I dag skal vi se på to tilfeller samtidig - dataene til klienter og partnere til to helt forskjellige selskaper var fritt tilgjengelig "takket være" åpne Elasticsearch-servere med logger over informasjonssystemer (IS) for disse selskapene.
I det første tilfellet er dette titusenvis (og kanskje hundretusener) av billetter til ulike kulturelle arrangementer (teatre, klubber, elveturer osv.) solgt gjennom Radario-systemet (www.radario.ru).
I det andre tilfellet er dette data om turistreiser for tusenvis (muligens flere titusenvis) av reisende som kjøpte turer gjennom reisebyråer koblet til Sletat.ru-systemet (www.sletat.ru).
Jeg vil merke med en gang at ikke bare navnene på selskapene som gjorde at dataene ble offentlig tilgjengelige er forskjellige, men også tilnærmingen til disse selskapene for å gjenkjenne hendelsen og den påfølgende reaksjonen på den. Men først ting først...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Sak én. "Radario"
Om kvelden 06.05.2019/XNUMX/XNUMX vårt system , eid av den elektroniske billettsalgstjenesten Radario.
I følge den allerede etablerte triste tradisjonen inneholdt serveren detaljerte logger over tjenestens informasjonssystem, hvorfra det var mulig å hente personopplysninger, brukerinnlogginger og passord, samt selve elektroniske billettene til ulike arrangementer over hele landet.
Det totale volumet av logger oversteg 1 TB.
I følge Shodan-søkemotoren har serveren vært offentlig tilgjengelig siden 11.03.2019. mars 06.05.2019. Jeg varslet Radario-ansatte 22/50/07.05.2019 kl. 09:30 (MSK) og XNUMX/XNUMX/XNUMX ca. kl. XNUMX:XNUMX ble serveren utilgjengelig.
Loggene inneholdt et universelt (enkelt) autorisasjonstoken, som ga tilgang til alle kjøpte billetter via spesielle lenker, som:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkProblemet var også at for å redegjøre for billetter ble det brukt kontinuerlig nummerering av bestillinger og enkel oppregning av billettnummer (XXXXXXXX) eller bestill (ÅÅÅÅÅÅÅ), var det mulig å få alle billettene fra systemet.
For å sjekke relevansen til databasen, kjøpte jeg ærlig talt meg selv den billigste billetten:
og fant den senere på en offentlig server i IS-loggene:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkSeparat vil jeg understreke at billetter var tilgjengelig både til arrangementer som allerede har funnet sted og til de som fortsatt er under planlegging. Det vil si at en potensiell angriper kan bruke en annens billett for å gå inn i det planlagte arrangementet.
I gjennomsnitt inneholdt hver Elasticsearch-indeks som inneholdt logger for én bestemt dag (fra 24.01.2019 til 07.05.2019) fra 25 til 35 tusen billetter.
I tillegg til selve billettene, inneholdt indeksen pålogginger (e-postadresser) og tekstpassord for tilgang til de personlige kontoene til Radario-partnere som selger billetter til arrangementene sine gjennom denne tjenesten:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"Totalt ble det oppdaget mer enn 500 påloggings-/passordpar. Billettsalgsstatistikk er synlig i partnernes personlige kontoer:
Også offentlig tilgjengelig var navn, telefonnumre og e-postadresser til kjøpere som bestemte seg for å returnere tidligere kjøpte billetter:
"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"På en tilfeldig valgt dag ble mer enn 500 slike poster oppdaget.
Jeg mottok et svar på varselet fra teknisk direktør for Radario:
Jeg er teknisk direktør for Radario og vil gjerne takke deg for at du identifiserte problemet. Som du vet har vi stengt tilgang til strikk og løser problemet med å utstede billetter på nytt for kunder.
Litt senere ga selskapet en offisiell uttalelse:
En sårbarhet ble oppdaget i det elektroniske billettsalgssystemet Radario og umiddelbart rettet, noe som kan føre til en lekkasje av data fra tjenestens kunder, fortalte selskapets markedsdirektør, Kirill Malyshev, til Moscow City News Agency.
"Vi oppdaget faktisk en sårbarhet i systemoperasjonen knyttet til vanlige oppdateringer, som ble fikset umiddelbart etter oppdagelsen. Som et resultat av sårbarheten, under visse forhold, kan uvennlige handlinger fra tredjeparter føre til datalekkasje, men ingen hendelser ble registrert. For øyeblikket er alle feilene eliminert,” sa K. Malyshev.
En representant fra selskapet understreket at det ble besluttet å utstede alle billetter som ble solgt på nytt under løsningen av problemet for å fullstendig eliminere muligheten for svindel mot tjenestekunder.
Noen dager senere sjekket jeg tilgjengeligheten av data ved å bruke de lekkede lenkene - tilgang til de "eksponerte" billettene var faktisk dekket. Etter min mening er dette en kompetent, profesjonell tilnærming til å løse problemet med datalekkasje.
Sak to. "Fly.ru"
Tidlig om morgenen 15.05.2019 DeviceLock-informasjon om databrudd identifiserte en offentlig Elasticsearch-server med logger for en viss IS.
Senere ble det fastslått at serveren tilhører turvalgstjenesten "Sletat.ru".
Fra indeks cbto__0 det var mulig å få tak i tusenvis (11,7 tusen inkludert duplikater) av e-postadresser, samt noe betalingsinformasjon (turkostnader) og turdata (når, hvor, flybillettdetaljer Alle reisende inkludert i turen, etc.) i mengden av rundt 1,8 tusen poster:
"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"Forresten, lenkene til betalte turer fungerer ganske bra:
I indekser med navn graylog_ i klartekst var påloggingene og passordene til reisebyråer koblet til Sletat.ru-systemet og som selger turer til sine kunder:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."Ifølge mine anslag ble flere hundre påloggings-/passordpar vist.
Fra reisebyråets personlige konto på portalen agent.sletat.ru det var mulig å få kundedata, inkludert passnummer, internasjonale pass, fødselsdato, fullt navn, telefonnumre og e-postadresser.
Jeg varslet Sletat.ru-tjenesten 15.05.2019/10/46 kl 16:00 (MSK) og noen timer senere (til XNUMX:XNUMX) forsvant den fra deres gratis tilgang. Senere, som svar på publiseringen i Kommersant, ga tjenestens ledelse en veldig merkelig uttalelse gjennom media:
Lederen for selskapet, Andrei Vershinin, forklarte at Sletat.ru gir en rekke store partnerturoperatører tilgang til historikken til søk i søkemotoren. Og han antok at DeviceLock mottok det: "Men den spesifiserte databasen inneholder ikke turistpassdata, reisebyråpålogginger og passord, betalingsinformasjon, etc." Andrei Vershinin bemerket at Sletat.ru ennå ikke har mottatt bevis for slike alvorlige anklager. "Vi prøver nå å kontakte DeviceLock. Vi mener at dette er en ordre. Noen mennesker liker ikke vår raske vekst," la han til. "
Som vist ovenfor var pålogginger, passord og passdata for turister i det offentlige domene i ganske lang tid (i hvert fall siden 29.03.2019. mars XNUMX, da selskapets server først ble registrert i det offentlige domene av Shodan-søkemotoren). Selvfølgelig var det ingen som tok kontakt med oss. Jeg håper at de i det minste varslet reisebyråene om lekkasjen og tvang dem til å endre passordene sine.
Nyheter om informasjonslekkasjer og innsidere kan alltid finnes på min Telegram-kanal "'.
Kilde: www.habr.com