دوه په یو کې: د ګرځندوی معلومات او د کلتوري پیښو لپاره ټکټونه په عامه توګه شتون درلود

نن ورځ موږ به په یوځل کې دوه قضیې وګورو - د دوه بشپړ مختلف شرکتونو پیرودونکو او شریکانو ډاټا په آزاده توګه شتون درلود "مننه" د دې شرکتونو د معلوماتو سیسټمونو (IS) لاګونو سره د Elasticsearch سرورونو خلاصولو څخه مننه.

په لومړي حالت کې، دا د مختلفو کلتوري پیښو (تیاترونو، کلبونو، د سیند سفرونه، او نور) لپاره لسګونه زره (او شاید په سلګونو زره) ټکټونه د رادیو سیسټم له لارې پلورل کیږي (www.radario.ru).

په دویمه قضیه کې، دا د زرګونو (احتمالي لسګونه زره) مسافرینو د سیاحتي سفرونو معلومات دي چې د Sletat.ru سیسټم سره تړلي د سفري ادارو له لارې یې سفرونه اخیستي دي (www.sletat.ru).

زه غواړم سمدلاسه یادونه وکړم چې نه یوازې د شرکتونو نومونه چې اجازه یې ورکړې چې ډیټا په عامه توګه شتون ولري توپیر لري ، بلکه د دې شرکتونو چلند د پیښې پیژندلو او هغې ته وروسته عکس العمل هم توپیر لري. مګر لومړی شیان لومړی ...

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

یوه قضیه. "راداریو"

د 06.05.2019/XNUMX/XNUMX ماښام زموږ سیسټم وموندل شو د Elasticsearch سرور په وړیا توګه شتون لريد بریښنایی ټکټونو پلور خدمت راداریو ملکیت دی.

د دمخه رامینځته شوي غمجن دود سره سم ، سرور کې د خدماتو معلوماتو سیسټم تفصيلي لاګونه شتون درلود ، له کوم څخه چې دا ممکنه وه چې شخصي معلومات ، د کارونکي ننوتل او پاسورډونه ترلاسه کړئ ، په بیله بیا په ټول هیواد کې د بیلابیلو پیښو لپاره پخپله بریښنایی ټیکټونه.

د لاګ ټول حجم د 1 TB څخه ډیر شوی.

د شوډان د لټون انجن په وینا، سرور د مارچ له 11.03.2019، 06.05.2019 راهیسې په عامه توګه د لاسرسي وړ دی. ما د رادیو کارمندانو ته په 22/50/07.05.2019 په 09:30 (MSK) خبر ورکړ او د XNUMX/XNUMX/XNUMX په شاوخوا XNUMX:XNUMX بجو سرور شتون نلري.

په لاګونو کې یو نړیوال (واحد) د اختیار نښه شتون لري، د ځانګړو لینکونو له لارې ټولو پیرود شوي ټکټونو ته لاسرسی چمتو کوي، لکه:

http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk

http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk

ستونزه هم دا وه چې د ټکټونو حساب لپاره، د فرمایشونو دوامداره شمیره کارول کیده او د ټکټ شمیره ساده شمیرل (XXXXXXXXX) یا امر (YYYYYYY)، دا ممکنه وه چې د سیسټم څخه ټول ټکټونه ترلاسه کړئ.

د ډیټابیس د تړاو چک کولو لپاره، ما حتی په صادقانه توګه خپل ځان ارزانه ټیکټ اخیستی:

او وروسته یې د IS په لاګونو کې په عامه سرور کې وموندل:

http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk

په جلا توګه، زه غواړم ټینګار وکړم چې ټکټونه دواړه د پیښو لپاره شتون درلود چې دمخه ترسره شوي او د هغو لپاره چې لاهم پالن شوي دي. دا دی، یو احتمالي برید کوونکی کولی شي د بل چا ټکټ وکاروي ترڅو پالن شوي پیښې ته ننوځي.

په اوسط ډول، د Elasticsearch هر شاخص چې د یوې ځانګړې ورځې لپاره لاګونه لري (د 24.01.2019/07.05.2019/25 څخه تر 35/XNUMX/XNUMX پورې) له XNUMX څخه تر XNUMX زرو پورې ټکټونه لري.

پخپله د ټکټونو سربیره، په شاخص کې د راداریو شریکانو شخصي حسابونو ته د لاسرسي لپاره ننوتل (د بریښنالیک پتې) او د متن پاسورډونه شامل وو چې د دې خدمت له لارې خپلو پیښو ته ټکټونه پلوري:

Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"

په مجموع کې، له 500 څخه ډیر د ننوتلو / پاسورډ جوړې موندل شوي. د ټکټ پلور احصایې د شریکانو په شخصي حسابونو کې لیدل کیږي:

همدارنګه په عامه توګه د پیرودونکو نومونه، د تلیفون شمیرې او بریښنالیک پتې شتون درلود چې پریکړه یې وکړه چې مخکې اخیستل شوي ټکټونه بیرته راستانه کړي:

"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"

په یوه تصادفي ټاکل شوې ورځ کې، له 500 څخه ډیر داسې ریکارډونه کشف شول.

ما د راداریو تخنیکي رییس څخه خبرتیا ته ځواب ترلاسه کړ:

زه د راداریو تخنیکي رییس یم او غواړم ستاسو د ستونزې د پیژندلو لپاره مننه وکړم. لکه څنګه چې تاسو پوهیږئ، موږ لچکدار ته لاسرسی بند کړی او د پیرودونکو لپاره د ټکټونو د بیا صادرولو مسله حل کوو.

