Бүгүн биз бир эле учурда эки ишти карап чыгабыз - эки таптакыр башка компаниянын кардарларынын жана өнөктөштөрүнүн маалыматтары бул компаниялардын маалымат системаларынын (ИС) журналдары менен ачык Elasticsearch серверлеринин “аркасында” эркин жеткиликтүү болгон.
Биринчи учурда, бул Radario системасы аркылуу сатылган ар кандай маданий иш-чараларга (театрларга, клубдарга, дарыяларга саякатка ж.www.radario.ru).
Экинчи учурда, бул Sletat.ru тутумуна туташкан туристтик агенттиктер аркылуу турларды сатып алган миңдеген (мүмкүн бир нече он миңдеген) саякатчылардын туристтик сапарлары жөнүндө маалыматтар (www.sletat.ru).
Мен дароо белгилеп кетким келет, маалыматтардын жалпыга ачык болушуна жол берген компаниялардын аттары гана эмес, бул компаниялардын окуяны таанууга болгон мамилеси жана ага кийинки реакциясы да айырмаланат. Бирок эң биринчи...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Биринчи учур. "Радарио"
06.05.2019/XNUMX/XNUMX кечинде биздин система , электрондук билет сатуу кызматы Radario таандык.
Буга чейин калыптанып калган кайгылуу салтка ылайык, серверде кызматтын маалыматтык тутумунун деталдуу журналдары камтылган, алардан жеке маалыматтарды, колдонуучунун логиндерин жана паролдорун, ошондой эле өлкө боюнча ар кандай иш-чараларга электрондук билеттерди алууга мүмкүн болгон.
Журналдардын жалпы көлөмү 1 ТБ ашты.
Shodan издөө системасынын маалыматы боюнча, сервер 11.03.2019-жылдын 06.05.2019-мартынан бери жалпыга жеткиликтүү. Мен Radario кызматкерлерине 22/50/07.05.2019 күнү саат 09:30дө (MSK) кабарладым жана XNUMX/XNUMX/XNUMX күнү саат XNUMX:XNUMX чамасында сервер иштебей калган.
Журналдар бардык сатылып алынган билеттерге атайын шилтемелер аркылуу кирүү мүмкүнчүлүгүн камсыз кылган универсалдуу (бирдиктүү) авторизация белгисин камтыган, мисалы:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkКөйгөй ошондой эле билеттерди эсепке алуу үчүн заказдарды үзгүлтүксүз номерлөө жана билеттин номерин жөнөкөй санап берүү (ххххххххх) же заказ (ЖЖЖЖЖЖ), бардык билеттерди системадан алууга мүмкүн болду.
Маалыматтар базасынын актуалдуулугун текшерүү үчүн, мен чынчылдык менен өзүмө эң арзан билет сатып алдым:
жана кийинчерээк аны IS журналдарынан коомдук серверден таптым:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkӨзүнчө баса белгилеп кетким келет, билеттер буга чейин болуп өткөн жана дагы эле пландаштырылып жаткан окуялар үчүн жеткиликтүү болгон. Башкача айтканда, потенциалдуу чабуулчу пландаштырылган иш-чарага кирүү үчүн башка бирөөнүн билетин колдонушу мүмкүн.
Орточо алганда, белгилүү бир күн үчүн журналдарды камтыган ар бир Elasticsearch индекси (24.01.2019дан 07.05.2019га чейин) 25 миңден 35 миңге чейин билетти камтыган.
Билеттердин өзүнөн тышкары, индексте бул кызмат аркылуу иш-чараларына билеттерди саткан Radario өнөктөштөрүнүн жеке аккаунттарына кирүү үчүн логиндер (электрондук почта даректери) жана тексттик сырсөздөр камтылган:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"Жалпысынан 500дөн ашык логин/пароль жуптары аныкталган. Билет сатуу статистикасы өнөктөштөрдүн жеке эсептеринен көрүнүп турат:
Ошондой эле, мурда сатылып алынган билеттерди кайтарып берүүнү чечкен сатып алуучулардын аты-жөнү, телефон номерлери жана электрондук почта даректери жалпыга жеткиликтүү болгон:
"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"Кокус тандалып алынган бир күндүн ичинде 500дөн ашык мындай жазуулар табылган.
Мен Radario техникалык директорунун эскертүүсүнө жооп алдым:
Мен Radario компаниясынын техникалык директорумын жана көйгөйдү аныктаганыңыз үчүн рахмат айткым келет. Белгилүү болгондой, биз эластикага кирүү мүмкүнчүлүгүн жаптык жана кардарлар үчүн билеттерди кайра чыгаруу маселесин чечип жатабыз.
