දෙකෙන් එකක්: සංචාරක දත්ත සහ සංස්කෘතික සිදුවීම් සඳහා ප්‍රවේශපත්‍ර ප්‍රසිද්ධියේ ලබා ගත හැකි විය

අද අපි එකවර අවස්ථා දෙකක් දෙස බලමු - සම්පූර්ණයෙන්ම වෙනස් සමාගම් දෙකක සේවාදායකයින්ගේ සහ හවුල්කරුවන්ගේ දත්ත මෙම සමාගම්වල තොරතුරු පද්ධති (IS) සමඟ විවෘත ඉලාස්ටික් සෙවුම් සේවාදායකයන්ට “ස්තුතියි” නොමිලේ ලබා ගත හැකිය.

පළමු අවස්ථාවේ දී, මේවා රේඩාරියෝ පද්ධතිය හරහා අලෙවි කරන විවිධ සංස්කෘතික උත්සව (රංගශාලා, සමාජ ශාලා, ගංගා චාරිකා ආදිය) සඳහා දස දහස් ගණනක් (සහ සමහර විට සිය දහස් ගණනක්) ප්‍රවේශ පත්‍ර වේ (www.radario.ru).

දෙවන අවස්ථාවෙහිදී, මෙය Sletat.ru පද්ධතියට සම්බන්ධ සංචාරක ආයතන හරහා සංචාර මිලදී ගත් සංචාරකයින් දහස් ගණනක (සමහර විට දස දහස් ගණනක්) සංචාරක චාරිකා පිළිබඳ දත්ත වේ (www.sletat.ru).

දත්ත ප්‍රසිද්ධියේ ලබා ගැනීමට ඉඩ දුන් සමාගම්වල නම් පමණක් නොව, සිද්ධිය හඳුනා ගැනීමට මෙම සමාගම්වල ප්‍රවේශය සහ ඊට පසු ප්‍රතිචාරය ද වෙනස් වන බව මම වහාම සටහන් කිරීමට කැමැත්තෙමි. නමුත් පළමු දේ පළමුව…

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

නඩුව එක. "රේඩාරියෝ"

06.05.2019/XNUMX/XNUMX සවස අපගේ පද්ධතිය Elasticsearch සේවාදායකය නොමිලේ ලබා ගත හැකි බව සොයා ගන්නා ලදී, ඉලෙක්ට්‍රොනික ටිකට් අලෙවි සේවාව Radario සතුය.

දැනටමත් ස්ථාපිත දුක්ඛිත සම්ප්‍රදායට අනුව, සේවාදායකයේ සේවාවේ තොරතුරු පද්ධතියේ සවිස්තරාත්මක ලඝු-සටහන් අඩංගු වන අතර, එමඟින් පුද්ගලික දත්ත, පරිශීලක පිවිසුම් සහ මුරපද මෙන්ම රට පුරා විවිධ සිදුවීම් සඳහා විද්‍යුත් ටිකට්පත් ලබා ගත හැකි විය.

ලොග වල මුළු පරිමාව 1 TB ඉක්මවයි.

Shodan සෙවුම් යන්ත්‍රයට අනුව, 11.03.2019 මාර්තු 06.05.2019 සිට සේවාදායකයට ප්‍රසිද්ධියේ ප්‍රවේශ විය හැකිය. මම Radario සේවකයින්ට 22/50/07.05.2019 දින 09:30 (MSK) ට දැනුම් දුන් අතර XNUMX/XNUMX/XNUMX දින XNUMX:XNUMX ට පමණ සේවාදායකය ලබා ගත නොහැකි විය.

ලොග් වල විශ්වීය (තනි) අවසර ටෝකනයක් අඩංගු වූ අතර, විශේෂ සබැඳි හරහා සියලුම මිලදී ගත් ප්‍රවේශපත්‍ර වෙත ප්‍රවේශය සපයයි, වැනි:

http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk

http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk

ගැටලුව වූයේ ප්‍රවේශපත්‍ර සඳහා ගිණුම්ගත කිරීම සඳහා අඛණ්ඩ ඇණවුම් අංක යෙදීම සහ ප්‍රවේශපත්‍ර අංකය සරල ලෙස ගණනය කිරීම (XXXXXXX) හෝ ඇණවුම (YYYYYY), සියලුම ටිකට්පත් පද්ධතියෙන් ලබා ගැනීමට හැකි විය.

