Երկուսը մեկում. զբոսաշրջային տվյալները և մշակութային միջոցառումների տոմսերը հանրությանը հասանելի էին

Այսօր մենք կանդրադառնանք միանգամից երկու դեպքի. երկու բոլորովին տարբեր ընկերությունների հաճախորդների և գործընկերների տվյալները ազատորեն հասանելի էին «շնորհիվ» այս ընկերությունների տեղեկատվական համակարգերի (IS) մատյաններով բաց Elasticsearch սերվերների:

Առաջին դեպքում դրանք տասնյակ հազարավոր (և միգուցե հարյուր հազարավոր) տոմսեր են տարբեր մշակութային միջոցառումների համար (թատրոններ, ակումբներ, գետով շրջագայություններ և այլն), որոնք վաճառվել են Radario համակարգի միջոցով (www.radario.ru).

Երկրորդ դեպքում, սա հազարավոր (հնարավոր է, մի քանի տասնյակ հազար) ճանապարհորդների զբոսաշրջային ուղևորությունների վերաբերյալ տվյալներ են, ովքեր շրջագայություններ են գնել Sletat.ru համակարգին միացած տուրիստական ​​գործակալությունների միջոցով (www.sletat.ru).

Անմիջապես ուզում եմ նշել, որ տարբերվում են ոչ միայն այն ընկերությունների անունները, որոնք թույլ են տվել տվյալների հանրությանը հասանելի դառնալ, այլ նաև այդ ընկերությունների մոտեցումը միջադեպի ճանաչման և դրան հաջորդած արձագանքի նկատմամբ: Բայց առաջին հերթին…

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

Դեպք առաջին. «Ռադարիո»

06.05.2019/XNUMX/XNUMX երեկոյան մեր համակարգ հայտնաբերել է, որ Elasticsearch սերվերն անվճար հասանելի է, պատկանում է Radario էլեկտրոնային տոմսերի վաճառքի ծառայությանը։

Արդեն հաստատված տխուր ավանդույթի համաձայն՝ սերվերը պարունակում էր ծառայության տեղեկատվական համակարգի մանրամասն տեղեկամատյաններ, որոնցից հնարավոր էր ստանալ անձնական տվյալներ, օգտատերերի մուտքաբառեր և գաղտնաբառեր, ինչպես նաև էլեկտրոնային տոմսեր ամբողջ երկրում տարբեր միջոցառումների համար:

Գերանների ընդհանուր ծավալը գերազանցել է 1 ՏԲ-ը:

Ըստ Shodan որոնողական համակարգի՝ սերվերը հանրությանը հասանելի է եղել 11.03.2019 թվականի մարտի 06.05.2019-ից։ Ես տեղեկացրեցի Radario-ի աշխատակիցներին 22/50/07.05.2019-ին, ժամը 09:30-ին (MSK) և XNUMX/XNUMX/XNUMX-ին՝ մոտ XNUMX:XNUMX-ին, սերվերն անհասանելի դարձավ:

Տեղեկամատյանները պարունակում էին ունիվերսալ (մեկ) թույլտվության նշան, որն ապահովում էր մուտք դեպի բոլոր գնված տոմսերը հատուկ հղումների միջոցով, ինչպիսիք են.

http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk

http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk

Խնդիրն այն էր նաև, որ տոմսերի հաշվառման համար օգտագործվել է պատվերների շարունակական համարակալում և տոմսի համարի պարզ թվարկում (XXXXXXXX) կամ պատվիրել (Յիիիիի), համակարգից հնարավոր եղավ ստանալ բոլոր տոմսերը։

Տվյալների բազայի համապատասխանությունը ստուգելու համար ես նույնիսկ անկեղծորեն ինքս ինձ գնեցի ամենաէժան տոմսը.

