Hoje veremos dois casos ao mesmo tempo - os dados de clientes e parceiros de duas empresas completamente diferentes estavam disponíveis gratuitamente “graças” aos servidores abertos do Elasticsearch com logs dos sistemas de informação (SI) dessas empresas.
No primeiro caso, trata-se de dezenas de milhares (e talvez centenas de milhares) de bilhetes para diversos eventos culturais (teatros, discotecas, passeios fluviais, etc.) vendidos através do sistema Radario (www.radario.ru).
No segundo caso, trata-se de dados sobre viagens turísticas de milhares (possivelmente várias dezenas de milhares) de viajantes que compraram passeios através de agências de viagens conectadas ao sistema Sletat.ru (www.sletat.ru).
Gostaria de observar desde já que diferem não apenas os nomes das empresas que permitiram que os dados fossem disponibilizados publicamente, mas também a abordagem dessas empresas para reconhecer o incidente e a subsequente reação a ele. Mas primeiro o mais importante…
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Caso um. "Radario"
Na noite de 06.05.2019/XNUMX/XNUMX nosso sistema , de propriedade do serviço de venda eletrônica de ingressos Radario.
Seguindo a triste tradição já estabelecida, o servidor continha registos detalhados do sistema de informação do serviço, a partir dos quais era possível obter dados pessoais, logins e palavras-passe de utilizadores, bem como os próprios bilhetes electrónicos para diversos eventos em todo o país.
O volume total de logs excedeu 1 TB.
De acordo com o mecanismo de busca Shodan, o servidor está disponível publicamente desde 11.03.2019 de março de 06.05.2019. Notifiquei os funcionários do Radario no dia 22/50/07.05.2019 às 09h30 (MSK) e no dia XNUMX/XNUMX/XNUMX por volta das XNUMXhXNUMX o servidor ficou indisponível.
Os logs continham um token de autorização universal (único), fornecendo acesso a todos os ingressos adquiridos por meio de links especiais, como:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkO problema também era que para contabilizar os tickets era utilizada a numeração contínua dos pedidos e a simples enumeração do número do ticket (XXXXXXXX) ou ordem (AAAAAAA), foi possível obter todos os tickets do sistema.
Para verificar a relevância do banco de dados, até comprei honestamente o ingresso mais barato:
e mais tarde o encontrei em um servidor público nos logs do IS:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkSeparadamente, gostaria de enfatizar que os ingressos estavam disponíveis tanto para eventos já realizados quanto para aqueles que ainda estão sendo planejados. Ou seja, um potencial invasor poderia usar o ingresso de outra pessoa para entrar no evento planejado.
Em média, cada índice Elasticsearch contendo logs de um dia específico (de 24.01.2019/07.05.2019/25 a 35/XNUMX/XNUMX) continha de XNUMX a XNUMX mil tickets.
Além dos ingressos propriamente ditos, o índice continha logins (endereços de e-mail) e senhas de texto para acesso às contas pessoais dos parceiros Radario que vendem ingressos para seus eventos por meio deste serviço:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"No total, foram detectados mais de 500 pares login/senha. As estatísticas de vendas de ingressos são visíveis nas contas pessoais dos parceiros:
Também estavam disponíveis publicamente os nomes, números de telefone e endereços de e-mail dos compradores que decidiram devolver os ingressos adquiridos anteriormente:
"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"Em um dia selecionado aleatoriamente, mais de 500 desses registros foram descobertos.
Recebi resposta ao alerta do diretor técnico do Radario:
Sou o diretor técnico do Radario e gostaria de agradecer por identificar o problema. Como vocês sabem, fechamos o acesso ao elástico e estamos resolvendo o problema de reemissão de ingressos para clientes.
Pouco depois a empresa fez um comunicado oficial:
Uma vulnerabilidade foi descoberta no sistema eletrônico de venda de ingressos Radario e prontamente corrigida, o que poderia levar ao vazamento de dados dos clientes do serviço, disse o diretor de marketing da empresa, Kirill Malyshev, à Agência de Notícias da Cidade de Moscou.
“Na verdade, descobrimos uma vulnerabilidade na operação do sistema associada a atualizações regulares, que foi corrigida imediatamente após a descoberta. Como resultado da vulnerabilidade, sob certas condições, ações hostis de terceiros poderiam levar ao vazamento de dados, mas nenhum incidente foi registrado. No momento, todas as falhas foram eliminadas”, disse K. Malyshev.
Um representante da empresa destacou que foi decidido reemitir todos os ingressos vendidos durante a solução do problema para eliminar completamente a possibilidade de qualquer fraude contra os clientes do serviço.
Alguns dias depois, verifiquei a disponibilidade dos dados usando os links vazados - o acesso aos tickets “expostos” estava realmente coberto. Na minha opinião, esta é uma abordagem competente e profissional para resolver o problema do vazamento de dados.
Caso dois. "Fly.ru"
Na madrugada de 15.05.2019/XNUMX/XNUMX Inteligência de violação de dados DeviceLock identificou um servidor Elasticsearch público com logs de um determinado IS.
Posteriormente foi estabelecido que o servidor pertence ao serviço de seleção de tours “Sletat.ru”.
Do índice cbto__0 foi possível obter milhares (11,7 mil incluindo duplicados) de endereços de email, bem como algumas informações de pagamento (custos do passeio) e dados do passeio (quando, onde, detalhes do bilhete aéreo todos viajantes incluídos no passeio, etc.) no valor de cerca de 1,8 mil registros:
"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"A propósito, os links para passeios pagos funcionam bastante:
Em índices com nome graylog_ em texto não criptografado estavam os logins e senhas das agências de viagens conectadas ao sistema Sletat.ru e que vendem passeios aos seus clientes:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."De acordo com minhas estimativas, várias centenas de pares de login/senha foram exibidos.
Da conta pessoal da agência de viagens no portal agente.sletat.ru foi possível obter dados dos clientes, incluindo números de passaportes, passaportes internacionais, datas de nascimento, nomes completos, números de telefone e endereços de e-mail.
Notifiquei o serviço Sletat.ru em 15.05.2019/10/46 às 16h00 (MSK) e algumas horas depois (até às XNUMXh) ele desapareceu de seu acesso gratuito. Posteriormente, em resposta à publicação no Kommersant, a direção do serviço fez uma declaração muito estranha através da mídia:
O chefe da empresa, Andrei Vershinin, explicou que o Sletat.ru fornece a vários grandes operadores turísticos parceiros acesso ao histórico de consultas no mecanismo de busca. E ele presumiu que o DeviceLock o recebeu: “No entanto, o banco de dados especificado não contém dados de passaporte de turistas, logins e senhas de agências de viagens, informações de pagamento, etc.” Andrei Vershinin observou que Sletat.ru ainda não recebeu nenhuma evidência de acusações tão graves. “Agora estamos tentando entrar em contato com o DeviceLock. Acreditamos que esta é uma ordem. Algumas pessoas não gostam do nosso rápido crescimento”, acrescentou. "
Conforme mostrado acima, logins, senhas e dados de passaporte de turistas eram de domínio público há bastante tempo (pelo menos desde 29.03.2019 de março de XNUMX, quando o servidor da empresa foi registrado pela primeira vez em domínio público pelo mecanismo de busca Shodan). Claro, ninguém nos contatou. Espero que pelo menos eles notifiquem as agências de viagens sobre o vazamento e as obriguem a alterar suas senhas.
Notícias sobre vazamentos de informações e informações privilegiadas sempre podem ser encontradas no meu canal Telegram "".
Fonte: habr.com