Hari ini kita akan melihat dua kasus sekaligus - data klien dan mitra dari dua perusahaan yang sangat berbeda tersedia secara gratis “berkat” server Elasticsearch terbuka dengan log sistem informasi (IS) dari perusahaan-perusahaan ini.
Dalam kasus pertama, ini adalah puluhan ribu (dan mungkin ratusan ribu) tiket untuk berbagai acara budaya (teater, klub, wisata sungai, dll.) yang dijual melalui sistem Radario (www.radario.ru).
Dalam kasus kedua, ini adalah data perjalanan wisata ribuan (mungkin beberapa puluh ribu) wisatawan yang membeli tur melalui agen perjalanan yang terhubung ke sistem Sletat.ru (www.sletat.ru).
Saya ingin segera mencatat bahwa tidak hanya nama perusahaan yang mengizinkan data tersebut tersedia untuk umum yang berbeda, tetapi juga pendekatan perusahaan-perusahaan ini dalam mengenali insiden tersebut dan reaksi selanjutnya terhadapnya. Tapi hal pertama yang pertama…
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Kasus satu. "Radario"
Pada malam hari tanggal 06.05.2019/XNUMX/XNUMX sistem kami , dimiliki oleh layanan penjualan tiket elektronik Radario.
Menurut tradisi menyedihkan yang sudah ada, server berisi log terperinci dari sistem informasi layanan, yang darinya dimungkinkan untuk memperoleh data pribadi, login dan kata sandi pengguna, serta tiket elektronik itu sendiri untuk berbagai acara di seluruh negeri.
Total volume log melebihi 1 TB.
Menurut mesin pencari Shodan, server tersebut telah tersedia untuk umum sejak 11.03.2019 Maret 06.05.2019. Saya memberi tahu karyawan Radario pada 22/50/07.05.2019 pukul 09:30 (MSK) dan pada XNUMX/XNUMX/XNUMX sekitar pukul XNUMX:XNUMX server menjadi tidak tersedia.
Log tersebut berisi token otorisasi universal (tunggal), yang menyediakan akses ke semua tiket yang dibeli melalui tautan khusus, seperti:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkMasalahnya juga adalah untuk menghitung tiket, digunakan penomoran pesanan terus menerus dan pencacahan nomor tiket yang sederhana (XXXXXXXXX) atau perintah (yyyyyy), semua tiket dapat diperoleh dari sistem.
Untuk memeriksa relevansi database, sejujurnya saya bahkan membeli sendiri tiket termurah:
dan kemudian menemukannya di server publik di log IS:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkSecara terpisah, saya ingin menekankan bahwa tiket tersedia baik untuk acara yang telah berlangsung maupun untuk acara yang masih direncanakan. Artinya, calon penyerang bisa saja menggunakan tiket orang lain untuk memasuki acara yang direncanakan.
Rata-rata, setiap indeks Elasticsearch yang berisi log untuk satu hari tertentu (mulai dari 24.01.2019/07.05.2019/25 hingga 35/XNUMX/XNUMX) berisi XNUMX hingga XNUMX ribu tiket.
Selain tiket itu sendiri, indeks tersebut berisi login (alamat email) dan kata sandi teks untuk akses ke akun pribadi mitra Radario yang menjual tiket acara mereka melalui layanan ini:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"Secara total, lebih dari 500 pasangan login/kata sandi terdeteksi. Statistik penjualan tiket terlihat di akun pribadi mitra:
Nama, nomor telepon, dan alamat email pembeli yang memutuskan untuk mengembalikan tiket yang dibeli sebelumnya juga tersedia untuk umum:
"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"Dalam satu hari yang dipilih secara acak, lebih dari 500 catatan serupa ditemukan.
Saya menerima tanggapan atas peringatan dari direktur teknis Radario:
Saya direktur teknis Radario dan ingin mengucapkan terima kasih karena telah mengidentifikasi masalahnya. Seperti yang Anda ketahui, kami telah menutup akses ke elastis dan sedang menyelesaikan masalah penerbitan ulang tiket untuk klien.