և ավելի ուշ այն գտավ հանրային սերվերում IS տեղեկամատյաններում.

http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk

Առանձին-առանձին ուզում եմ ընդգծել, որ տոմսերը հասանելի են եղել ինչպես արդեն տեղի ունեցած, այնպես էլ դեռ նախատեսվող միջոցառումների համար։ Այսինքն՝ պոտենցիալ հարձակվողը կարող է օգտագործել ուրիշի տոմսը՝ նախատեսված միջոցառմանը մասնակցելու համար:

Միջին հաշվով, մեկ կոնկրետ օրվա տեղեկամատյաններ պարունակող յուրաքանչյուր Elasticsearch ինդեքս (սկսած 24.01.2019-ից մինչև 07.05.2019) պարունակում է 25-ից մինչև 35 հազար տոմս:

Բացի տոմսերից, ինդեքսը պարունակում էր մուտքեր (էլ․ հասցեներ) և տեքստային գաղտնաբառեր՝ Radario-ի գործընկերների անձնական հաշիվներին մուտք գործելու համար, ովքեր այս ծառայության միջոցով վաճառում են իրենց միջոցառումների տոմսերը.

Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"

Ընդհանուր առմամբ, հայտնաբերվել է ավելի քան 500 մուտք/գաղտնաբառ զույգ: Տոմսերի վաճառքի վիճակագրությունը տեսանելի է գործընկերների անձնական հաշիվներում.

Նաև հանրությանը հասանելի էին այն գնորդների անունները, հեռախոսահամարները և էլփոստի հասցեները, ովքեր որոշել են վերադարձնել նախկինում գնված տոմսերը.

"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"

Պատահականորեն ընտրված մեկ օրվա ընթացքում ավելի քան 500 նման գրառում է հայտնաբերվել։

«Ռադարիոյի» տեխնիկական տնօրենի ահազանգին ես ստացել եմ պատասխան.

Ես Radario-ի տեխնիկական տնօրենն եմ և ցանկանում եմ շնորհակալություն հայտնել խնդիրը բացահայտելու համար: Ինչպես գիտեք, մենք ունենք փակ մուտք դեպի էլաստիկ և լուծում ենք հաճախորդների համար տոմսերի վերաթողարկման հարցը։

Քիչ անց ընկերությունը հանդես եկավ պաշտոնական հայտարարությամբ.

Radario էլեկտրոնային տոմսերի վաճառքի համակարգում հայտնաբերվել և արագ շտկվել է խոցելիություն, որը կարող է հանգեցնել ծառայության հաճախորդների տվյալների արտահոսքի, Մոսկվայի քաղաքային լրատվական գործակալությանը հայտնել է ընկերության մարքեթինգի տնօրեն Կիրիլ Մալիշևը:

«Մենք իրականում խոցելիություն հայտնաբերեցինք համակարգի գործողության մեջ՝ կապված կանոնավոր թարմացումների հետ, որը շտկվեց հայտնաբերումից անմիջապես հետո: Խոցելիության հետևանքով որոշակի պայմաններում երրորդ կողմերի անբարյացակամ գործողությունները կարող են հանգեցնել տվյալների արտահոսքի, սակայն միջադեպեր չեն գրանցվել։ Այս պահին բոլոր թերությունները վերացված են»,- ասաց Կ.Մալիշեւը։

Ընկերության ներկայացուցիչն ընդգծել է, որ որոշվել է խնդրի լուծման ընթացքում վաճառված բոլոր տոմսերը վերաթողարկել՝ սպասարկող հաճախորդների նկատմամբ խարդախության հնարավորությունը լիովին բացառելու համար։

Մի քանի օր անց ես ստուգեցի տվյալների հասանելիությունը՝ օգտագործելով արտահոսած հղումները. «բացահայտված» տոմսերի մուտքն իսկապես ծածկված էր: Իմ կարծիքով, սա կոմպետենտ, պրոֆեսիոնալ մոտեցում է տվյալների արտահոսքի խնդիրը լուծելու համար։

Գործ երկու. «Fly.ru».

