Vandaag zullen we twee gevallen tegelijk bekijken: de gegevens van klanten en partners van twee totaal verschillende bedrijven waren vrij beschikbaar “dankzij” open Elasticsearch-servers met logs van informatiesystemen (IS) van deze bedrijven.
In het eerste geval gaat het om tienduizenden (en misschien honderdduizenden) kaartjes voor verschillende culturele evenementen (theaters, clubs, riviertochten, enz.) die via het Radario-systeem worden verkocht (www.radario.ru).
In het tweede geval zijn dit gegevens over toeristische reizen van duizenden (mogelijk enkele tienduizenden) reizigers die reizen hebben gekocht via reisbureaus die zijn aangesloten op het Sletat.ru-systeem (www.sletat.ru).
Ik wil meteen opmerken dat niet alleen de namen van de bedrijven die de gegevens openbaar hebben gemaakt, verschillen, maar ook de aanpak van deze bedrijven bij het herkennen van het incident en de daaropvolgende reactie daarop. Maar eerst dingen eerst…
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Geval één. "Radario"
In de avond van 06.05.2019/XNUMX/XNUMX ons systeem , eigendom van de elektronische kaartverkoopdienst Radario.
Volgens de reeds gevestigde trieste traditie bevatte de server gedetailleerde logs van het informatiesysteem van de dienst, waaruit het mogelijk was om persoonlijke gegevens, gebruikersaanmeldingen en wachtwoorden te verkrijgen, evenals de elektronische tickets zelf voor verschillende evenementen in het hele land.
Het totale volume aan logboeken overschreed 1 TB.
Volgens de Shodan-zoekmachine is de server sinds 11.03.2019 maart 06.05.2019 publiekelijk beschikbaar. Ik heb Radario-medewerkers op 22-50-07.05.2019 om 09:30 uur (MSK) op de hoogte gebracht en op XNUMX-XNUMX-XNUMX omstreeks XNUMX:XNUMX uur was de server niet meer beschikbaar.
De logs bevatten een universeel (enkelvoudig) autorisatietoken, dat toegang gaf tot alle gekochte tickets via speciale links, zoals:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkHet probleem was ook dat voor de verwerking van tickets een doorlopende nummering van de bestellingen werd gebruikt en een eenvoudige opsomming van het ticketnummer (XXXXXXXX) of bestel (JJJJJJJ), was het mogelijk om alle tickets uit het systeem te halen.
Om de relevantie van de database te controleren, heb ik eerlijk gezegd zelfs het goedkoopste ticket voor mezelf gekocht:
en vond het later op een openbare server in de IS-logboeken:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkLos daarvan zou ik willen benadrukken dat er kaartjes beschikbaar waren voor zowel evenementen die al hebben plaatsgevonden als voor evenementen die nog in de planning staan. Dat wil zeggen dat een potentiële aanvaller het ticket van iemand anders kan gebruiken om toegang te krijgen tot het geplande evenement.
Gemiddeld bevatte elke Elasticsearch-index met logs voor één specifieke dag (vanaf 24.01.2019-07.05.2019-25 tot 35-XNUMX-XNUMX) XNUMX tot XNUMX duizend tickets.
Naast de tickets zelf bevatte de index logins (e-mailadressen) en tekstwachtwoorden voor toegang tot de persoonlijke accounts van Radario-partners die via deze dienst tickets voor hun evenementen verkopen:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"In totaal werden meer dan 500 login/wachtwoord-paren gedetecteerd. Ticketverkoopstatistieken zijn zichtbaar in de persoonlijke accounts van partners:
Ook publiekelijk beschikbaar waren de namen, telefoonnummers en e-mailadressen van kopers die besloten eerder gekochte tickets te retourneren:
"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"Op één willekeurig geselecteerde dag werden meer dan 500 van dergelijke records ontdekt.
Ik kreeg een reactie op de alert van de technisch directeur van Radario:
Ik ben de technisch directeur van Radario en wil u bedanken voor het identificeren van het probleem. Zoals u weet hebben we de toegang tot Elastic gesloten en zijn we bezig met het oplossen van het probleem van het opnieuw uitgeven van tickets voor klanten.
