Îro em ê bi yekcarî li du bûyeran binihêrin - daneyên xerîdar û hevkarên du pargîdaniyên bi tevahî cûda bi serbestî "bi xêra" serverên Elasticsearch-ê yên vekirî bi têketinên pergalên agahdariyê (IS) yên van pargîdaniyan re peyda bûn.
Di doza yekem de, ev bi deh hezaran (û dibe ku bi sed hezaran) bilêtên ji bo bûyerên çandî yên cihêreng (şano, klûb, rêwîtiyên çem, hwd.) têne firotin bi pergala Radario (www.radario.ru).
Di bûyera duyemîn de, ev daneyên li ser rêwîtiyên geştyarî yên bi hezaran (dibe ku çend deh hezaran) rêwiyan e ku bi navgîniya ajansên rêwîtiyê yên girêdayî pergala Sletat.ru ve geryan dikirin (www.sletat.ru).
Ez dixwazim tavilê bibêjim ku ne tenê navên pargîdaniyên ku destûr dane daneyan ji raya giştî re peyda bikin jî cûda dibin, lê di heman demê de nêzîkatiya van pargîdaniyan ji bo naskirina bûyerê û reaksiyona paşîn a li ser wê jî cûda dibe. Lê tiştên pêşîn…
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Doza yek. "Radario"
Êvara 06.05.2019/XNUMX/XNUMX sîstema me , xwediyê karûbarê firotina bilêtên elektronîkî Radario.
Li gorî kevneşopiya xemgîn a ku jixwe hatî damezrandin, server têketinên hûrgulî yên pergala agahdariya karûbarê vedihewîne, ku jê re gengaz bû ku daneyên kesane, têketinên bikarhêner û şîfre, û her weha bilêtên elektronîkî bixwe ji bo bûyerên cihêreng li seranserê welêt bistînin.
Hêjmara giştî ya têketin 1 TB derbas bû.
Li gorî motora lêgerînê ya Shodan, server ji 11.03.2019ê Adarê, 06.05.2019-an vir ve bi gelemperî peyda bûye. Min di 22/50/07.05.2019 saet 09:30 de (MSK) û di XNUMX/XNUMX/XNUMX de di demjimêr XNUMX:XNUMX de ji xebatkarên Radario re agahdar kir ku server neberdest bû.
Têketin nîşanek destûrnameyek gerdûnî (yekane) heye, ku bi girêdanên taybetî ve gihîştina hemî bilêtên kirîn peyda dike, mîna:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkPirsgirêk jî ew bû ku ji bo hesabkirina bilêtan, jimareya domdar a fermanan û hejmartina sade ya hejmara bilêtê hate bikar anîn (XXXXXXXXXX) an ferman bide (YYYYYYY), gengaz bû ku meriv hemî bilêtan ji pergalê bigire.
Ji bo ku ez pêwendiya databasê kontrol bikim, min bi dilpakî ji xwe re bilêta herî erzan kirî:
û paşê ew li ser serverek gelemperî di têketinên IS de dît:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkJi hev cuda, ez dixwazim tekez bikim ku bilêt hem ji bo bûyerên ku berê pêk hatine û hem jî ji bo yên ku hêj têne plansaz kirin peyda bûn. Ango, êrîşkarek potansiyel dikare bilêta kesek din bikar bîne da ku têkeve bûyera plansazkirî.
Bi navînî, her indexek Elasticsearch ku têketinên yek rojek taybetî vedihewîne (ji 24.01.2019/07.05.2019/25 heta 35/XNUMX/XNUMX dest pê dike) ji XNUMX heta XNUMX hezar bilêt hene.
Ji bilî bilêtan bixwe, navnîşan têketin (navnîşanên e-nameyê) û şîfreyên nivîsê ji bo gihîştina hesabên kesane yên hevkarên Radario ku bi vê karûbarê bilêtên bûyerên xwe difroşin hene:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"Bi tevahî, zêdetirî 500 cotên têketinê / şîfreyê hatin tespît kirin. Statîstîkên firotina bilêtan di hesabên kesane yên hevkaran de têne xuyang kirin:
Di heman demê de bi gelemperî nav, hejmarên têlefonê û navnîşanên e-nameyê yên kirrûbirên ku biryar dane ku bilêtên berê kirî vegerînin jî hene:
"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"Di rojek ku bi rengekî rasthatî hatî hilbijartin, zêdetirî 500 tomarên weha hatin dîtin.
Min bersivek hişyariyê ji rêveberê teknîkî yê Radario wergirt:
Ez rêveberê teknîkî yê Radario me û ji bo tespîtkirina pirsgirêkê spasiya we dikim. Wekî ku hûn dizanin, me gihîştina elastîkê girtiye û em pirsgirêka ji nû ve derxistina bilêtan ji bo xerîdaran çareser dikin.
