Onthoud ik en thuis hoe details van betalingen ten gunste van de verkeerspolitie en de FSSP van sitegebruikers openbaar werden betalingsgibdd.rf, paygibdd.ru, gos-oplata.ru, boetes.net и oplata-fssp.ru?
Lach gewoon niet, dit is helemaal geen grap - dezelfde server met gegevens uit hetzelfde systeem bleek opnieuw open te staan voor de hele wereld.
Nou, laten we het gaan uitzoeken...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Laat me je eerst even herinneren aan de chronologie van de gebeurtenissen:
- Op 12.04.2019 april XNUMX ('s nachts) werd een Elasticsearch-server ontdekt waarvoor geen authenticatie nodig was om verbinding te maken.
- Op 13.04.2019 april XNUMX (in de ochtend) is er een melding gestuurd naar de servereigenaren.
- Op 13.04.2019 april XNUMX (in de middag) werd de server “stilletjes” verwijderd van publieke toegang.
Toen de server voor het eerst werd afgesloten, zagen de Elasticsearch-indexen er als volgt uit:
En nu op 21.05.2019/16/00 om ongeveer XNUMX:XNUMX uur (Moskou-tijd) verschijnt dezelfde Elasticsearch-server, met dezelfde (plus nieuwe) indexen opnieuw in het publieke domein:
Ik kon mijn ogen niet geloven toen ik het zag (direct na het optreden op PH Dagen over het onderwerp van het detecteren van open databases) in de e-mailmelding van onze . Eerlijk gezegd was mijn eerste gedachte dat dit een systeemfout was.
Nee, het was echter geen storing en nadat ik alles handmatig had gecontroleerd, stuurde ik op 01 mei 25 om 22.05.2019:XNUMX uur opnieuw een waarschuwing naar dezelfde adressen als de eerste keer.
Sinds de eerste sluiting is deze server 11 keer door Shodan gescand en tot 21 mei was Elasticsearch erop gesloten.
Pas op de ochtend van 24.05.2019 mei XNUMX verdween deze Elasticsearch voor de tweede keer uit de publieke toegang. Gedurende deze tijd zijn de indices aanzienlijk gegroeid:
En als je kijkt naar de gegevens (alleen significante informatie met persoonsgegevens van burgers) in de indexen voor de periode van 1 mei tot en met 22 mei, dan is het beeld als volgt:
- 127,525 vermeldingen in de index betaalgibdd
- 49,627 vermeldingen in de index shtrafov-net
- 162,282 vermeldingen in de index oplata-fssp
- 220,201 vermeldingen in de index gosoplata
Voorbeeldgegevens uit index gosoplata:
Voorbeeldgegevens uit index betaalgibdd:
Nou, de kers op de taart was een brief van een van de adressen waarnaar ik meldingen stuurde:
We hebben uw brief ontvangen over de open ElasticSearch - bedankt voor de informatie, de database is gesloten. De systeembeheerder die de toegang opnieuw heeft geopend, is ontslagen. De juridische dienst bereidt zich ook voor om een verklaring naar het ministerie van Binnenlandse Zaken van de Republiek Tatarstan te sturen over tekenen van de aanwezigheid in de acties van de systeembeheerder van elementen op grond van de artikelen 272 en 273 van het Wetboek van Strafrecht van de Russische Federatie.
Nieuws over informatielekken en insiders vind je altijd op mijn Telegram-kanaal"' .
Bron: www.habr.com