Ma két esetet nézünk meg egyszerre - két teljesen különböző cég ügyfeleinek és partnereinek adatai szabadon elérhetőek voltak „hála” a nyitott Elasticsearch szervereknek, amelyek ezen cégek információs rendszereinek (IS) naplózásával rendelkeznek.
Az első esetben a Radario rendszeren keresztül eladott több tízezer (és talán több százezer) jegyről van szó különféle kulturális eseményekre (színházak, klubok, folyami kirándulások stb.)www.radario.ru).
A második esetben több ezer (esetleg több tízezer) utazó turisztikai utazásainak adatairól van szó, akik a Sletat.ru rendszerhez kapcsolódó utazási irodákon keresztül vásároltak túrákat (www.sletat.ru).
Azonnal szeretném megjegyezni, hogy nemcsak az adatok nyilvánossá tételét lehetővé tevő cégek neve különbözik, hanem az is, ahogyan ezek a cégek az incidens felismeréséhez és az arra való későbbi reakciókhoz viszonyulnak. De először a dolgok…
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Egy eset. "Radario"
06.05.2019-én este rendszerünk , amely a Radario elektronikus jegyértékesítő szolgáltató tulajdonában van.
A már kialakult szomorú hagyománynak megfelelően a szerver tartalmazta a szolgálat információs rendszerének részletes naplóit, amelyekből személyes adatokat, felhasználói bejelentkezéseket és jelszavakat, valamint magukat az elektronikus jegyeket lehetett megszerezni az ország különböző rendezvényeire.
A rönkök teljes mennyisége meghaladta az 1 TB-ot.
A Shodan keresőmotor szerint a szerver 11.03.2019. március 06.05.2019. óta nyilvánosan elérhető. Értesítettem a Radario munkatársait 22-én 50:07.05.2019-kor (MSK), és 09-én körülbelül 30:XNUMX-kor a szerver elérhetetlenné vált.
A naplók egy univerzális (egyszeri) engedélyezési tokent tartalmaztak, amely hozzáférést biztosít az összes megvásárolt jegyhez speciális hivatkozásokon keresztül, például:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkProblémát jelentett az is, hogy a jegyek elszámolására a rendelések folyamatos számozását és egyszerű jegyszámozást alkalmaztak (XXXXXXXXX) vagy rendelni (ÉÉÉÉÉÉÉ), minden jegyet le lehetett szerezni a rendszerből.
Az adatbázis relevanciájának ellenőrzésére még őszintén megvettem magamnak a legolcsóbb jegyet:
és később egy nyilvános szerveren megtalálta az IS naplókban:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkKülön szeretném hangsúlyozni, hogy a már megtörtént és a még tervezés alatt álló rendezvényekre is volt jegy. Vagyis a potenciális támadó valaki más jegyét használhatja a tervezett eseményre való belépéshez.
Átlagosan minden Elasticsearch index, amely egy adott napra vonatkozó naplókat tartalmaz (24.01.2019-től 07.05.2019-ig) 25-35 ezer jegyet tartalmazott.
A jegyeken kívül az index bejelentkezési adatokat (e-mail címeket) és szöveges jelszavakat tartalmazott azon Radario partnerek személyes fiókjaihoz való hozzáféréshez, akik ezen a szolgáltatáson keresztül jegyeket árulnak rendezvényeikre:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"Összesen több mint 500 bejelentkezési/jelszópárt észleltünk. A jegyeladási statisztikák a partnerek személyes fiókjában láthatók:
Szintén nyilvánosan elérhető volt azoknak a vásárlóknak a neve, telefonszámai és e-mail címei, akik úgy döntöttek, hogy visszaküldik a korábban megvásárolt jegyeiket:
"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"Egy véletlenszerűen kiválasztott napon több mint 500 ilyen rekordot fedeztek fel.
Választ kaptam a figyelmeztetésre a Radario műszaki igazgatójától:
A Radario műszaki igazgatója vagyok, és szeretném megköszönni a probléma azonosítását. Mint tudják, lezártuk az elasztikus hozzáférést, és megoldjuk a jegyek újbóli kiadásának ügyét az ügyfelek számára.