Beberapa saat kemudian perusahaan membuat pernyataan resmi:
Kerentanan ditemukan dalam sistem penjualan tiket elektronik Radario dan segera diperbaiki, yang dapat menyebabkan kebocoran data dari klien layanan tersebut, kata direktur pemasaran perusahaan, Kirill Malyshev, kepada Kantor Berita Kota Moskow.
“Kami sebenarnya menemukan kerentanan dalam operasi sistem yang terkait dengan pembaruan rutin, yang diperbaiki segera setelah ditemukan. Akibat kerentanan tersebut, dalam kondisi tertentu, tindakan tidak bersahabat pihak ketiga dapat mengakibatkan kebocoran data, namun tidak tercatat adanya insiden. Saat ini, semua kesalahan telah dihilangkan,” kata K. Malyshev.
Perwakilan perusahaan menekankan bahwa diputuskan untuk menerbitkan kembali semua tiket yang terjual selama penyelesaian masalah untuk sepenuhnya menghilangkan kemungkinan penipuan terhadap klien layanan.
Beberapa hari kemudian, saya memeriksa ketersediaan data menggunakan tautan yang bocor - akses ke tiket yang “terekspos” memang tercakup. Menurut pendapat saya, ini adalah pendekatan yang kompeten dan profesional untuk memecahkan masalah kebocoran data.
Kasus kedua. "Terbang.ru"
Dini hari tanggal 15.05.2019/XNUMX/XNUMX Kecerdasan Pelanggaran Data DeviceLock mengidentifikasi server Elasticsearch publik dengan log IS tertentu.
Belakangan diketahui bahwa server tersebut milik layanan pemilihan tur “Sletat.ru”.
Dari indeks cbto__0 dimungkinkan untuk memperoleh ribuan (11,7 ribu termasuk duplikat) alamat email, serta beberapa informasi pembayaran (biaya tur) dan data tur (kapan, di mana, detail tiket pesawat Semua wisatawan yang termasuk dalam tur, dll) dalam jumlah sekitar 1,8 ribu catatan:
"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"Omong-omong, tautan ke tur berbayar cukup berfungsi:
Dalam indeks dengan nama log abu-abu_ dalam teks yang jelas adalah login dan kata sandi agen perjalanan yang terhubung ke sistem Sletat.ru dan menjual tur ke klien mereka:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."Menurut perkiraan saya, beberapa ratus pasangan login/kata sandi ditampilkan.
Dari akun pribadi biro perjalanan di portal agen.sletat.ru data pelanggan dapat diperoleh, termasuk nomor paspor, paspor internasional, tanggal lahir, nama lengkap, nomor telepon, dan alamat email.
Saya memberi tahu layanan Sletat.ru pada 15.05.2019/10/46 pukul 16:00 (MSK) dan beberapa jam kemudian (hingga XNUMX:XNUMX) menghilang dari akses gratis mereka. Belakangan, menanggapi publikasi di Kommersant, manajemen layanan melontarkan pernyataan yang sangat aneh melalui media:
Pimpinan perusahaan, Andrei Vershinin, menjelaskan bahwa Sletat.ru memberi sejumlah operator tur mitra utama akses ke riwayat permintaan di mesin pencari. Dan dia berasumsi bahwa DeviceLock menerimanya: “Namun, database yang ditentukan tidak berisi data paspor wisatawan, login dan kata sandi agen perjalanan, informasi pembayaran, dll.” Andrei Vershinin mencatat bahwa Sletat.ru belum menerima bukti tuduhan serius tersebut. “Kami sekarang mencoba menghubungi DeviceLock. Kami yakin ini adalah perintah. Beberapa orang tidak menyukai pertumbuhan kami yang pesat,” tambahnya. "
Seperti terlihat di atas, data login, password, dan paspor wisatawan berada di domain publik dalam waktu yang cukup lama (setidaknya sejak 29.03.2019 Maret XNUMX, saat server perusahaan pertama kali tercatat di domain publik oleh mesin pencari Shodan). Tentu saja, tidak ada yang menghubungi kami. Saya berharap setidaknya mereka memberi tahu agen perjalanan tentang kebocoran tersebut dan memaksa mereka untuk mengubah kata sandinya.
Berita tentang kebocoran informasi dan orang dalam selalu dapat ditemukan di saluran Telegram saya "'.
Sumber: www.habr.com