今日は、XNUMX つのケースを一度に見ていきます。XNUMX つのまったく異なる企業のクライアントとパートナーのデータは、これらの企業の情報システム (IS) のログを備えたオープン Elasticsearch サーバーの「おかげで」自由に利用できました。
最初のケースでは、これらは、Radario システムを通じて販売されたさまざまな文化イベント (劇場、クラブ、川遊びなど) の数万枚 (おそらく数十万枚) のチケットです (www.radario.ru).
XNUMX 番目のケースでは、これは Sletat.ru システムに接続された旅行代理店を通じてツアーを購入した数千人 (おそらく数万人) の旅行者の観光旅行に関するデータです (www.sletat.ru).
データの公開を許可した企業の名前が異なるだけでなく、事件を認識するためのこれらの企業のアプローチとその後の対応も異なることにすぐに注目したいと思います。しかし、まず最初に…
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
ケース1。 「ラダリオ」
06.05.2019 年 XNUMX 月 XNUMX 日の夕方、私たちのシステムは , 電子チケット販売サービスRadarioが運営する。
すでに確立されている悲しい伝統によれば、サーバーにはサービスの情報システムの詳細なログが含まれており、そこから個人データ、ユーザーのログイン情報、パスワード、さらには全国のさまざまなイベントの電子チケット自体を取得することができました。
ログの総量が 1 TB を超えました。
Shodan 検索エンジンによると、サーバーは 11.03.2019 年 06.05.2019 月 22 日から一般にアクセスできるようになりました。 50年07.05.2019月09日の30時XNUMX分(MSK)にRadarioの従業員に通知し、XNUMX年XNUMX月XNUMX日のXNUMX時XNUMX分頃にサーバーが利用できなくなった。
ログにはユニバーサル (単一) 認証トークンが含まれており、次のような特別なリンクを介して購入したすべてのチケットへのアクセスを提供します。
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkまた問題は、チケットを考慮するために、注文に連続番号が付けられ、チケット番号の単純な列挙が使用されていることでもありました (XXXXXXXX) または注文 (YYYYYY)、システムからすべてのチケットを取得することができました。
データベースの関連性を確認するために、私は正直に自分自身で最も安いチケットを購入しました。
その後、公開サーバー上の IS ログでそれが見つかりました。
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkこれとは別に、すでに開催されたイベントと現在計画中のイベントの両方でチケットが入手可能であることを強調したいと思います。つまり、潜在的な攻撃者が他人のチケットを使用して、計画されたイベントに参加する可能性があります。
平均して、特定の日 (24.01.2019 年 07.05.2019 月 25 日から 35 年 XNUMX 月 XNUMX 日まで) のログを含む各 Elasticsearch インデックスには、XNUMX ~ XNUMX のチケットが含まれていました。
チケット自体に加えて、インデックスには、このサービスを通じてイベントのチケットを販売する Radario パートナーの個人アカウントにアクセスするためのログイン (電子メール アドレス) とテキスト パスワードが含まれていました。
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"合計で 500 を超えるログイン/パスワードのペアが検出されました。チケット販売統計はパートナーの個人アカウントで確認できます。
また、以前に購入したチケットを返品することを決めた購入者の名前、電話番号、電子メール アドレスも公開されました。
"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"無作為に選ばれた 500 日に、XNUMX 件を超えるそのような記録が発見されました。
Radario のテクニカル ディレクターからアラートに対する返答を受け取りました。
私は Radario のテクニカル ディレクターであり、問題を特定していただきありがとうございます。ご存知のとおり、私たちは Elastic へのアクセスを閉鎖し、クライアントのチケット再発行の問題を解決しています。
少し後、同社は次のような公式声明を発表した。
Radarioの電子チケット販売システムに脆弱性が発見され、すぐに修正されたが、これにより同サービスの顧客からのデータ漏洩につながる可能性があると同社のマーケティングディレクター、キリル・マリシェフ氏がモスクワ市通信に語った。
「実際に、定期的なアップデートに関連するシステム動作の脆弱性を発見しましたが、発見後すぐに修正されました。この脆弱性の結果、特定の条件下では、第三者の非友好的な行為がデータ漏洩につながる可能性がありますが、インシデントは記録されていません。現時点では、すべての欠陥は解消されました」とK.マリシェフ氏は語った。
同社の代表者は、サービス顧客に対する詐欺の可能性を完全に排除するため、問題解決中に販売されたすべてのチケットを再発行することを決定したと強調した。
数日後、私は漏洩したリンクを使用してデータの可用性を確認しました。「公開された」チケットへのアクセスは確かにカバーされていました。私の意見では、これはデータ漏洩の問題を解決するための有能で専門的なアプローチです。
ケース2。 「Fly.ru」
早朝 15.05.2019/XNUMX/XNUMX DeviceLock データ侵害インテリジェンス 特定の IS のログを含むパブリック Elasticsearch サーバーを特定しました。
その後、サーバーがツアー選択サービス「Sletat.ru」に属していることが判明しました。
インデックスから cbto__0 数千(重複を含むと11,7千)の電子メールアドレスのほか、一部の支払い情報(旅行代金)や旅行データ(いつ、どこで、航空券の詳細)を取得することが可能でした。 すべて ツアーに含まれる旅行者など)約 1,8 千件のレコード:
"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"ちなみに、有料ツアーへのリンクは非常に機能しています。
名前付きのインデックス内 グレイログ_ Sletat.ru システムに接続し、顧客にツアーを販売している旅行代理店のログインとパスワードが平文で記録されていました。
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."私の推定によると、数百のログイン/パスワードのペアが表示されました。
ポータル上の旅行代理店の個人アカウントから Agent.sletat.ru パスポート番号、国際パスポート、生年月日、氏名、電話番号、電子メールアドレスなどの顧客データを取得することが可能でした。
私は15.05.2019年10月46日16時00分(モスクワ時間)にSletat.ruサービスに通知しましたが、数時間後(XNUMX時まで)無料アクセスから消えました。その後、コメルサント紙への掲載を受けて、同サービスの経営陣はメディアを通じて非常に奇妙な声明を発表した。
同社の責任者、アンドレイ・ヴェルシニン氏は、Sletat.ruは多くの大手提携旅行会社に検索エンジンのクエリ履歴へのアクセスを提供していると説明した。そして彼は、DeviceLock がそれを受け取ったと仮定しました。「しかし、指定されたデータベースには観光客のパスポート データ、旅行代理店のログイン情報とパスワード、支払い情報などが含まれていません。」 Andrei Vershinin 氏は、Sletat.ru はそのような深刻な告発の証拠をまだ受け取っていないと述べた。 「現在、DeviceLock への連絡を試みています。私たちはこれが命令であると信じています。私たちの急速な成長を好まない人もいます」と彼は付け加えた。 」
上に示したように、観光客のログイン、パスワード、パスポート データは、かなり長い間パブリック ドメインにありました (少なくとも、同社のサーバーが Shodan 検索エンジンによって初めてパブリック ドメインに記録された 29.03.2019 年 XNUMX 月 XNUMX 日以降)。もちろん、誰も私たちに連絡しませんでした。少なくとも旅行会社に漏洩について通知し、パスワードの変更を強制してほしかった。
情報漏洩や内部関係者に関するニュースはいつでも私の Telegram チャンネルで見つけることができます。」'。
出所: habr.com