දත්ත සමුදායේ අදාළත්වය පරීක්ෂා කිරීම සඳහා, මම අවංකවම ලාභම ටිකට්පත පවා මිලදී ගත්තා:

පසුව එය IS ලොග් වල පොදු සේවාදායකයකින් සොයා ගන්නා ලදී:

http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk

වෙන වෙනම, දැනටමත් සිදුවී ඇති සිදුවීම් සහ තවමත් සැලසුම් කර ඇති සිදුවීම් සඳහා ප්‍රවේශපත්‍ර ලබා ගත හැකි බව මම අවධාරණය කිරීමට කැමැත්තෙමි. එනම්, විභව ප්‍රහාරකයෙකුට සැලසුම් කළ සිදුවීමට ඇතුළු වීමට වෙනත් කෙනෙකුගේ ටිකට් පතක් භාවිතා කළ හැකිය.

සාමාන්‍යයෙන්, එක් නිශ්චිත දිනයක් (24.01.2019/07.05.2019/25 සිට 35/XNUMX/XNUMX දක්වා) සඳහා ලඝු-සටහන් අඩංගු සෑම Elasticsearch දර්ශකයකම ප්‍රවේශපත්‍ර XNUMX සිට XNUMX දහසක් දක්වා අඩංගු විය.

ප්‍රවේශපත්‍රවලට අමතරව, මෙම සේවාව හරහා ඔවුන්ගේ සිදුවීම් සඳහා ප්‍රවේශපත්‍ර අලෙවි කරන Radario හවුල්කරුවන්ගේ පුද්ගලික ගිණුම් වෙත ප්‍රවේශ වීම සඳහා ප්‍රවේශපත්‍ර (ඊමේල් ලිපින) සහ පෙළ මුරපද ඇතුළත් විය:

Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"

සමස්තයක් වශයෙන්, පිවිසුම්/මුරපද යුගල 500කට වඩා වැඩි ප්‍රමාණයක් අනාවරණය විය. ප්‍රවේශපත්‍ර විකුණුම් සංඛ්‍යාලේඛන හවුල්කරුවන්ගේ පුද්ගලික ගිණුම්වල දෘශ්‍යමාන වේ:

කලින් මිලදී ගත් ටිකට්පත් ආපසු ලබා දීමට තීරණය කළ ගැනුම්කරුවන්ගේ නම්, දුරකථන අංක සහ විද්‍යුත් තැපැල් ලිපින ද ප්‍රසිද්ධියේ තිබේ:

"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"

අහඹු ලෙස තෝරාගත් එක් දිනක් තුළ, එවැනි වාර්තා 500 කට වඩා සොයා ගන්නා ලදී.

රේඩාරියෝ හි තාක්ෂණික අධ්‍යක්ෂවරයාගෙන් මට අනතුරු ඇඟවීමට ප්‍රතිචාරයක් ලැබුණි:

මම Radario හි තාක්ෂණික අධ්‍යක්ෂක වන අතර ගැටලුව හඳුනා ගැනීම ගැන ඔබට ස්තූති කිරීමට කැමැත්තෙමි. ඔබ දන්නා පරිදි, අපට ඉලාස්ටික් වෙත ප්‍රවේශය වසා ඇති අතර සේවාදායකයින් සඳහා ප්‍රවේශපත්‍ර නැවත නිකුත් කිරීමේ ගැටළුව විසඳමින් සිටිමු.

