Ricordati di I
Non ridere, non è affatto uno scherzo: lo stesso server con i dati dello stesso sistema si è rivelato aperto a tutto il mondo.
Bene, andiamo a scoprirlo...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Per prima cosa, lascia che ti ricordi un po' la cronologia degli eventi:
- Il 12.04.2019 aprile XNUMX (di notte) è stato scoperto un server Elasticsearch che non richiedeva l'autenticazione per connettersi.
- Il 13.04.2019/XNUMX/XNUMX (mattina) è stata inviata una notifica ai proprietari del server.
- Il 13.04.2019 aprile XNUMX (nel pomeriggio), il server è stato “silenziosamente” rimosso dall’accesso pubblico.
Al momento del primo spegnimento del server, gli indici Elasticsearch si presentavano così:
E ora il 21.05.2019/16/00 alle XNUMX:XNUMX circa (ora di Mosca), lo stesso server Elasticsearch, con gli stessi (più nuovi) indici appare di nuovo di pubblico dominio:
Non potevo credere ai miei occhi quando l'ho visto (subito dopo lo spettacolo al PHDays sul tema del rilevamento dei database aperti) nella mail di notifica proveniente dal ns
Comunque no, non si è trattato di un problema tecnico e dopo aver controllato tutto manualmente, alle 01:25 del 22.05.2019 maggio XNUMX, ho nuovamente inviato un alert agli stessi indirizzi della prima volta.
Dalla prima chiusura, questo server è stato scansionato da Shodan 11 volte e fino al 21 maggio Elasticsearch è stato chiuso su di esso.
Solo la mattina del 24.05.2019 maggio XNUMX questo Elasticsearch è scomparso dall’accesso del pubblico per la seconda volta. Durante questo periodo, gli indici sono cresciuti in modo significativo:
E se guardi i dati (solo informazioni significative contenenti dati personali dei cittadini) negli indici per il periodo dal 1 maggio al 22 maggio, il quadro è il seguente:
- 127,525 voci nell'indice paygibdd
- 49,627 voci nell'indice shtrafov-net
- 162,282 voci nell'indice oplata-fssp
- 220,201 voci nell'indice gosoplata
Dati di esempio dall'indice gosoplata:
Dati di esempio dall'indice paygibdd:
Ebbene, la ciliegina sulla torta è stata una lettera proveniente da uno degli indirizzi a cui ho inviato le notifiche:
Abbiamo ricevuto la tua lettera sull'ElasticSearch aperto: grazie per l'informazione, il database è stato chiuso. L'amministratore di sistema che ha riaperto l'accesso è stato licenziato. Il servizio legale si prepara inoltre a inviare al Ministero degli Affari Interni della Repubblica del Tatarstan una Dichiarazione sui segni della presenza negli atti dell'amministratore di sistema degli elementi di cui agli articoli 272 e 273 del Codice Penale della Federazione Russa.
Notizie su fughe di informazioni e addetti ai lavori possono sempre essere trovate sul mio canale Telegram "
Fonte: habr.com