Illum se nħarsu lejn żewġ każijiet f'daqqa - id-dejta tal-klijenti u l-imsieħba ta 'żewġ kumpaniji kompletament differenti kienet disponibbli liberament "grazzi għal" servers miftuħa ta' Elasticsearch b'logs ta 'sistemi ta' informazzjoni (IS) ta 'dawn il-kumpaniji.
Fl-ewwel każ, dawn huma għexieren ta’ eluf (u forsi mijiet ta’ eluf) ta’ biljetti għal diversi avvenimenti kulturali (teatri, każini, vjaġġi fuq ix-xmajjar, eċċ.) mibjugħa permezz tas-sistema Radario (www.radario.ru).
Fit-tieni każ, din hija data dwar vjaġġi turistiċi ta’ eluf (possibilment diversi għexieren ta’ eluf) ta’ vjaġġaturi li xtraw tours permezz ta’ aġenziji tal-ivvjaġġar konnessi mas-sistema Sletat.ru (www.sletat.ru).
Nixtieq ninnota mill-ewwel li mhux biss l-ismijiet tal-kumpaniji li ppermettew li d-dejta ssir disponibbli pubblikament huma differenti, iżda wkoll l-approċċ ta 'dawn il-kumpaniji biex jirrikonoxxu l-inċident u r-reazzjoni sussegwenti għalih. Imma l-ewwel l-ewwel...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Każ wieħed. "Radario"
Fil-għaxija tal-06.05.2019/XNUMX/XNUMX is-sistema tagħna , proprjetà tas-servizz elettroniku tal-bejgħ tal-biljetti Radario.
Skont it-tradizzjoni diqa diġà stabbilita, is-server kien fih reġistru dettaljat tas-sistema ta 'informazzjoni tas-servizz, li minnha kien possibbli li tinkiseb data personali, logins tal-utenti u passwords, kif ukoll il-biljetti elettroniċi nfushom għal diversi avvenimenti madwar il-pajjiż.
Il-volum totali ta 'zkuk qabeż 1 TB.
Skont il-magna tat-tiftix Shodan, is-server ilu pubblikament disponibbli mill-11.03.2019 ta’ Marzu 06.05.2019. Innotifika lill-impjegati ta' Radario fil-22/50/07.05.2019 f'09:30 (MSK) u fil-XNUMX/XNUMX/XNUMX f'madwar XNUMX:XNUMX is-server ma sarx disponibbli.
Ir-zkuk kien fihom token ta’ awtorizzazzjoni universali (uniku), li jipprovdi aċċess għall-biljetti kollha mixtrija permezz ta’ links speċjali, bħal:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkIl-problema kienet ukoll li biex tagħti kont tal-biljetti, intużat numerazzjoni kontinwa tal-ordnijiet u enumerazzjoni sempliċi tan-numru tal-biljett (xxxxxxxx) jew ordni (YYYYYYY), kien possibbli li tikseb il-biljetti kollha mis-sistema.
Biex niċċekkja r-rilevanza tad-database, anke onestament xtrajt lili nnifsi l-irħas biljett:
u aktar tard sabuha fuq server pubbliku fir-reġistri tal-IS:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkSeparatament, nixtieq nenfasizza li l-biljetti kienu disponibbli kemm għal avvenimenti li diġà saru kif ukoll għal dawk li għadhom qed jiġu ppjanati. Jiġifieri, attakkant potenzjali jista 'juża biljett ta' xi ħadd ieħor biex jidħol fl-avveniment ippjanat.
Bħala medja, kull indiċi Elasticsearch li fih zkuk għal ġurnata speċifika (li jibda mill-24.01.2019/07.05.2019/25 sal-35/XNUMX/XNUMX) kien fih minn XNUMX sa XNUMX elf biljett.
Minbarra l-biljetti nfushom, l-indiċi kien fih logins (indirizzi tal-email) u passwords tat-test għall-aċċess għall-kontijiet personali tal-imsieħba ta’ Radario li jbigħu l-biljetti għall-avvenimenti tagħhom permezz ta’ dan is-servizz:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"B'kollox, ġew skoperti aktar minn 500 par login/password. L-istatistika tal-bejgħ tal-biljetti hija viżibbli fil-kontijiet personali tal-imsieħba:
Kienu disponibbli pubblikament ukoll l-ismijiet, in-numri tat-telefon u l-indirizzi tal-email tax-xerrejja li ddeċidew li jirritornaw biljetti mixtrija qabel:
"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"F'ġurnata waħda magħżula bl-addoċċ, ġew skoperti aktar minn 500 rekord bħal dan.
Irċevejt tweġiba għat-twissija mid-direttur tekniku ta' Radario:
Jien id-direttur tekniku ta' Radario u nixtieq nirringrazzjak talli identifikajt il-problema. Kif tafu, għalaqna l-aċċess għall-elastic u qed insolvu l-kwistjoni tal-ħruġ mill-ġdid tal-biljetti għall-klijenti.
