Oggi esamineremo due casi contemporaneamente: i dati di clienti e partner di due società completamente diverse erano disponibili gratuitamente "grazie" ai server Elasticsearch aperti con i registri dei sistemi informativi (IS) di queste società.
Nel primo caso si tratta di decine di migliaia (e forse centinaia di migliaia) di biglietti per vari eventi culturali (teatri, locali, gite fluviali, ecc.) venduti attraverso il sistema Radario (www.radario.ru).
Nel secondo caso si tratta di dati sui viaggi turistici di migliaia (forse diverse decine di migliaia) di viaggiatori che hanno acquistato tour tramite agenzie di viaggio collegate al sistema Sletat.ru (www.sletat.ru).
Vorrei subito sottolineare che differiscono non solo i nomi delle aziende che hanno reso i dati disponibili al pubblico, ma anche l'approccio di queste aziende nel riconoscere l'incidente e la conseguente reazione ad esso. Ma prima le cose principali…
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Caso uno. "Radar"
La sera del 06.05.2019/XNUMX/XNUMX il nostro sistema , di proprietà del servizio di vendita di biglietti elettronici Radario.
Secondo la triste tradizione già consolidata, il server conteneva registri dettagliati del sistema informativo del servizio, da cui era possibile ottenere dati personali, login e password degli utenti, nonché i biglietti elettronici stessi per vari eventi in tutto il Paese.
Il volume totale dei log ha superato 1 TB.
Secondo il motore di ricerca Shodan, il server è disponibile pubblicamente dall’11.03.2019 marzo 06.05.2019. Ho avvisato i dipendenti di Radario il 22/50/07.05.2019 alle 09:30 (MSK) e il XNUMX/XNUMX/XNUMX alle XNUMX:XNUMX circa il server non è più disponibile.
I registri contenevano un token di autorizzazione universale (singolo), che forniva l'accesso a tutti i biglietti acquistati tramite collegamenti speciali, come:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkIl problema era anche che per tenere conto dei biglietti veniva utilizzata la numerazione continua degli ordini e la semplice enumerazione del numero del biglietto (XXXXXXXX) o ordinare (AAAAAAA), è stato possibile ottenere tutti i biglietti dal sistema.
Per verificare la pertinenza del database, onestamente mi sono anche comprato il biglietto più economico:
e successivamente l'ho trovato su un server pubblico nei registri IS:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkSeparatamente vorrei sottolineare che i biglietti erano disponibili sia per gli eventi già avvenuti che per quelli ancora in fase di progettazione. Cioè, un potenziale aggressore potrebbe utilizzare il biglietto di qualcun altro per accedere all’evento pianificato.
In media, ogni indice Elasticsearch contenente i log per un giorno specifico (a partire dal 24.01.2019/07.05.2019/25 al 35/XNUMX/XNUMX) conteneva dai XNUMX ai XNUMXmila ticket.
Oltre ai biglietti stessi, l'indice conteneva login (indirizzi e-mail) e password testuali per l'accesso agli account personali dei partner Radario che vendono i biglietti per i loro eventi attraverso questo servizio:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"In totale sono state rilevate più di 500 coppie login/password. Le statistiche sulla vendita dei biglietti sono visibili negli account personali dei partner:
Sono stati inoltre resi pubblici i nomi, i numeri di telefono e gli indirizzi e-mail degli acquirenti che hanno deciso di restituire i biglietti acquistati in precedenza:
"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"In un giorno selezionato a caso sono stati scoperti più di 500 documenti di questo tipo.
Ho ricevuto risposta all'avviso dal direttore tecnico di Radario:
Sono il direttore tecnico di Radario e vorrei ringraziarvi per aver individuato il problema. Come sapete, abbiamo chiuso l'accesso all'elastico e stiamo risolvendo il problema della riemissione dei biglietti per i clienti.
Poco dopo la società ha rilasciato una dichiarazione ufficiale:
Nel sistema di vendita elettronica dei biglietti Radario è stata scoperta e prontamente corretta una vulnerabilità che potrebbe portare a una fuga di dati da parte dei clienti del servizio, ha detto all'agenzia di stampa della città di Mosca Kirill Malyshev, direttore marketing della società.