මඳ වේලාවකට පසු සමාගම නිල ප්‍රකාශයක් කළේය:

Radario ඉලෙක්ට්‍රොනික ප්‍රවේශපත්‍ර විකුණුම් පද්ධතිය තුළ අවදානමක් අනාවරණය වී ඇති අතර එය වහාම නිවැරදි කරන ලද අතර එමඟින් සේවාවේ සේවාදායකයින්ගේ දත්ත කාන්දු වීමට හේතු විය හැකි බව සමාගමේ අලෙවි අධ්‍යක්ෂ කිරිල් මාලිෂෙව් මොස්කව් සිටි ප්‍රවෘත්ති ඒජන්සියට පැවසීය.

“නිත්‍ය යාවත්කාලීන කිරීම් හා සම්බන්ධ පද්ධති ක්‍රියාකාරිත්වයේ අවදානමක් අපි ඇත්ත වශයෙන්ම සොයා ගත්තෙමු, එය සොයා ගත් වහාම එය නිවැරදි කරන ලදී. අවදානමේ ප්‍රතිඵලයක් ලෙස, යම් යම් කොන්දේසි යටතේ, තුන්වන පාර්ශ්වයන්ගේ මිත්‍රශීලී නොවන ක්‍රියා දත්ත කාන්දු වීමට හේතු විය හැකි නමුත්, කිසිදු සිදුවීමක් වාර්තා වී නොමැත. මේ මොහොතේ, සියලු දෝෂ ඉවත් කර ඇත,” K. Malyshev පැවසීය.

සේවා ගණුදෙණුකරුවන්ට එරෙහි වංචනික ක්‍රියාවක් සිදුවීමට ඇති ඉඩකඩ සම්පූර්ණයෙන් ඉවත් කිරීම සඳහා ගැටලුවට විසඳුම අතරතුර අලෙවි වූ සියලුම ප්‍රවේශපත්‍ර නැවත නිකුත් කිරීමට තීරණය කළ බව සමාගමේ නියෝජිතයකු අවධාරණය කළේය.

දින කිහිපයකට පසු, මම කාන්දු වූ සබැඳි භාවිතයෙන් දත්ත තිබේදැයි පරීක්ෂා කළෙමි - “නිරාවරණය වූ” ප්‍රවේශපත්‍ර සඳහා ප්‍රවේශය ඇත්ත වශයෙන්ම ආවරණය කර ඇත. මගේ මතය අනුව, මෙය දත්ත කාන්දු වීම පිළිබඳ ගැටළුව විසඳීම සඳහා දක්ෂ, වෘත්තීය ප්රවේශයකි.

නඩුව දෙක. "Fly.ru"

15.05.2019/XNUMX/XNUMX උදේ පාන්දර DeviceLock දත්ත උල්ලංඝනය බුද්ධිය කිසියම් IS හි ලඝු-සටහන් සහිත පොදු ඉලාස්ටික් සෙවුම් සේවාදායකයක් හඳුනා ගන්නා ලදී.

සේවාදායකය "Sletat.ru" සංචාරක තේරීම් සේවාවට අයත් බව පසුව තහවුරු විය.

දර්ශකයෙන් cbto__0 විද්‍යුත් තැපැල් ලිපින දහස් ගණනක් (අනුපිටපත් ඇතුළුව 11,7 දහසක්) මෙන්ම සමහර ගෙවීම් තොරතුරු (සංචාර වියදම්) සහ චාරිකා දත්ත (කවදාද, කොතැනද, ගුවන් ටිකට්පත් විස්තරද ලබා ගැනීමට හැකි විය. всех සංචාරකයින් සංචාරයට ඇතුළත් කර ඇත, ආදිය) වාර්තා 1,8 දහසක් පමණ:

"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"

මාර්ගය වන විට, ගෙවන සංචාර සඳහා සබැඳි තරමක් ක්‍රියාත්මක වේ:

නම සහිත දර්ශකවල graylog_ Sletat.ru පද්ධතියට සම්බන්ධ සංචාරක නියෝජිතායතනවල පිවිසුම් සහ මුරපද සහ ඔවුන්ගේ ගනුදෙනුකරුවන්ට සංචාර විකිණීම පැහැදිලි පෙළෙහි විය:

"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1&currencyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."

