan yo.

Yon ti kras pita konpayi an te fè yon deklarasyon ofisyèl:

Yo te dekouvri yon vilnerabilite nan sistèm lavant tikè elektwonik Radario a epi yo te korije san pèdi tan, sa ki ka mennen nan yon fwit done ki soti nan kliyan sèvis la, direktè maketing konpayi an, Kirill Malyshev, te di Ajans Nouvèl Moskou Vil la.

"Nou aktyèlman dekouvri yon vilnerabilite nan operasyon sistèm nan ki asosye ak mizajou regilye, ki te fiks imedyatman apre dekouvèt la. Kòm yon rezilta nan vilnerabilite a, nan sèten kondisyon, aksyon ki pa zanmitay nan twazyèm pati ka mennen nan flit done, men pa gen okenn ensidan yo te anrejistre. Nan moman sa a, tout fot yo te elimine,” te di K. Malyshev.

Yon reprezantan konpayi te mete aksan sou ke li te deside reemèt tout tikè vann pandan solisyon an nan pwoblèm nan yo nan lòd yo konplètman elimine posiblite pou nenpòt fwod kont kliyan sèvis yo.

Kèk jou apre, mwen tcheke disponiblite done lè l sèvi avèk lyen ki koule yo - aksè nan tikè "ekspoze" yo te tout bon kouvri. Nan opinyon mwen, sa a se yon apwòch konpetan, pwofesyonèl pou rezoud pwoblèm nan flit done.

Ka de. "Fly.ru"

Byen bonè nan maten 15.05.2019/XNUMX/XNUMX DeviceLock done vyolasyon entèlijans idantifye yon sèvè Elasticsearch piblik ak mòso bwa nan yon sèten IS.

De nan youn: done touris ak tikè pou evènman kiltirèl yo te disponib piblikman

Apre sa, li te etabli ke sèvè a fè pati sèvis seleksyon vwayaj "Sletat.ru".

Soti nan endèks cbto__0 li te posib jwenn dè milye (11,7 mil ki gen ladan kopi) nan adrès imel, osi byen ke kèk enfòmasyon sou peman (depans vwayaj) ak done vwayaj (lè, kote, detay tikè avyon). nan tout vwayajè ki enkli nan vwayaj la, elatriye) nan kantite lajan apeprè 1,8 mil dosye:

"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"

By wout la, lyen ki mennen nan vwayaj peye yo byen travay:

De nan youn: done touris ak tikè pou evènman kiltirèl yo te disponib piblikman

Nan endis ak non greylog_ an tèks klè yo te logins yo ak modpas nan ajans vwayaj ki konekte nan sistèm nan Sletat.ru ak vann Tours bay kliyan yo:

"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1&currencyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."

Dapre estimasyon mwen yo, plizyè santèn pè login / modpas yo te parèt.

Soti nan kont pèsonèl ajans vwayaj la sou pòtal la agent.sletat.ru li te posib jwenn done kliyan, ki gen ladan nimewo paspò, paspò entènasyonal, dat nesans, non konplè, nimewo telefòn ak adrès imel.

De nan youn: done touris ak tikè pou evènman kiltirèl yo te disponib piblikman

Mwen notifye sèvis Sletat.ru sou 15.05.2019/10/46 a 16:00 (MSK) ak kèk èdtan pita (jiska XNUMX:XNUMX) li te disparèt nan aksè gratis yo. Apre sa, an repons a piblikasyon an nan Kommersant, jesyon sèvis la te fè yon deklarasyon trè etranj atravè medya yo:

Tèt la nan konpayi an, Andrei Vershinin, eksplike ke Sletat.ru bay yon kantite gwo operatè touris patnè ak aksè nan istwa a nan demann nan motè rechèch la. Epi li te sipoze ke DeviceLock te resevwa li: "Sepandan, baz done espesifye a pa genyen done paspò touris yo, logins ak modpas ajans vwayaj yo, enfòmasyon peman, elatriye." Andrei Vershinin te note ke Sletat.ru poko resevwa okenn prèv akizasyon sa yo grav. "Nou ap eseye kounye a kontakte DeviceLock. Nou kwè ke sa a se yon lòd. Gen kèk moun ki pa renmen kwasans rapid nou an, "li te ajoute. "

Jan yo montre pi wo a, koneksyon, modpas, ak done paspò touris yo te nan domèn piblik la pou yon bon bout tan (omwen depi 29.03.2019 mas XNUMX, lè sèvè konpayi an te premye anrejistre nan domèn piblik pa motè rechèch la Shodan). Natirèlman, pèsonn pa kontakte nou. Mwen espere ke omwen yo te avèti ajans vwayaj yo sou flit la epi fòse yo chanje modpas yo.

Nouvèl sou fwit enfòmasyon ak inisye yo ka toujou jwenn sou chanèl Telegram mwen an ".Enfòmasyon koule'.

Sous: www.habr.com

Add nouvo kòmantè