Haut wäerte mir zwee Fäll gläichzäiteg kucken - d'Donnéeë vu Clienten a Partner vun zwee komplett verschiddene Firmen ware fräi verfügbar "dank" opene Elasticsearch Serveren mat Logbicher vun Informatiounssystemer (IS) vun dëse Firmen.
Am éischte Fall sinn dëst Zéngdausende (a vläicht Honnerte vun Dausende) Tickete fir verschidde kulturell Eventer (Theateren, Veräiner, Flossreesen, etc.) verkaaft duerch de Radario System (www.radario.ru).
Am zweete Fall sinn dat Daten iwwer Touristenreesen vun Dausende (méiglecherweis e puer Zéngdausende) vu Reesender, déi Touren duerch Reesbüroen, déi mam Sletat.ru System verbonne sinn, kaaft hunn (www.sletat.ru).
Ech wëll direkt bemierken datt net nëmmen d'Nimm vun de Firmen, déi d'Donnéeën erlaabt hunn ëffentlech verfügbar ze ginn, ënnerscheeden, mee och d'Approche vun dëse Firmen fir den Tëschefall ze erkennen an d'Reaktioun duerno drop. Awer éischt Saache fir d'éischt ...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Fall eent. "Radario"
Den Owend vum 06.05.2019/XNUMX/XNUMX eise System , am Besëtz vun der elektronescher Ticket Verkaf Service Radario.
Laut der scho etabléierter traureg Traditioun, enthält de Server detailléiert Logbicher vum Informatiounssystem vum Service, aus deem et méiglech war perséinlech Donnéeën, Benotzer Login a Passwierder ze kréien, souwéi d'elektronesch Ticketen selwer fir verschidden Eventer am ganze Land.
De Gesamtvolumen vun de Logbicher iwwerschratt 1 TB.
No der Shodan Sichmotor ass de Server zënter dem 11.03.2019. Mäerz 06.05.2019 ëffentlech zougänglech. Ech hunn de Radario Mataarbechter den 22/50/07.05.2019 um 09:30 (MSK) informéiert an den XNUMX/XNUMX/XNUMX um ongeféier XNUMX:XNUMX war de Server net verfügbar.
D'Logbicher enthalen en universellen (eenzegen) Autorisatiounstoken, deen Zougang zu all kaaft Ticketen iwwer speziell Linken ubitt, wéi:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkDe Problem war och datt fir d'Ticketen ze berechnen, kontinuéierlech Nummeréierung vun Bestellungen benotzt gouf an einfach Opzielung vun der Ticketnummer (XXXXXXXXX) oder bestellen (YYYYYYY), war et méiglech all Ticketen aus dem System ze kréien.
Fir d'Relevanz vun der Datebank z'iwwerpréiwen, hunn ech souguer éierlech de bëllegsten Ticket kaaft:
a spéider op engem ëffentleche Server an den IS Logbicher fonnt:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkSeparat wëll ech ënnersträichen, datt Tickete souwuel fir Eventer, déi scho stattfonnt hunn, wéi och fir déi, déi nach geplangt sinn, verfügbar waren. Dat ass, e potenziellen Ugräifer kéint den Ticket vun engem aneren benotzen fir de geplangten Event anzeginn.
Am Duerchschnëtt, all Elasticsearch Index mat Logbicher fir ee spezifeschen Dag (vum 24.01.2019/07.05.2019/25 bis 35/XNUMX/XNUMX) enthält vu XNUMX bis XNUMX Tausend Ticketen.
Zousätzlech zu den Ticketen selwer, enthält den Index Login (E-Mailadressen) an Textpasswierder fir Zougang zu de perséinleche Konte vu Radario Partner, déi Tickete fir hir Eventer iwwer dëse Service verkafen:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"Am Ganzen goufe méi wéi 500 Login/Passwuertpairen entdeckt. Ticket Verkafsstatistike sinn a perséinleche Konten vum Partner siichtbar:
Och ëffentlech verfügbar waren d'Nimm, d'Telefonsnummeren an d'E-Mail-Adresse vu Keefer, déi decidéiert hunn virdrun kaaft Ticketen zréckzekommen:
"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"An engem zoufälleg ausgewielten Dag goufen méi wéi 500 esou Opzeechnungen entdeckt.
Ech krut eng Äntwert op d'Alarm vum techneschen Direkter vum Radario:
Ech sinn den techneschen Direkter vum Radario a wëll Iech Merci soen fir de Problem z'identifizéieren. Wéi Dir wësst, hu mir Zougang zu elastesche zougemaach a léisen d'Fro vun der neier Erausfuerderung vun Ticketen fir Clienten.
