اڄ اسان هڪ ئي وقت ٻن ڪيسن تي نظر وجهنداسين - ٻن مڪمل طور تي مختلف ڪمپنين جي ڪلائنٽ ۽ ڀائيوارن جي ڊيٽا آزاد طور تي دستياب هئي ”مهرباني“ کليل ايلسٽڪ سرچ سرورز سان گڏ انهن ڪمپنين جي انفارميشن سسٽم (IS) جي لاگ سان.
پهرين صورت ۾، اهي هزارين (۽ شايد سوين هزارين) ٽڪيٽون آهن مختلف ثقافتي واقعن لاءِ (ٿيئٽر، ڪلبون، درياءَ جا سفر، وغيره) راڊاريو سسٽم ذريعي وڪرو ڪيا ويا (www.radario.ru).
ٻي صورت ۾، هي ڊيٽا آهي سياحن جي هزارين (ممڪن طور تي هزارين) سياحن جي سفرن جي سفرن تي جيڪي سياحن جي ذريعي خريد ڪيا ويا سياحن جي ايجنسين ذريعي جيڪي Sletat.ru سسٽم سان ڳنڍيل آهن (www.sletat.ru).
مان فوري طور تي نوٽ ڪرڻ چاهيان ٿو ته نه رڳو انهن ڪمپنين جا نالا جن کي ڊيٽا کي عام طور تي دستياب ٿيڻ جي اجازت ڏني وئي آهي، پر انهن ڪمپنين جي طريقي سان ان واقعي کي تسليم ڪرڻ ۽ ان جي بعد جي رد عمل پڻ. پر پهرين شيون پهرين ...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
ڪيس هڪ. "ريڊاريو"
شام جو 06.05.2019/XNUMX/XNUMX اسان جو سسٽم اليڪٽرانڪ ٽڪيٽ سيلز سروس Radario جي ملڪيت آهي.
اڳ ۾ ئي قائم ڪيل اداس روايت موجب، سرور ۾ سروس جي معلوماتي سسٽم جا تفصيلي لاگ شامل هئا، جن مان ذاتي ڊيٽا، صارف لاگ ان ۽ پاسورڊ حاصل ڪرڻ ممڪن هو، انهي سان گڏ سڄي ملڪ ۾ مختلف واقعن لاء پاڻ کي اليڪٽرانڪ ٽڪيٽون.
لاگن جو ڪل مقدار 1 TB کان وڌي ويو.
شودان سرچ انجڻ جي مطابق، سرور 11.03.2019 مارچ 06.05.2019 کان عوامي طور تي دستياب آهي. مون Radario ملازمن کي 22/50/07.05.2019 تي 09:30 (MSK) تي اطلاع ڏنو ۽ XNUMX/XNUMX/XNUMX تي تقريباً XNUMX:XNUMX تي سرور غير دستياب ٿي ويو.
لاگن ۾ هڪ آفاقي (اڪيلو) اجازت ڏيڻ وارو ٽوڪن شامل آهي، خاص لنڪ ذريعي سڀني خريد ڪيل ٽڪيٽن تائين رسائي فراهم ڪري ٿي، جهڙوڪ:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkمسئلو اهو به هو ته ٽڪيٽن جي حساب ڪتاب لاءِ، آرڊرن جو مسلسل نمبر استعمال ڪيو ويو ۽ ٽڪيٽ نمبر جي سادي ڳڻپ (ايڪس اينڪسڪسڪسڪسڪسڪسيا آرڊر (YYYYYYY)، اهو ممڪن هو ته سسٽم مان سڀئي ٽڪيٽون حاصل ڪرڻ.
ڊيٽابيس جي مطابقت کي جانچڻ لاءِ، مون به ايمانداري سان پاڻ کي سستي ترين ٽڪيٽ خريد ڪئي:
۽ بعد ۾ ان کي IS لاگز ۾ عوامي سرور تي مليو:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkالڳ الڳ، مان ان ڳالهه تي زور ڏيڻ چاهيان ٿو ته ٽڪيٽون ٻنهي واقعن لاءِ موجود هيون جيڪي اڳ ۾ ئي ٿي چڪيون آهن ۽ انهن لاءِ جيڪي اڃا رٿيل آهن. اهو آهي، هڪ امڪاني حملو ڪندڙ رٿيل واقعي ۾ داخل ٿيڻ لاءِ ڪنهن ٻئي جي ٽڪيٽ استعمال ڪري سگهي ٿو.