Kicsit később a cég hivatalos nyilatkozatot tett:
Sebezhetőséget fedeztek fel a Radario elektronikus jegyértékesítő rendszerében, és azonnal kijavították, ami a szolgáltatás ügyfeleitől származó adatok kiszivárgásához vezethet - mondta a Moszkvai Városi Hírügynökségnek Kirill Malysev, a társaság marketingigazgatója.
„Valójában a rendszeres frissítésekhez kapcsolódó biztonsági rést fedeztünk fel a rendszer működésében, amelyet a felfedezés után azonnal kijavítottunk. A sérülékenység következtében bizonyos feltételek mellett harmadik felek barátságtalan fellépése adatszivárgáshoz vezethet, de incidens nem került rögzítésre. Jelenleg az összes hibát kiküszöbölték” – mondta K. Malysev.
A cég képviselője hangsúlyozta: úgy döntöttek, hogy a probléma megoldása során minden eladott jegyet újra kiadnak, hogy teljes mértékben kiküszöböljék a szolgáltató ügyfelekkel szembeni csalás lehetőségét.
Néhány nappal később a kiszivárgott linkek segítségével ellenőriztem az adatok elérhetőségét - a „kitett” jegyekhez való hozzáférést valóban lefedték. Véleményem szerint ez egy hozzáértő, professzionális megközelítés az adatszivárgás problémájának megoldására.
Második eset. "Fly.ru"
Kora reggel 15.05.2019 DeviceLock Data Breach Intelligence azonosított egy nyilvános Elasticsearch szervert egy bizonyos IS naplóival.
Később megállapították, hogy a szerver a „Sletat.ru” túrakiválasztó szolgáltatáshoz tartozik.
Az indexből cbto__0 több ezer (másodpéldányokkal együtt 11,7 ezer) e-mail címet, valamint fizetési információkat (utazási költségek) és utazási adatokat (mikor, hol, repülőjegy adatait) lehetett megszerezni minden a túrába bevont utazók stb.) mintegy 1,8 ezer rekord értékben:
"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"Egyébként a fizetett túrákra mutató linkek nagyon jól működnek:
Indexekben névvel graylog_ tiszta szöveggel a Sletat.ru rendszerhez csatlakozó és az ügyfeleiknek túrákat értékesítő utazási irodák bejelentkezési nevei és jelszavai:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."Becslésem szerint több száz bejelentkezés/jelszó pár jelent meg.
Az utazási iroda személyes fiókjából a portálon agent.sletat.ru meg lehetett szerezni az ügyfelek adatait, így útlevélszámokat, nemzetközi útleveleket, születési dátumokat, teljes nevet, telefonszámot és e-mail címet.
Értesítettem a Sletat.ru szolgáltatást 15.05.2019-én 10:46-kor (MSK), majd néhány órával később (16:00-ig) eltűnt a szabad hozzáférésükből. Később a Kommerszantban megjelent publikációra reagálva a szolgáltatás vezetése nagyon furcsa kijelentést tett a médián keresztül:
A cég vezetője, Andrej Versinin kifejtette, hogy a Sletat.ru számos jelentős partner utazásszervező számára biztosít hozzáférést a keresőmotorban található lekérdezések történetéhez. És feltételezte, hogy a DeviceLock megkapta: „A megadott adatbázis azonban nem tartalmazza a turisták útlevéladatait, az utazási iroda bejelentkezési adatait és jelszavait, fizetési információkat stb. Andrej Versinin megjegyezte, hogy a Sletat.ru még nem kapott bizonyítékot ilyen súlyos vádakra. „Most megpróbáljuk kapcsolatba lépni a DeviceLockkal. Hisszük, hogy ez egy parancs. Vannak, akiknek nem tetszik a gyors növekedésünk” – tette hozzá. "
Mint fentebb látható, a turisták bejelentkezési adatai, jelszavai és útlevéladatai meglehetősen hosszú ideig nyilvánosak voltak (legalábbis 29.03.2019. március XNUMX-e óta, amikor is a Shodan keresőmotorja először rögzítette nyilvánosan a cég szerverét). Természetesen senki nem keresett minket. Remélem, legalább értesítették az utazási irodákat a kiszivárogtatásról, és kényszerítették őket a jelszavak megváltoztatására.
Az információszivárogtatásról és a bennfentesekről szóló hírek mindig megtalálhatók a Telegram csatornámon."".
Forrás: will.com