E bësse méi spéit huet d'Firma eng offiziell Ausso gemaach:
Eng Schwachstelle gouf am Radario elektroneschen Ticketverkafssystem entdeckt a prompt korrigéiert, wat zu engem Leck vun Daten aus de Cliente vum Service kéint féieren, sot de Marketingdirekter vun der Firma, Kirill Malyshev, der Moskau City News Agency.
"Mir hunn tatsächlech eng Schwachstelle entdeckt an der Systemoperatioun verbonne mat regelméissegen Updates, déi direkt no der Entdeckung fixéiert gouf. Als Resultat vun der Schwachstelle, ënner bestëmmte Konditiounen, onfrëndlech Handlungen vun Drëtte kënnen zu Datelekage féieren, awer keng Tëschefäll goufen opgeholl. Am Moment sinn all Feeler éliminéiert ", sot de K. Malyshev.
E Firmevertrieder huet betount, datt et decidéiert gouf, all Ticketen, déi während der Léisung vum Problem verkaaft goufen, nei erauszestellen, fir d'Méiglechkeet vu Bedruch géint Serviceclienten komplett ze eliminéieren.
E puer Deeg méi spéit hunn ech d'Disponibilitéit vun den Donnéeën iwwerpréift mat de gelakte Linken - den Zougang zu den "exposéierten" Ticketen war wierklech ofgedeckt. Menger Meenung no ass dat eng kompetent, professionell Approche fir de Problem vun der Datelekage ze léisen.
Fall zwee. "Fly.ru"
Moies fréi 15.05.2019/XNUMX/XNUMX DeviceLock Data Breach Intelligence identifizéiert engem ëffentlechen Elasticsearch Server mat Logbicher vun engem bestëmmte IS.
Méi spéit gouf festgestallt datt de Server zum Tourauswielservice "Sletat.ru" gehéiert.
Vum Index cbto__0 et war méiglech Dausende (11,7 Tausend Duplikaten abegraff) vun E-Mail Adressen ze kréien, souwéi e puer Bezuelinformatioun (Tourkäschten) an Tourdaten (wann, wou, Flugticket Detailer всех Reesender an der Tour abegraff, etc.) an der Quantitéit vun ongeféier 1,8 Tausend records:
"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"Iwwregens, d'Links op bezuelte Touren funktionnéieren zimlech:
An Indizes mat Numm greylog_ am Kloertext waren d'Logins a Passwierder vun de Reesbüroen, déi mam Sletat.ru System verbonne sinn an Touren un hir Clienten verkafen:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."No menge Schätzunge goufen e puer honnert Login/Passwuertpairen ugewisen.
Vum perséinleche Kont vun der Reesbüro um Portal agent.sletat.ru et war méiglech Client Daten ze kréien, dorënner Pass Zuelen, international Päss, Gebuertsdatum, voll Nimm, Telefonsnummer an Email Adressen.
Ech hunn de Sletat.ru Service den 15.05.2019/10/46 um 16:00 (Moskau Zäit) matgedeelt an e puer Stonnen méi spéit (bis XNUMX:XNUMX) ass et aus hirem gratis Zougang verschwonnen. Méi spéit, an Äntwert op d'Publikatioun am Kommersant, huet d'Gestioun vum Service eng ganz komesch Ausso duerch d'Medien gemaach:
De Chef vun der Firma, Andrei Vershinin, huet erkläert datt Sletat.ru eng Rei vu grousse Partner Touroperateuren Zougang zu der Geschicht vun Ufroen an der Sichmotor bitt. An hien huet ugeholl datt DeviceLock et kritt huet: "Awer déi spezifizéiert Datebank enthält keng Touristen Passdaten, Reesagenturen a Passwierder, Bezuelinformatioun, etc." Andrei Vershinin bemierkt datt Sletat.ru nach keng Beweiser fir sou sérieux Uklo kritt huet. "Mir probéieren elo DeviceLock ze kontaktéieren. Mir gleewen datt dëst eng Bestellung ass. E puer Leit hunn eise schnelle Wuesstum net gär, "huet hien derbäigesat. "
Wéi uewen gewisen, Login, Passwierder a Passdaten vun Touristen ware laang am Domaine public fir eng zimlech laang Zäit (op d'mannst zënter dem 29.03.2019. Mäerz XNUMX, wéi de Server vun der Firma fir d'éischt am Domaine public vun der Shodan Sichmotor opgeholl gouf). Natierlech huet keen eis kontaktéiert. Ech hoffen, datt se op d'mannst Reesbüroen iwwer de Leck informéiert hunn an se gezwongen hunn hir Passwierder z'änneren.
Neiegkeeten iwwer Informatiounsleken an Insider kënnen ëmmer op mengem Telegram Kanal fonnt ginn "".
Source: will.com