මගේ ඇස්තමේන්තු වලට අනුව, පිවිසුම්/මුරපද යුගල සිය ගණනක් දර්ශනය විය.

ද්වාරයෙහි සංචාරක නියෝජිතායතනයේ පුද්ගලික ගිණුමෙන් agent.sletat.ru විදේශ ගමන් බලපත්‍ර අංක, ජාත්‍යන්තර ගමන් බලපත්‍ර, උපන් දින, සම්පූර්ණ නම්, දුරකථන අංක සහ විද්‍යුත් තැපැල් ලිපින ඇතුළු පාරිභෝගික දත්ත ලබා ගැනීමට හැකි විය.

මම 15.05.2019/10/46 දින 16:00 (MSK) ට Sletat.ru සේවාවට දැනුම් දුන් අතර පැය කිහිපයකට පසු (XNUMX:XNUMX දක්වා) එය ඔවුන්ගේ නොමිලේ ප්‍රවේශයෙන් අතුරුදහන් විය. පසුව, කොමර්සන්ට් හි ප්‍රකාශනයට ප්‍රතිචාර වශයෙන්, සේවයේ කළමනාකාරිත්වය මාධ්‍ය හරහා ඉතා අමුතු ප්‍රකාශයක් කළේය:

සමාගමේ ප්‍රධානියා වන Andrei Vershinin පැහැදිලි කළේ Sletat.ru විසින් සෙවුම් යන්ත්‍රයේ විමසුම් ඉතිහාසයට ප්‍රවේශය ඇති ප්‍රධාන හවුල්කාර සංචාරක ක්‍රියාකරුවන් ගණනාවක් සපයන බවයි. DeviceLock හට එය ලැබුණු බව ඔහු උපකල්පනය කළේය: "කෙසේ වෙතත්, නිශ්චිත දත්ත ගබඩාවේ සංචාරකයින්ගේ විදේශ ගමන් බලපත්‍ර දත්ත, සංචාරක නියෝජිතායතන පිවිසුම් සහ මුරපද, ගෙවීම් තොරතුරු ආදිය අඩංගු නොවේ." Andrei Vershinin සඳහන් කළේ Sletat.ru එවැනි බරපතල චෝදනා පිළිබඳ කිසිදු සාක්ෂියක් තවමත් ලැබී නොමැති බවයි. “අපි දැන් DeviceLock සම්බන්ධ කර ගැනීමට උත්සාහ කරනවා. මෙය නියෝගයක් බව අපි විශ්වාස කරමු. සමහර අය අපේ වේගවත් වර්ධනයට කැමති නැහැ, ”ඔහු වැඩිදුරටත් පැවසීය. "

ඉහත පෙන්වා ඇති පරිදි, සංචාරකයින්ගේ පිවිසුම්, මුරපද සහ විදේශ ගමන් බලපත්‍ර දත්ත සෑහෙන කාලයක් පොදු වසමෙහි පැවතුනි (අවම වශයෙන් 29.03.2019 මාර්තු XNUMX වන දින සිට, සමාගමේ සේවාදායකය ප්‍රථම වරට ෂෝඩන් සෙවුම් යන්ත්‍රය විසින් පොදු වසමෙහි සටහන් කළ විට). ඇත්ත වශයෙන්ම, කිසිවෙකු අපව සම්බන්ධ කර ගත්තේ නැත. අවම වශයෙන් ඔවුන් කාන්දුව පිළිබඳව සංචාරක ආයතනවලට දැනුම් දී ඔවුන්ගේ මුරපද වෙනස් කිරීමට බල කරනු ඇතැයි මම බලාපොරොත්තු වෙමි.

තොරතුරු කාන්දුවීම් සහ අභ්‍යන්තරිකයින් පිළිබඳ ප්‍රවෘත්ති සෑම විටම මගේ ටෙලිග්‍රාම් නාලිකාවෙන් සොයාගත හැකිය "තොරතුරු කාන්දු වීම".

මූලාශ්රය: www.habr.com