Ftit wara l-kumpanija għamlet stqarrija uffiċjali:
Vulnerabbiltà ġiet skoperta fis-sistema ta 'bejgħ ta' biljetti elettroniċi Radario u kkoreġuta fil-pront, li tista 'twassal għal tnixxija ta' dejta mill-klijenti tas-servizz, id-direttur tal-kummerċjalizzazzjoni tal-kumpanija, Kirill Malyshev, qal lill-Aġenzija tal-Aħbarijiet tal-Belt ta 'Moska.
"Aħna fil-fatt skoprejna vulnerabbiltà fl-operat tas-sistema assoċjata ma 'aġġornamenti regolari, li ġiet iffissata immedjatament wara l-iskoperta. Bħala riżultat tal-vulnerabbiltà, taħt ċerti kundizzjonijiet, azzjonijiet mhux amikevoli ta 'partijiet terzi jistgħu jwasslu għal tnixxija tad-dejta, iżda ma ġew irreġistrati l-ebda inċidenti. Bħalissa, il-ħsarat kollha ġew eliminati,” qal K. Malyshev.
Rappreżentant tal-kumpanija enfasizza li ġie deċiż li jerġgħu jinħarġu l-biljetti kollha mibjugħa matul is-soluzzjoni tal-problema sabiex tiġi eliminata kompletament il-possibbiltà ta 'kwalunkwe frodi kontra l-klijenti tas-servizz.
Ftit jiem wara, ivverifikajt id-disponibbiltà tad-dejta bl-użu tal-links leaked - l-aċċess għall-biljetti "esposti" kien tabilħaqq kopert. Fl-opinjoni tiegħi, dan huwa approċċ kompetenti u professjonali biex issolvi l-problema tat-tnixxija tad-dejta.
Kawża tnejn. "Fly.ru"
Kmieni filgħodu 15.05.2019/XNUMX/XNUMX DeviceLock Data Ksur Intelliġenza identifika server Elasticsearch pubbliku bi zkuk ta' ċertu IS.
Aktar tard ġie stabbilit li s-server jappartjeni għas-servizz tal-għażla tat-turs "Sletat.ru".
Mill-indiċi cbto__0 kien possibbli li jinkisbu eluf (11,7 elf inklużi duplikati) ta’ indirizzi tal-email, kif ukoll xi informazzjoni dwar il-ħlas (spejjeż tat-turs) u data tat-turs (meta, fejn, id-dettalji tal-biljetti tal-ajru). Kollha vjaġġaturi inklużi fil-mawra, eċċ.) fl-ammont ta 'madwar 1,8 elf rekord:
"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"Mill-mod, il-links għal tours imħallsa qed jaħdmu pjuttost:
Fl-indiċi bl-isem graylog_ f'test ċar kienu l-logins u l-passwords tal-aġenziji tal-ivvjaġġar konnessi mas-sistema Sletat.ru u li jbiegħu tours lill-klijenti tagħhom:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."Skont l-istimi tiegħi, ġew murija diversi mijiet ta' pari login/password.
Mill-kont personali tal-aġenzija tal-ivvjaġġar fuq il-portal agent.sletat.ru kien possibbli li tinkiseb data tal-klijenti, inklużi numri tal-passaporti, passaporti internazzjonali, dati tat-twelid, ismijiet sħaħ, numri tat-telefon u indirizzi tal-email.
Innotifika lis-servizz Sletat.ru fil-15.05.2019/10/46 fl-16:00 (MSK) u ftit sigħat wara (sa XNUMX:XNUMX) sparixxa mill-aċċess liberu tagħhom. Aktar tard, bi tweġiba għall-pubblikazzjoni f'Kommersant, il-maniġment tas-servizz għamel dikjarazzjoni stramba ħafna permezz tal-midja:
Il-kap tal-kumpanija, Andrei Vershinin, spjega li Sletat.ru jipprovdi għadd ta’ operaturi turistiċi sħab ewlenin b’aċċess għall-istorja tal-mistoqsijiet fil-magna tat-tiftix. U assuma li DeviceLock irċeviha: "Madankollu, id-database speċifikata ma fihiex data tal-passaporti tat-turisti, logins u passwords tal-aġenzija tal-ivvjaġġar, informazzjoni dwar il-ħlas, eċċ." Andrei Vershinin innota li Sletat.ru għadu ma rċieva l-ebda evidenza ta’ akkużi serji bħal dawn. “Issa qed nippruvaw nikkuntattjaw lil DeviceLock. Aħna nemmnu li din hija ordni. Xi nies ma jogħġbux it-tkabbir mgħaġġel tagħna,” żied jgħid. "
Kif muri hawn fuq, il-logins, il-passwords, u d-dejta tal-passaporti tat-turisti kienu fid-dominju pubbliku għal żmien pjuttost twil (mill-inqas mid-29.03.2019 ta’ Marzu XNUMX, meta s-server tal-kumpanija ġie rreġistrat għall-ewwel darba fid-dominju pubbliku mill-magna tat-tiftix Shodan). Ovvjament, ħadd ma kkuntattjana. Nittama li tal-inqas innotifikaw lill-aġenziji tal-ivvjaġġar dwar it-tnixxija u ġiegħluhom jibdlu l-passwords tagħhom.
Aħbarijiet dwar tnixxijiet ta’ informazzjoni u persuni minn ġewwa jistgħu dejjem jinstabu fuq il-kanal Telegram tiegħi "".
Sors: www.habr.com