Վաղ առավոտյան 15.05.2019թ DeviceLock տվյալների խախտման հետախուզություն նույնականացրել է հանրային Elasticsearch սերվերը որոշակի IS-ի տեղեկամատյաններով:

Ավելի ուշ պարզվեց, որ սերվերը պատկանում է «Sletat.ru» տուրերի ընտրության ծառայությանը։

Ցուցանիշից cbto__0 հնարավոր եղավ ստանալ հազարավոր (11,7 հազար ներառյալ կրկնօրինակները) էլփոստի հասցեները, ինչպես նաև որոշ վճարային տեղեկություններ (շրջագայության ծախսեր) և շրջագայության տվյալներ (երբ, որտեղ, ավիատոմսերի մանրամասները): Ամբողջ շրջագայության մեջ ընդգրկված ճանապարհորդներ և այլն) մոտ 1,8 հազար գրառում.

"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"

Ի դեպ, վճարովի շրջագայությունների հղումները բավականին աշխատում են.

Անունով ինդեքսներում մոխրագույն_ հստակ տեքստում էին Sletat.ru համակարգին միացած զբոսաշրջային գործակալությունների մուտքերն ու գաղտնաբառերը և իրենց հաճախորդներին էքսկուրսիաներ վաճառում.

"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1&currencyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."

Ըստ իմ հաշվարկների՝ ցուցադրվել են մի քանի հարյուր մուտք/գաղտնաբառ զույգեր։

Տուրիստական ​​գործակալության անձնական հաշվից պորտալում agent.sletat.ru հնարավոր եղավ ստանալ հաճախորդների տվյալներ՝ ներառյալ անձնագրի համարները, միջազգային անձնագրերը, ծննդյան տարեթվերը, լրիվ անունները, հեռախոսահամարները և էլեկտրոնային փոստի հասցեները:

Ես ծանուցել եմ Sletat.ru ծառայությանը 15.05.2019-ին, ժամը 10:46-ին (MSK) և մի քանի ժամ անց (մինչև ժամը 16:00-ն) այն անհետացել է նրանց անվճար մուտքից: Ավելի ուշ, ի պատասխան «Կոմերսանտ»-ի հրապարակման, ծառայության ղեկավարությունը լրատվամիջոցների միջոցով հանդես եկավ շատ տարօրինակ հայտարարությամբ.

Ընկերության ղեկավար Անդրեյ Վերշինինը պարզաբանել է, որ Sletat.ru-ն մի շարք խոշոր գործընկեր զբոսաշրջային օպերատորների հնարավորություն է տալիս մուտք գործել որոնման համակարգում հարցումների պատմությունը: Եվ նա ենթադրեց, որ DeviceLock-ը ստացել է այն. «Սակայն նշված տվյալների բազան չի պարունակում զբոսաշրջիկների անձնագրային տվյալներ, տուրիստական ​​գործակալությունների մուտքեր և գաղտնաբառեր, վճարման տվյալներ և այլն»: Անդրեյ Վերշինինը նշել է, որ Sletat.ru-ն նման լուրջ մեղադրանքների վերաբերյալ որևէ ապացույց դեռ չի ստացել։ «Մենք այժմ փորձում ենք կապ հաստատել DeviceLock-ի հետ: Մենք կարծում ենք, որ սա պատվեր է։ Որոշ մարդկանց դուր չի գալիս մեր արագ աճը»,- հավելեց նա: «

Ինչպես ցույց է տրված վերևում, զբոսաշրջիկների մուտքերը, գաղտնաբառերը և անձնագրային տվյալները բավականին երկար ժամանակ եղել են հանրային տիրույթում (առնվազն 29.03.2019 թվականի մարտի XNUMX-ից ի վեր, երբ ընկերության սերվերն առաջին անգամ գրանցվել է հանրային տիրույթում Shodan որոնման համակարգի կողմից): Իհարկե, մեզ հետ ոչ ոք չի կապվել։ Հուսով եմ, որ գոնե արտահոսքի մասին տեղյակ են պահել տուրիստական ​​գործակալություններին և ստիպել փոխել գաղտնաբառերը։

Տեղեկատվության արտահոսքի և ինսայդերների մասին լուրերը միշտ կարելի է գտնել իմ Telegram ալիքում»:Տեղեկատվության արտահոսք.

Source: www.habr.com