سراسري طور تي، هر Elasticsearch انڊيڪس جنهن ۾ هڪ مخصوص ڏينهن لاءِ لاگ شامل آهن (شروعاتي 24.01.2019/07.05.2019/25 کان 35/XNUMX/XNUMX تائين) XNUMX کان XNUMX هزار ٽڪيٽون شامل آهن.
پاڻ ٽڪيٽن کان علاوه، انڊيڪس ۾ لاگ ان (اي ميل ايڊريس) ۽ ٽيڪسٽ پاس ورڊس شامل آهن، جيڪي راڊاريو پارٽنرز جي ذاتي اڪائونٽن تائين پهچن ٿا جيڪي هن سروس ذريعي پنهنجي واقعن لاءِ ٽڪيٽون وڪڻن ٿا:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"مجموعي طور تي، 500 کان وڌيڪ لاگ ان/پاسورڊ جوڙو ڳوليا ويا. ٽڪيٽ وڪرو جا انگ اکر پارٽنر جي ذاتي اڪائونٽن ۾ نظر اچن ٿا:
پڻ عوامي طور تي دستياب هئا نالا، فون نمبر ۽ خريد ڪندڙن جا اي ميل ايڊريس جيڪي پهريان خريد ڪيل ٽڪيٽون واپس ڪرڻ جو فيصلو ڪيو:
"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"هڪ بي ترتيب چونڊيل ڏينهن ۾، 500 کان وڌيڪ اهڙا رڪارڊ دريافت ڪيا ويا.
مون کي Radario جي ٽيڪنيڪل ڊائريڪٽر کان الرٽ جو جواب مليو:
مان Radario جو ٽيڪنيڪل ڊائريڪٽر آھيان ۽ توھان جي مھرباني ڪرڻ گھران ٿو توھان جي مسئلي جي نشاندهي ڪرڻ لاءِ. جئين توهان کي خبر آهي، اسان لچڪدار تائين رسائي بند ڪري ڇڏيا آهن ۽ مراجعين لاءِ ٻيهر ٽڪيٽون جاري ڪرڻ جو مسئلو حل ڪري رهيا آهيون.
ٿوري دير کان پوء ڪمپني هڪ سرڪاري بيان ڪيو:
Radario اليڪٽرانڪ ٽڪيٽ سيلز سسٽم ۾ هڪ نقصان دريافت ڪيو ويو ۽ فوري طور تي درست ڪيو ويو، جيڪو سروس جي گراهڪن کان ڊيٽا جي ليڪ ٿي سگهي ٿو، ڪمپني جي مارڪيٽنگ ڊائريڪٽر، ڪريل ماليشيف، ماسڪو سٽي نيوز ايجنسي کي ٻڌايو.
"اسان اصل ۾ باقاعده اپڊيٽ سان لاڳاپيل سسٽم جي آپريشن ۾ هڪ نقصان دريافت ڪيو، جيڪو دريافت کان فوري طور تي مقرر ڪيو ويو. خطري جي نتيجي ۾، ڪجهه شرطن جي تحت، ٽئين پارٽين جي غير دوستانه ڪارناما ڊيٽا ليڪ جي سبب ٿي سگهي ٿي، پر ڪي واقعا رڪارڊ نه ڪيا ويا. هن وقت، سڀ عيب ختم ٿي ويا آهن، "K. Malyshev چيو.
هڪ ڪمپني جي نمائندي زور ڏنو ته اهو مسئلو حل ڪرڻ دوران وڪرو ٿيل سڀني ٽڪيٽن کي ٻيهر جاري ڪرڻ جو فيصلو ڪيو ويو ته جيئن خدمت جي گراهڪن جي خلاف ڪنهن به فراڊ جي امڪان کي مڪمل طور تي ختم ڪري سگهجي.
ڪجهه ڏينهن بعد، مون ليڪ ٿيل لنڪس استعمال ڪندي ڊيٽا جي دستيابي جي جانچ ڪئي - ”بي نقاب“ ٽڪيٽن تائين رسائي واقعي ڍڪيل هئي. منهنجي خيال ۾، هي ڊيٽا ليڪ جي مسئلي کي حل ڪرڻ لاء هڪ قابل، پروفيسر طريقو آهي.
ڪيس ٻه. "Fly.ru"
صبح جو سوير 15.05.2019/XNUMX/XNUMX DeviceLock ڊيٽا جي ڀڃڪڙي انٽيليجنس هڪ مخصوص IS جي لاگن سان هڪ عوامي Elasticsearch سرور جي سڃاڻپ ڪئي وئي آهي.