Demek şûnda pargîdaniyê daxuyaniyek fermî da:
Di pergala firotana bilêtên elektronîkî ya Radario de qelsiyek hate dîtin û tavilê hate rast kirin, ku dikare bibe sedema derketina daneyan ji xerîdarên karûbarê, rêveberê kirrûbirra pargîdaniyê, Kirill Malyshev, ji Ajansa Nûçeyan a Bajarê Moskowê re got.
"Me bi rastî di xebata pergalê de qelsiyek vedîtin ku bi nûvekirinên birêkûpêk ve girêdayî ye, ku tavilê piştî vedîtinê hate rast kirin. Di encama qelsbûnê de, di bin hin şert û mercan de, kiryarên nedostane yên aliyên sêyemîn dikaribû bibe sedema derketina daneyan, lê ti bûyer nehatin tomar kirin. Vê gavê hemû xeletî ji holê hatine rakirin,” K. Malyshev got.
Nûnerek pargîdanî tekez kir ku biryar hat dayîn ku hemî bilêtên ku têne firotin di dema çareserkirina pirsgirêkê de ji nû ve werin derxistin da ku bi tevahî îhtîmala sextekariyê li hember xerîdarên karûbarê ji holê rabike.
Çend roj şûnda, min hebûna daneyan bi karanîna zencîreyên derçûyî kontrol kir - bi rastî gihîştina bilêtên "xuyandî" hate vegirtin. Bi dîtina min, ev nêzîkatiyek jêhatî, pîşeyî ye ji bo çareserkirina pirsgirêka danûstendina daneyan.
Doza du. "Fly.ru"
Serê sibê 15.05.2019 Îstixbarata Binpêkirina Daneyên DeviceLock serverek Elasticsearch ya gelemperî bi têketinên IS-ê diyar kir.
Dûv re hate destnîşankirin ku server girêdayî karûbarê hilbijartina gera "Sletat.ru" ye.
Ji index cbto__0 mimkun bû ku bi hezaran (11,7 hezar tevî ducaran) navnîşanên e-nameyê, û her weha hin agahdariya dravdanê (lêçûnên gerê) û daneyên gerê (kengî, li ku, hûrguliyên bilêta hewayê) bi dest bixin. всех rêwiyên ku di gerê de ne, hwd.) bi qasî 1,8 hezar tomar:
"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"Bi awayê, girêdanên gerên drav pir dixebitin:
Di navnîşên bi navê graylog_ di nivîsa zelal de têketin û şîfreyên ajansên rêwîtiyê yên bi pergala Sletat.ru ve girêdayî bûn û geryanan ji xerîdarên xwe re difroşin hebûn:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."Li gorî texmînên min, çend sed cotên têketinê / şîfreyê hatin xuyang kirin.
Ji hesabê kesane yê ajansa rêwîtiyê li ser portalê agent.sletat.ru gengaz bû ku daneyên xerîdar, di nav de jimareyên pasaport, pasaportên navneteweyî, tarîxên jidayikbûnê, navên tam, hejmarên têlefonê û navnîşanên e-nameyê werin bidestxistin.
Min di 15.05.2019 saet 10:46 (MSK) de karûbarê Sletat.ru agahdar kir û piştî çend demjimêran (heta 16:00) ew ji ketina wan a belaş winda bû. Dûv re, di bersiva weşana di Kommersant de, rêveberiya karûbarê bi riya medyayê daxuyaniyek pir ecêb da:
Serokê pargîdaniyê, Andrei Vershinin, diyar kir ku Sletat.ru hejmarek operatorên geştyariyê yên hevpar ên mezin bi gihîştina dîroka lêpirsînan di motora lêgerînê de peyda dike. Û wî texmîn kir ku DeviceLock ew wergirtiye: "Lêbelê, databasa diyarkirî daneyên pasaporta tûrîstan, têketin û şîfreyên ajansa rêwîtiyê, agahdariya dravdanê, hwd tune." Andrei Vershinin destnîşan kir ku Sletat.ru hîna ti delîlên sûcdarkirinên wusa giran negirtiye. "Em niha hewl didin ku bi DeviceLock re têkilî daynin. Em bawer dikin ku ev fermanek e. Hin kes ji mezinbûna meya bilez hez nakin, "wî zêde kir. "
Wekî ku li jor hatî destnîşan kirin, têketin, şîfre û daneyên pasaporta tûrîstan ji bo demek dirêj di qada gelemperî de bûn (qet nebe ji 29.03.2019ê Adarê, XNUMX-an vir ve, gava ku servera pargîdaniyê yekem car di qada gelemperî de ji hêla motora lêgerînê ya Shodan ve hate tomar kirin). Helbet tu kesî bi me re têkilî nekir. Hêvîdar im ku bi kêmanî wan ajansên geştyariyê di derheqê lehiyê de agahdar kirin û neçar kirin ku şîfreyên xwe biguhezînin.
Nûçeyên der barê derçûn û agahdariya hundurîn her gav li ser kanala min a Telegramê têne dîtin "".
Source: www.habr.com