Í dag munum við skoða tvö tilvik í einu - gögn viðskiptavina og samstarfsaðila tveggja gjörólíkra fyrirtækja voru aðgengileg „þökk sé“ opnum Elasticsearch netþjónum með annálum upplýsingakerfa (IS) þessara fyrirtækja.
Í fyrra tilvikinu eru þetta tugþúsundir (og kannski hundruð þúsunda) miða á ýmsa menningarviðburði (leikhús, klúbba, ánaferðir osfrv.) sem seldir eru í gegnum Radario kerfið (www.radario.ru).
Í öðru tilvikinu er um að ræða gögn um ferðamannaferðir þúsunda (hugsanlega nokkurra tugþúsunda) ferðalanga sem keyptu ferðir í gegnum ferðaskrifstofur tengdar Sletat.ru kerfinu (www.sletat.ru).
Ég vil taka það strax fram að ekki aðeins nöfn fyrirtækjanna sem gerðu gögnin aðgengileg eru ólík, heldur einnig nálgun þessara fyrirtækja til að þekkja atvikið og viðbrögð við því í kjölfarið. En fyrst og fremst…
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Mál eitt. "Radario"
Að kvöldi 06.05.2019/XNUMX/XNUMX kerfið okkar , í eigu rafrænu miðasöluþjónustunnar Radario.
Samkvæmt dapurlegri hefð sem þegar hefur verið í sessi var á netþjóninum ítarlegar skrár yfir upplýsingakerfi þjónustunnar þar sem hægt var að nálgast persónuupplýsingar, notendanafn og lykilorð, auk rafrænna miða á ýmsa viðburði um allt land.
Heildarmagn annála fór yfir 1 TB.
Samkvæmt Shodan leitarvélinni hefur þjónninn verið aðgengilegur almenningi síðan 11.03.2019. mars 06.05.2019. Ég tilkynnti starfsmönnum Radario þann 22/50/07.05.2019 kl. 09:30 (MSK) og þann XNUMX/XNUMX/XNUMX um kl. XNUMX:XNUMX varð þjónninn ófáanlegur.
Logarnir innihéldu alhliða (einn) heimildarlykil, sem veitir aðgang að öllum keyptum miðum með sérstökum tenglum, eins og:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkVandamálið var líka að til að gera grein fyrir miðum var notast við stöðuga númerun pantana og einföld upptalning á miðanúmeri (xxxxxxxx) eða panta (YYYYYYY), var hægt að fá alla miðana úr kerfinu.
Til að athuga mikilvægi gagnagrunnsins keypti ég mér meira að segja ódýrasta miðann:
og fann það síðar á opinberum netþjóni í IS logs:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkSérstaklega vil ég leggja áherslu á að miðar voru í boði bæði á viðburði sem þegar hafa átt sér stað og þá sem enn eru í undirbúningi. Það er, hugsanlegur árásarmaður gæti notað miða einhvers annars til að komast inn á fyrirhugaðan viðburð.
Að meðaltali innihélt hver Elasticsearch vísitala sem innihélt annála fyrir einn ákveðinn dag (frá 24.01.2019/07.05.2019/25 til 35/XNUMX/XNUMX) frá XNUMX til XNUMX þúsund miða.
Auk miðanna sjálfra innihélt skráin innskráningar (netföng) og textalykilorð fyrir aðgang að persónulegum reikningum Radario samstarfsaðila sem selja miða á viðburði sína í gegnum þessa þjónustu:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"Alls greindust meira en 500 innskráningar-/lykilorðspör. Tölfræði um miðasölu er sýnileg á persónulegum reikningum samstarfsaðila:
Einnig voru aðgengileg almenningi nöfn, símanúmer og netföng kaupenda sem ákváðu að skila áður keyptum miðum:
"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"Á einum degi sem valinn var af handahófi fundust meira en 500 slíkar heimildir.
Ég fékk svar við viðvörun frá tæknistjóra Radario:
Ég er tæknistjóri Radario og vil þakka þér fyrir að bera kennsl á vandamálið. Eins og þú veist höfum við lokað fyrir aðgang að teygju og erum að leysa málið með endurútgáfu miða fyrir viðskiptavini.
Nokkru síðar gaf fyrirtækið frá sér opinbera yfirlýsingu:
Varnarleysi fannst í rafræna miðasölukerfinu Radario og var leiðrétt án tafar, sem gæti leitt til leka á gögnum frá viðskiptavinum þjónustunnar, sagði markaðsstjóri fyrirtækisins, Kirill Malyshev, við Moscow City News Agency.