لږ وروسته شرکت یو رسمي بیان ورکړ:

د راداریو بریښنایی ټیکټ پلور سیسټم کې یو زیان وموندل شو او سمدلاسه سم شو ، کوم چې کولی شي د خدماتو پیرودونکو څخه د معلوماتو لیک کیدو لامل شي ، د شرکت بازارموندنې رییس کیریل مالیشیف د مسکو ښار خبري اژانس ته وویل.

"موږ واقعیا د منظم تازه معلوماتو سره تړلي د سیسټم عملیاتو کې زیان منونکی وموند ، کوم چې د کشف وروسته سمدلاسه ټاکل شوی و. د زیان مننې په پایله کې، په ځینو شرایطو کې، د دریمې ډلې غیر دوستانه کړنې کولی شي د معلوماتو لیکیدو لامل شي، مګر هیڅ پیښې ثبت شوي ندي. په اوس وخت کې، ټولې نیمګړتیاوې له منځه وړل شوي، "K. Malyshev وویل.

د شرکت استازي ټینګار وکړ چې پریکړه وشوه چې د ستونزې د حل په جریان کې پلورل شوي ټول ټیکټونه بیرته صادر کړي ترڅو د خدماتو پیرودونکو پروړاندې د هر ډول درغلۍ احتمال له مینځه ویسي.

څو ورځې وروسته، ما د لیک شوي لینکونو په کارولو سره د معلوماتو شتون وڅیړم - د "افشا شوي" ټکټونو ته لاسرسی په حقیقت کې پوښل شوی و. زما په اند، دا د معلوماتو لیکولو ستونزې حل کولو لپاره یو وړ، مسلکي چلند دی.

قضیه دویمه. "Fly.ru"

سهار وختي 15.05.2019/XNUMX/XNUMX DeviceLock ډیټا د استخباراتو سرغړونه د یو ځانګړي IS لاګونو سره د عامه Elasticsearch سرور پیژندل شوی.

وروسته دا تاسیس شو چې سرور د سفر انتخاب خدمت "Sletat.ru" پورې اړه لري.

د شاخص څخه cbto__0 دا ممکنه وه چې په زرګونو (11,7 زره د نقلونو په شمول) بریښنالیک پتې ترلاسه کړئ، په بیله بیا د تادیې ځینې معلومات (د سفر لګښتونه) او د سفر ډیټا (کله، چیرته، د هوایی ټکټ توضیحات) всех مسافرین په سفر کې شامل دي، او نور) د شاوخوا 1,8 زره ریکارډونو مقدار کې:

"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"

په هرصورت، د تادیه شویو سفرونو لینکونه خورا کار کوي:

د نوم سره په شاخصونو کې graylog_ په واضح متن کې د سفري ادارو ننوتل او پاسورډونه د Sletat.ru سیسټم سره وصل وو او خپلو پیرودونکو ته د سفرونو پلورل:

"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1&currencyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."

زما د اټکلونو له مخې، څو سوه ننوتنه یا پټنوم جوړه ښودل شوې.

په پورټل کې د سفر ادارې شخصي حساب څخه agent.sletat.ru دا ممکنه وه چې د پیرودونکي معلومات ترلاسه کړئ، په شمول د پاسپورټ شمیرې، نړیوال پاسپورټونه، د زیږون نیټه، بشپړ نومونه، د تلیفون شمیرې او بریښنالیک پتې.

ما د Sletat.ru خدمت ته په 15.05.2019/10/46 په 16:00 (MSK) خبر ورکړ او څو ساعته وروسته (تر XNUMX:XNUMX پورې) دا د دوی وړیا لاسرسي څخه ورک شو. وروسته، په Kommersant کې د خپرونې په ځواب کې، د خدماتو مدیریت د رسنیو له لارې خورا عجیب بیان وکړ:

د شرکت مشر، اندری ورشینین څرګنده کړه چې Sletat.ru یو شمیر لوی ملګري ټور آپریټرانو ته د لټون انجن کې د پوښتنو تاریخ ته لاسرسی چمتو کوي. او هغه ګومان وکړ چې DeviceLock دا ترلاسه کړی: "په هرصورت، ټاکل شوی ډیټابیس د سیلانیانو د پاسپورټ ډیټا، د سفر ادارې ننوتل او پاسورډونه، د تادیې معلومات، او نور نلري." اندری ورشینین یادونه وکړه چې Sletat.ru تر اوسه د داسې جدي تورونو کوم شواهد نه دي ترلاسه کړي. "موږ اوس هڅه کوو چې له DeviceLock سره اړیکه ونیسو. موږ باور لرو چې دا یو حکم دی. ځینې ​​خلک زموږ چټکه وده نه خوښوي، "هغه زیاته کړه. "

لکه څنګه چې پورته ښودل شوي، د سیلانیانو ننوتل، پاسورډونه، او د پاسپورټ ډاټا د اوږدې مودې لپاره په عامه ډومین کې و (لږترلږه د مارچ 29.03.2019، XNUMX راهیسې، کله چې د شرکت سرور لومړی د شوډان لټون انجن لخوا په عامه ډومین کې ثبت شوی و). البته، هیڅوک موږ سره اړیکه نه ده نیولې. زه امید لرم چې لږترلږه دوی د سفر ادارې ته د لیک په اړه خبر ورکړي او دوی دې ته اړ کړي چې خپل پاسورډونه بدل کړي.

د معلوماتو لیک او داخلي خبرونه تل زما په ټیلیګرام چینل کې موندل کیدی شي "د معلوماتو لیک".

سرچینه: www.habr.com