“Abbiamo effettivamente scoperto una vulnerabilità nel funzionamento del sistema associata agli aggiornamenti regolari, che è stata risolta immediatamente dopo la scoperta. A causa della vulnerabilità, in determinate condizioni, azioni ostili di terzi potrebbero portare alla fuga di dati, ma non è stato registrato alcun incidente. Al momento tutti i difetti sono stati eliminati”, ha detto K. Malyshev.
Un rappresentante dell'azienda ha sottolineato che si è deciso di riemettere tutti i biglietti venduti durante la soluzione del problema al fine di eliminare completamente la possibilità di qualsiasi frode contro i clienti del servizio.
Pochi giorni dopo, ho verificato la disponibilità dei dati utilizzando i link trapelati: l'accesso ai biglietti “esposti” era effettivamente coperto. A mio parere, questo è un approccio competente e professionale per risolvere il problema della fuga di dati.
Caso due. "Fly.ru"
La mattina presto 15.05.2019/XNUMX/XNUMX DeviceLock Intelligence sulla violazione dei dati identificato un server Elasticsearch pubblico con i log di un determinato IS.
Successivamente è stato stabilito che il server appartiene al servizio di selezione dei tour “Sletat.ru”.
Dall'indice cbto__0 è stato possibile ottenere migliaia (11,7 mila compresi i duplicati) di indirizzi email, nonché alcune informazioni di pagamento (costi del tour) e dati del tour (quando, dove, dettagli del biglietto aereo tutti viaggiatori inclusi nel tour, ecc.) per un importo di circa 1,8 mila registrazioni:
"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"A proposito, i link ai tour a pagamento funzionano abbastanza:
Negli indici con nome greylog_ in chiaro c'erano i login e le password delle agenzie di viaggio collegate al sistema Sletat.ru e che vendono tour ai propri clienti:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."Secondo le mie stime sono state visualizzate diverse centinaia di coppie login/password.
Dall’account personale dell’agenzia di viaggi sul portale agent.sletat.ru è stato possibile ottenere i dati dei clienti, inclusi numeri di passaporto, passaporti internazionali, date di nascita, nomi completi, numeri di telefono e indirizzi e-mail.
Ho avvisato il servizio Sletat.ru il 15.05.2019/10/46 alle 16:00 (MSK) e poche ore dopo (fino alle XNUMX:XNUMX) è scomparso dal loro accesso gratuito. Successivamente, in risposta alla pubblicazione su Kommersant, la direzione del servizio ha fatto una dichiarazione molto strana attraverso i media:
Il capo dell'azienda, Andrei Vershinin, ha spiegato che Sletat.ru fornisce ad alcuni dei principali tour operator partner l'accesso alla cronologia delle query nel motore di ricerca. E presume che DeviceLock lo abbia ricevuto: "Tuttavia, il database specificato non contiene i dati del passaporto dei turisti, i login e le password delle agenzie di viaggio, le informazioni di pagamento, ecc." Andrei Vershinin ha osservato che Sletat.ru non ha ancora ricevuto alcuna prova di accuse così gravi. “Stiamo provando a contattare DeviceLock. Crediamo che questo sia un ordine. Ad alcune persone non piace la nostra rapida crescita”, ha aggiunto. "
Come mostrato sopra, login, password e dati dei passaporti dei turisti sono rimasti di dominio pubblico per molto tempo (almeno dal 29.03.2019 marzo XNUMX, quando il server dell’azienda è stato registrato per la prima volta di dominio pubblico dal motore di ricerca Shodan). Ovviamente nessuno ci ha contattato. Spero che almeno abbiano informato le agenzie di viaggio della fuga di notizie e le abbiano costrette a cambiare le password.
Notizie su fughe di informazioni e addetti ai lavori possono sempre essere trovate sul mio canale Telegram "'.
Fonte: habr.com