„Við uppgötvuðum í raun varnarleysi í kerfisaðgerðinni sem tengist reglulegum uppfærslum, sem var lagað strax eftir uppgötvun. Vegna veikleikans gætu óvinsamlegar aðgerðir þriðju aðila undir vissum kringumstæðum leitt til gagnaleka, en engin atvik voru skráð. Í augnablikinu hefur öllum bilunum verið útrýmt,“ sagði K. Malyshev.
Fulltrúi fyrirtækisins lagði áherslu á að ákveðið væri að endurútgefa alla miða sem seldir voru á meðan á lausn vandans stóð til að útiloka algjörlega möguleika á svikum gagnvart þjónustuaðilum.
Nokkrum dögum síðar athugaði ég framboð gagna með því að nota tenglana sem lekið var - aðgangur að „útsettu“ miðunum var sannarlega hulinn. Að mínu mati er þetta hæf, fagleg nálgun til að leysa vandamálið varðandi gagnaleka.
Mál tvö. "Fly.ru"
Snemma að morgni 15.05.2019 DeviceLock Data Breach Intelligence auðkennt opinberan Elasticsearch netþjón með annálum um ákveðinn IS.
Síðar kom í ljós að þjónninn tilheyrir ferðavalþjónustunni „Sletat.ru“.
Úr vísitölu cbto__0 það var hægt að fá þúsundir (11,7 þúsund að meðtöldum afritum) netfönga, auk greiðsluupplýsinga (ferðakostnaðar) og ferðaupplýsingar (hvenær, hvar, upplýsingar um flugmiða allt ferðamenn með í ferðinni o.s.frv.) að upphæð um 1,8 þúsund skrár:
"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"Við the vegur, tenglar á greiddar ferðir eru alveg að virka:
Í vísitölum með nafni greylog_ í skýrum texta voru innskráningar og lykilorð ferðaskrifstofa sem tengjast Sletat.ru kerfinu og selja ferðir til viðskiptavina sinna:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."Samkvæmt áætlunum mínum voru nokkur hundruð innskráningar-/lykilorðspör sýnd.
Af persónulegum reikningi ferðaskrifstofunnar á gáttinni agent.sletat.ru hægt var að fá upplýsingar um viðskiptavini, þar á meðal vegabréfanúmer, alþjóðleg vegabréf, fæðingardaga, full nöfn, símanúmer og netföng.
Ég tilkynnti Sletat.ru þjónustunni þann 15.05.2019/10/46 klukkan 16:00 (MSK) og nokkrum klukkustundum síðar (til XNUMX:XNUMX) hvarf hún úr ókeypis aðgangi þeirra. Síðar, sem svar við birtingunni í Kommersant, gáfu stjórnendur þjónustunnar mjög undarlega yfirlýsingu í gegnum fjölmiðla:
Yfirmaður fyrirtækisins, Andrei Vershinin, útskýrði að Sletat.ru veitir fjölda helstu ferðaskipuleggjenda samstarfsaðila aðgang að sögu fyrirspurna í leitarvélinni. Og hann gerði ráð fyrir að DeviceLock hafi fengið það: „Hins vegar inniheldur tilgreindur gagnagrunnur ekki vegabréfagögn ferðamanna, innskráningu ferðaskrifstofa og lykilorð, greiðsluupplýsingar osfrv. Andrei Vershinin benti á að Sletat.ru hafi ekki enn fengið neinar vísbendingar um slíkar alvarlegar ásakanir. „Við erum núna að reyna að hafa samband við DeviceLock. Við teljum að þetta sé skipun. Sumt fólk líkar ekki við öran vöxt okkar,“ bætti hann við. "
Eins og sést hér að ofan voru innskráningar, lykilorð og vegabréfagögn ferðamanna í almenningi í nokkuð langan tíma (að minnsta kosti síðan 29.03.2019. mars XNUMX, þegar netþjónn fyrirtækisins var fyrst skráður á almenningi af Shodan leitarvélinni). Auðvitað hafði enginn samband við okkur. Ég vona að þeir hafi allavega látið ferðaskrifstofur vita af lekanum og neytt þær til að breyta lykilorðum sínum.
Fréttir um upplýsingaleka og innherja má alltaf finna á Telegram rásinni minni "'.
Heimild: www.habr.com