Өнөөдөр бид хоёр тохиолдлыг нэг дор авч үзэх болно - эдгээр компаниудын мэдээллийн системийн (IS) бүртгэл бүхий нээлттэй Elasticsearch серверүүдийн "ачаар" хоёр тэс өөр компанийн үйлчлүүлэгчид болон түншүүдийн мэдээлэл чөлөөтэй байсан.
Эхний тохиолдолд эдгээр нь Radario системээр зарагдсан янз бүрийн соёлын арга хэмжээний (театр, клуб, голын аялал гэх мэт) хэдэн арван мянган (болон магадгүй хэдэн зуун мянган) тасалбар юм.www.radario.ru).
Хоёр дахь тохиолдолд, энэ нь Sletat.ru системд холбогдсон аялал жуулчлалын агентлагуудаар дамжуулан аялал худалдаж авсан олон мянган (хэдэн арван мянган) жуулчдын аялалын талаархи мэдээлэл юм.www.sletat.ru).
Мэдээллийг олон нийтэд нээлттэй болгох боломжийг олгосон компаниудын нэрс өөр өөр байдаг төдийгүй эдгээр компаниудын үйл явдлыг хүлээн зөвшөөрөх арга барил, дараа нь түүнд үзүүлэх хариу үйлдэл нь ялгаатай гэдгийг би нэн даруй тэмдэглэхийг хүсч байна. Гэхдээ хамгийн түрүүнд хийх зүйл ...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Нэгдүгээр тохиолдол. "Радарио"
06.05.2019-ны орой манай систем , цахим тасалбар борлуулалт үйлчилгээний Radario эзэмшдэг.
Аль хэдийн тогтсон гунигтай уламжлалын дагуу сервер нь үйлчилгээний мэдээллийн системийн нарийвчилсан бүртгэлийг агуулж байсан бөгөөд үүнээс хувийн мэдээлэл, хэрэглэгчийн нэвтрэх нэр, нууц үг, түүнчлэн улс орон даяар зохион байгуулагдах янз бүрийн арга хэмжээний цахим тасалбарыг өөрсдөө авах боломжтой байв.
Бүртгэлийн нийт хэмжээ 1 TB-ээс хэтэрсэн.
Shodan хайлтын системийн мэдээлснээр сервер нь 11.03.2019 оны 06.05.2019-р сарын 22-ээс эхлэн олон нийтэд нээлттэй болсон. Би Радариогийн ажилтнуудад 50 оны 07.05.2019 сарын 09-ны өдрийн 30:XNUMX цагт (MSK) мэдэгдсэн ба XNUMX оны XNUMX сарын XNUMX-ны өдрийн XNUMX:XNUMX цагийн үед сервер ажиллахгүй болсон.
Бүртгэлүүд нь бүх худалдан авсан тасалбаруудад тусгай холбоосоор нэвтрэх боломжийг олгодог бүх нийтийн (ганц) зөвшөөрлийн токен агуулсан:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkАсуудал нь тасалбарыг бүртгэхийн тулд захиалгыг тасралтгүй дугаарлаж, тасалбарын дугаарыг энгийн байдлаар тоолох явдал байв (ХХХХХХХ) эсвэл захиалга (ЭЭЖЭЭ), бүх тасалбарыг системээс авах боломжтой байсан.
Мэдээллийн сангийн хамаарлыг шалгахын тулд би хамгийн хямд тасалбар худалдаж авсан.
Дараа нь үүнийг IS бүртгэлээс нийтийн серверээс олсон:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkӨмнө нь болсон болон төлөвлөгдөж буй үйл явдлуудын тасалбарыг авах боломжтой байсныг онцлон тэмдэглэхийг хүсч байна. Өөрөөр хэлбэл, болзошгүй халдлага үйлдэгчид төлөвлөсөн арга хэмжээнд оролцохын тулд хэн нэгний тасалбарыг ашиглаж болно.
Дунджаар Elasticsearch индекс бүр тодорхой өдрийн (24.01.2019-өөс 07.05.2019 хүртэл) лог агуулсан 25-35 мянган тасалбарыг агуулж байв.
Индекс нь тасалбараас гадна энэ үйлчилгээгээр дамжуулан үйл явдлын тасалбар зардаг Radario түншүүдийн хувийн дансанд нэвтрэх нэвтрэх нэр (и-мэйл хаяг) болон текст нууц үгийг агуулсан болно.
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"Нийтдээ 500 гаруй нэвтрэх/нууц үгийн хосыг илрүүлсэн. Тасалбарын борлуулалтын статистик нь түншүүдийн хувийн дансанд харагдана.
Мөн өмнө нь худалдаж авсан тасалбараа буцааж өгөхөөр шийдсэн худалдан авагчдын нэр, утасны дугаар, имэйл хаягийг олон нийтэд нээлттэй болгосон.
"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"Санамсаргүй байдлаар сонгосон нэг өдрийн дотор 500 гаруй ийм бичлэг олдсон байна.
Би Radario-ийн техникийн захирлаас сэрэмжлүүлгийн хариуг хүлээн авлаа.
Би Радариогийн техникийн захирал бөгөөд асуудлыг олж илрүүлсэн танд баярлалаа. Бид уян хатан хандалтыг хааж, үйлчлүүлэгчдэд дахин тасалбар олгох асуудлыг шийдэж байгааг та бүхэн мэдэж байгаа.
Хэсэг хугацааны дараа тус компани албан ёсны мэдэгдэл хийлээ.