Even later legde het bedrijf een officiële verklaring af:
Er werd een kwetsbaarheid ontdekt in het elektronische kaartverkoopsysteem van Radario, die onmiddellijk werd gecorrigeerd, wat zou kunnen leiden tot een lek van gegevens van de klanten van de dienst, vertelde de marketingdirecteur van het bedrijf, Kirill Malyshev, aan het Moskou City News Agency.
“We ontdekten feitelijk een kwetsbaarheid in de systeemwerking die verband hield met regelmatige updates, die onmiddellijk na ontdekking werd verholpen. Als gevolg van de kwetsbaarheid kunnen onvriendelijke acties van derden onder bepaalde omstandigheden tot datalekken leiden, maar er zijn geen incidenten geregistreerd. Op dit moment zijn alle fouten geëlimineerd”, zei K. Malyshev.
Een vertegenwoordiger van het bedrijf benadrukte dat besloten was om alle verkochte tickets tijdens de oplossing van het probleem opnieuw uit te geven om de mogelijkheid van fraude tegen serviceklanten volledig uit te sluiten.
Een paar dagen later controleerde ik de beschikbaarheid van gegevens met behulp van de gelekte links - de toegang tot de "blootgestelde" tickets was inderdaad gedekt. Naar mijn mening is dit een competente, professionele aanpak om het probleem van datalekken op te lossen.
Geval twee. "Vlieg.ru"
Vroeg in de ochtend 15.05.2019/XNUMX/XNUMX DeviceLock-gegevensinbreukinformatie heeft een openbare Elasticsearch-server geïdentificeerd met logbestanden van een bepaalde IS.
Later werd vastgesteld dat de server toebehoort aan de tourselectieservice “Sletat.ru”.
Van index cbto__0 het was mogelijk om duizenden (11,7 duizend inclusief duplicaten) e-mailadressen te verkrijgen, evenals enkele betalingsinformatie (tourkosten) en tourgegevens (wanneer, waar, vliegticketgegevens Alle reizigers inbegrepen in de tour, enz.) voor een bedrag van ongeveer 1,8 duizend records:
"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"Overigens werken de links naar betaalde tours behoorlijk:
In indexen met naam grijslog_ in duidelijke tekst stonden de logins en wachtwoorden van reisbureaus die verbonden waren met het Sletat.ru-systeem en reizen verkochten aan hun klanten:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."Volgens mijn schattingen werden er honderden login/wachtwoord-paren weergegeven.
Vanuit het persoonlijke account van het reisbureau op het portaal agent.sletat.ru het was mogelijk om klantgegevens te verkrijgen, waaronder paspoortnummers, internationale paspoorten, geboortedata, volledige namen, telefoonnummers en e-mailadressen.
Ik heb de Sletat.ru-service op 15.05.2019-10-46 om 16:00 (Moskou-tijd) op de hoogte gebracht en een paar uur later (tot XNUMX:XNUMX uur) verdween deze uit hun gratis toegang. Later deed de leiding van de dienst naar aanleiding van de publicatie in Kommersant via de media een heel vreemde uitspraak:
Het hoofd van het bedrijf, Andrei Vershinin, legde uit dat Sletat.ru een aantal grote partnertouroperators toegang biedt tot de geschiedenis van zoekopdrachten in de zoekmachine. En hij ging ervan uit dat DeviceLock het had ontvangen: “De opgegeven database bevat echter geen paspoortgegevens van toeristen, logins en wachtwoorden van reisbureaus, betalingsinformatie, enz.” Andrei Vershinin merkte op dat Sletat.ru nog geen enkel bewijs van dergelijke ernstige beschuldigingen heeft ontvangen. “We proberen nu contact op te nemen met DeviceLock. Wij geloven dat dit een bevel is. Sommige mensen houden niet van onze snelle groei”, voegde hij eraan toe. "
Zoals hierboven weergegeven, zijn logins, wachtwoorden en paspoortgegevens van toeristen al geruime tijd in het publieke domein aanwezig (tenminste sinds 29.03.2019 maart XNUMX, toen de server van het bedrijf voor het eerst in het publieke domein werd opgenomen door de Shodan-zoekmachine) . Natuurlijk heeft niemand contact met ons opgenomen. Ik hoop dat ze in ieder geval reisbureaus op de hoogte hebben gesteld van het lek en hen hebben gedwongen hun wachtwoorden te wijzigen.
Nieuws over informatielekken en insiders vind je altijd op mijn Telegram-kanaal".
Bron: www.habr.com