Бир аздан кийин компания расмий билдирүү жасады:
Radario электрондук билеттерди сатуу системасында алсыздык табылып, тез арада оңдолду, бул кызматтын кардарларынын маалыматтарынын агып кетишине алып келиши мүмкүн, деп билдирди компаниянын маркетинг боюнча директору Кирилл Малышев Москва шаардык маалымат агенттигине.
«Биз чындыгында системанын иштешинде үзгүлтүксүз жаңыртууларга байланыштуу кемчиликти таптык, ал табылгандан кийин дароо оңдолду. Алсыздыктын натыйжасында, белгилүү бир шарттарда, үчүнчү жактардын достук эмес аракеттери маалыматтардын агып кетишине алып келиши мүмкүн, бирок эч кандай инциденттер катталган эмес. Учурда бардык мүчүлүштүктөр жоюлду», - деди К.Малышев.
Компаниянын өкүлү тейлөө кардарларына карата ар кандай алдамчылыкка жол бербөө үчүн көйгөйдү чечүү учурунда сатылган бардык билеттерди кайра чыгаруу чечими кабыл алынганын баса белгиледи.
Бир нече күндөн кийин, мен ачыкка чыккан шилтемелер аркылуу маалыматтардын бар-жоктугун текшердим - "ачыкка чыккан" билеттерге кирүү чындап эле камтылган. Менимче, бул маалыматтардын агып кетүү маселесин чечүүгө компетенттүү, кесипкөй мамиле.
Экинчи иш. "Fly.ru"
Таң эрте 15.05.2019 DeviceLock Data Breach Intelligence белгилүү ИСтин журналдары менен коомдук Elasticsearch серверин аныктады.
Кийинчерээк сервер “Sletat.ru” тур тандоо кызматына таандык экени аныкталган.
Индекстен cbto__0 миӊдеген (11,7 миң, анын ичинде XNUMX миң) электрондук почта даректерин, ошондой эле айрым төлөм маалыматын (турдун чыгымдары) жана тур маалыматтарын (качан, кайда, учак билетинин реквизиттери) алууга мүмкүн болду всех турга кирген саякатчылар ж.б.) 1,8 миңге жакын жазууларды:
"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"Айтмакчы, акы төлөнүүчү турларга шилтемелер абдан иштейт:
аты менен индекстерде graylog_ ачык текстте Sletat.ru тутумуна туташтырылган туристтик агенттиктердин логиндери жана сырсөздөрү жана алардын кардарларына турларды саткан:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."Менин болжолдорум боюнча, бир нече жүз логин/пароль жуптары көрсөтүлдү.
Порталдагы туристтик агенттиктин жеке кабинетинен agent.sletat.ru кардарлардын маалыматтарын, анын ичинде паспорттун номерлерин, эл аралык паспортторду, туулган даталарын, толук аты-жөнүн, телефон номерлерин жана электрондук почта даректерин алууга мүмкүн болду.
Мен Sletat.ru кызматына 15.05.2019-жылы саат 10:46да (MSK) кабарладым жана бир нече сааттан кийин (саат 16:00гө чейин) ал алардын эркин кирүүсүнөн жок болуп кетти. Кийинчерээк, Коммерсанттагы басылмага жооп катары, кызматтын жетекчилиги массалык маалымат каражаттары аркылуу абдан кызыктай билдирүү жасады:
Компаниянын жетекчиси Андрей Вершинин түшүндүргөндөй, Sletat.ru бир катар ири өнөктөш туроператорлорго издөө системасындагы сурамдардын тарыхына кирүү мүмкүнчүлүгүн берет. Ал DeviceLock аны алган деп ойлоду: "Бирок, көрсөтүлгөн маалымат базасында туристтердин паспорттук маалыматтары, туристтик агенттиктин логиндери жана сырсөздөрү, төлөм маалыматы ж.б. камтылган эмес." Андрей Вершинин белгилегендей, Sletat.ru азырынча мындай олуттуу айыптоо боюнча эч кандай далил ала элек. "Биз азыр DeviceLock менен байланышууга аракет кылып жатабыз. Бул буйрук деп эсептейбиз. Биздин тез өсүүбүз айрымдарга жакпайт», - деп кошумчалады ал. "
Жогоруда көрсөтүлгөндөй, туристтердин логиндери, сырсөздөрү жана паспорттук маалыматтары бир топ убакыт бою коомдук доменде болгон (жок дегенде 29.03.2019-жылдын XNUMX-мартынан бери, компаниянын сервери Shodan издөө системасы тарабынан биринчи жолу коомдук доменде жазылган). Албетте, биз менен эч ким байланышкан жок. Алар жок дегенде туристтик агенттиктерге маалымат чыгып, сырсөздөрүн өзгөртүүгө мажбур кылышты деп үмүттөнөм.
Маалыматтын агып кетиши жана инсайдерлер тууралуу жаңылыктарды менин Telegram каналымдан ар дайым тапса болот "«.
Source: www.habr.com