بعد ۾ اهو قائم ڪيو ويو ته سرور جو تعلق دوري چونڊ سروس "Sletat.ru" سان آهي.
انڊيڪس مان cbto__0 اهو ممڪن هو ته هزارين (11,7 هزار نقل سميت) اي ميل پتي، انهي سان گڏ ڪجهه ادائگي جي معلومات (دوري جي قيمت) ۽ ٽور ڊيٽا (جڏهن، ڪٿي، هوائي ٽڪيٽ جا تفصيل) всех دوري ۾ شامل مسافرن وغيره) اٽڪل 1,8 هزار رڪارڊ جي رقم ۾:
"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"رستي جي ذريعي، ادا ڪيل دورن جا لنڪ ڪافي ڪم ڪري رهيا آهن:
نالي سان انڊيڪس ۾ graylog_ واضح متن ۾ ٽريول ايجنسين جا لاگ ان ۽ پاس ورڊ هئا جيڪي Sletat.ru سسٽم سان ڳنڍيل هئا ۽ انهن جي گراهڪ کي ٽور وڪرو ڪري رهيا هئا:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."منهنجي اندازي مطابق، ڪيترائي سو لاگ ان/پاسورڊ جوڙا ڏيکاريا ويا.
پورٽل تي ٽريول ايجنسي جي ذاتي اڪائونٽ مان agent.sletat.ru ڪسٽمر ڊيٽا حاصل ڪرڻ ممڪن هو، بشمول پاسپورٽ نمبر، بين الاقوامي پاسپورٽ، ڄمڻ جي تاريخ، مڪمل نالا، ٽيليفون نمبر ۽ اي ميل ايڊريس.
مون Sletat.ru سروس کي 15.05.2019/10/46 تي 16:00 (MSK) تي اطلاع ڏنو ۽ ڪجهه ڪلاڪن بعد (XNUMX:XNUMX تائين) اها انهن جي مفت رسائي کان غائب ٿي وئي. بعد ۾، Kommersant ۾ اشاعت جي جواب ۾، سروس جي انتظام ميڊيا ذريعي هڪ تمام عجيب بيان ڪيو:
ڪمپني جي سربراهه، آندري ورشينين، وضاحت ڪئي ته Sletat.ru ڪيترن ئي وڏن پارٽنر ٽور آپريٽرز کي مهيا ڪري ٿو سرچ انجڻ ۾ سوالن جي تاريخ تائين رسائي سان. ۽ هن فرض ڪيو ته DeviceLock ان کي حاصل ڪيو: "جڏهن ته، بيان ڪيل ڊيٽابيس ۾ سياحن جي پاسپورٽ ڊيٽا، ٽريول ايجنسي لاگ ان ۽ پاسورڊ، ادائگي جي معلومات، وغيره شامل ناهي." Andrei Vershinin نوٽ ڪيو ته Sletat.ru اڃا تائين اهڙي سنگين الزامن جو ڪو ثبوت نه مليو آهي. ”اسان هاڻي ڪوشش ڪري رهيا آهيون DeviceLock سان رابطو ڪرڻ جي. اسان کي يقين آهي ته هي هڪ حڪم آهي. ڪجهه ماڻهو اسان جي تيز ترقي پسند نٿا ڪن، "هن وڌيڪ چيو. "
جيئن مٿي ڏيکاريل آهي، سياحن جا لاگ ان، پاسورڊ، ۽ پاسپورٽ ڊيٽا عوامي ڊومين ۾ ڪافي عرصي تائين هئا (گهٽ ۾ گهٽ مارچ 29.03.2019، XNUMX کان، جڏهن ڪمپني جو سرور پهريون ڀيرو شوڊان سرچ انجڻ پاران عوامي ڊومين ۾ رڪارڊ ڪيو ويو هو). يقينن، ڪو به اسان سان رابطو نه ڪيو. مون کي اميد آهي ته گهٽ ۾ گهٽ انهن ٽريول ايجنسين کي ليک جي باري ۾ اطلاع ڏنو ۽ انهن کي مجبور ڪيو ته اهي پنهنجو پاس ورڊ تبديل ڪن.
معلومات جي لڪير ۽ اندروني بابت خبرون هميشه منهنجي ٽيليگرام چينل تي ڳولي سگهجن ٿيون "».
جو ذريعو: www.habr.com