Ricordati di I e a casa come sono diventati pubblici i dettagli dei pagamenti a favore della polizia stradale e del FSSP degli utenti del sito pagamentogibdd.rf, paygibdd.ru, gos-oplata.ru, multe.net и oplata-fssp.ru?
Non ridere, non è affatto uno scherzo: lo stesso server con i dati dello stesso sistema si è rivelato aperto a tutto il mondo.
Bene, andiamo a scoprirlo...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Per prima cosa, lascia che ti ricordi un po' la cronologia degli eventi:
- Il 12.04.2019 aprile XNUMX (di notte) è stato scoperto un server Elasticsearch che non richiedeva l'autenticazione per connettersi.
- Il 13.04.2019/XNUMX/XNUMX (mattina) è stata inviata una notifica ai proprietari del server.
- Il 13.04.2019 aprile XNUMX (nel pomeriggio), il server è stato “silenziosamente” rimosso dall’accesso pubblico.
Al momento del primo spegnimento del server, gli indici Elasticsearch si presentavano così:
E ora il 21.05.2019/16/00 alle XNUMX:XNUMX circa (ora di Mosca), lo stesso server Elasticsearch, con gli stessi (più nuovi) indici appare di nuovo di pubblico dominio:
Non potevo credere ai miei occhi quando l'ho visto (subito dopo lo spettacolo al PHDays sul tema del rilevamento dei database aperti) nella mail di notifica proveniente dal ns . Ad essere onesti, il mio primo pensiero è stato che si trattasse di una sorta di problema tecnico del sistema.
Comunque no, non si è trattato di un problema tecnico e dopo aver controllato tutto manualmente, alle 01:25 del 22.05.2019 maggio XNUMX, ho nuovamente inviato un alert agli stessi indirizzi della prima volta.
Dalla prima chiusura, questo server è stato scansionato da Shodan 11 volte e fino al 21 maggio Elasticsearch è stato chiuso su di esso.
Solo la mattina del 24.05.2019 maggio XNUMX questo Elasticsearch è scomparso dall’accesso del pubblico per la seconda volta. Durante questo periodo, gli indici sono cresciuti in modo significativo:
E se guardi i dati (solo informazioni significative contenenti dati personali dei cittadini) negli indici per il periodo dal 1 maggio al 22 maggio, il quadro è il seguente:
- 127,525 voci nell'indice paygibdd
- 49,627 voci nell'indice shtrafov-net
- 162,282 voci nell'indice oplata-fssp
- 220,201 voci nell'indice gosoplata
Dati di esempio dall'indice gosoplata:
Dati di esempio dall'indice paygibdd:
Ebbene, la ciliegina sulla torta è stata una lettera proveniente da uno degli indirizzi a cui ho inviato le notifiche:
Abbiamo ricevuto la tua lettera sull'ElasticSearch aperto: grazie per l'informazione, il database è stato chiuso. L'amministratore di sistema che ha riaperto l'accesso è stato licenziato. Il servizio legale si prepara inoltre a inviare al Ministero degli Affari Interni della Repubblica del Tatarstan una Dichiarazione sui segni della presenza negli atti dell'amministratore di sistema degli elementi di cui agli articoli 272 e 273 del Codice Penale della Federazione Russa.
Notizie su fughe di informazioni e addetti ai lavori possono sempre essere trovate sul mio canale Telegram "" .
Fonte: habr.com