Radario цахим тасалбарын борлуулалтын системд нэгэн эмзэг байдлыг илрүүлж, шуурхай зассан бөгөөд энэ нь үйлчилгээний үйлчлүүлэгчдээс мэдээлэл алдагдахад хүргэж болзошгүй гэж тус компанийн маркетингийн захирал Кирилл Малышев Москва хотын мэдээллийн агентлагт мэдэгдэв.
“Бид системийн үйл ажиллагаанд байнгын шинэчлэлттэй холбоотой сул талыг үнэхээр илрүүлсэн бөгөөд үүнийг илрүүлсний дараа шууд зассан. Эмзэг байдлын үр дүнд, тодорхой нөхцөлд гуравдагч этгээдийн найрсаг бус үйлдэл нь өгөгдөл алдагдахад хүргэж болзошгүй байсан ч ямар ч зөрчил бүртгэгдээгүй. Одоогийн байдлаар бүх алдаа дутагдлыг арилгасан” гэж К.Малышев хэлэв.
Үйлчилгээний үйлчлүүлэгчдийг залилан мэхлэх боломжийг бүрмөсөн арилгахын тулд асуудлыг шийдвэрлэх явцад зарагдсан бүх тасалбарыг дахин олгохоор болсон гэдгийг компанийн төлөөлөгч онцоллоо.
Хэдэн өдрийн дараа би задруулсан линкүүдийг ашиглан өгөгдөл байгаа эсэхийг шалгасан - "ил гарсан" тасалбар руу нэвтрэх эрхийг үнэхээр хамгаалсан. Миний бодлоор энэ бол өгөгдөл алдагдах асуудлыг шийдвэрлэх чадварлаг, мэргэжлийн арга юм.
Хоёр дахь тохиолдол. "Fly.ru"
Өглөө эрт 15.05.2019 DeviceLock Data Broach Intelligence тодорхой IS-ийн бүртгэл бүхий нийтийн Elasticsearch серверийг тодорхойлсон.
Хожим нь сервер нь "Sletat.ru" аялал сонгон шалгаруулах үйлчилгээнд харьяалагддаг болохыг тогтоожээ.
Индексээс cbto__0 олон мянган (давхардсан тоогоор 11,7 мянга) цахим шуудангийн хаяг, мөн төлбөрийн зарим мэдээлэл (аяллын зардал) болон аяллын мэдээллийг (хэзээ, хаана, онгоцны тийзний дэлгэрэнгүй мэдээлэл) авах боломжтой болсон. всех аялалд багтсан аялагчид гэх мэт) 1,8 мянга орчим бичлэгийн хэмжээгээр:
"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"Дашрамд хэлэхэд төлбөртэй аялалын холбоосууд нэлээд ажиллаж байна:
Нэр бүхий индексүүдэд саарал_ Sletat.ru системд холбогдсон аялал жуулчлалын агентлагуудын нэвтрэлт, нууц үгийг тодорхой бичвэрт оруулсан бөгөөд үйлчлүүлэгчиддээ аялал зарж байна.
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."Миний тооцоолсноор хэдэн зуун нэвтрэх/нууц үгийн хослолыг харуулсан.
Портал дээрх аялал жуулчлалын агентлагийн хувийн данснаас agent.sletat.ru Паспортын дугаар, олон улсын паспорт, төрсөн он, сар, өдөр, бүтэн нэр, утасны дугаар, имэйл хаяг зэрэг хэрэглэгчийн мэдээллийг авах боломжтой болсон.
Би Sletat.ru үйлчилгээнд 15.05.2019 оны 10-р сарын 46-ны өдрийн 16:00 цагт (MSK) мэдэгдсэн бөгөөд хэдхэн цагийн дараа (XNUMX:XNUMX цаг хүртэл) тэдний үнэгүй хандалтаас алга болсон. Хожим нь Коммерсант сонинд нийтлэгдсэний хариуд тус үйлчилгээний удирдлага хэвлэл мэдээллийн хэрэгслээр маш хачирхалтай мэдэгдэл хийжээ.
Компанийн тэргүүн Андрей Вершинин тайлбарлав: Sletat.ru нь хэд хэдэн томоохон түнш тур операторуудад хайлтын систем дэх асуултуудын түүхийг үзэх боломжийг олгодог. Тэрээр DeviceLock үүнийг хүлээн авсан гэж таамаглаж байна: "Гэхдээ заасан мэдээллийн санд жуулчдын паспортын мэдээлэл, аялал жуулчлалын агентлагийн нэвтрэх нэр, нууц үг, төлбөрийн мэдээлэл гэх мэт зүйл байхгүй." Андрей Вершинин хэлэхдээ, Sletat.ru ийм ноцтой буруутгасан нотлох баримтыг хараахан аваагүй байна. "Бид одоо DeviceLock-тэй холбогдохыг оролдож байна. Энэ бол захиалга гэж бид үзэж байна. Зарим хүмүүс бидний хурдацтай өсөлтөд дургүй байдаг" гэж тэр нэмж хэлэв. "
Дээр дурдсанчлан жуулчдын нэвтрэлт, нууц үг, паспортын мэдээлэл нэлээд удаан хугацаанд нийтийн эзэмшилд байсан (наад зах нь 29.03.2019 оны XNUMX-р сарын XNUMX-ний өдөр Шодан хайлтын систем компанийн серверийг олон нийтийн домэйнд анх бүртгэсэн цагаас хойш). Мэдээж хэн ч бидэнтэй холбоо бариагүй. Тэд ядаж л аялал жуулчлалын агентлагуудад мэдээлэл алдагдсан талаар мэдэгдэж, нууц үгээ солихыг албадсан байх гэж найдаж байна.
Мэдээлэл алдагдсан болон инсайдеруудын талаарх мэдээг миний Telegram сувгаас үргэлж авах боломжтой "".
Эх сурвалж: www.habr.com