Dnes sa pozrieme na dva prípady naraz – dáta klientov a partnerov dvoch úplne odlišných spoločností boli voľne dostupné „vďaka“ otvoreným Elasticsearch serverom s logami informačných systémov (IS) týchto spoločností.
V prvom prípade ide o desaťtisíce (a možno státisíce) vstupeniek na rôzne kultúrne podujatia (divadlá, kluby, výlety po riekach a pod.) predaných prostredníctvom systému Radario (www.radario.ru).
V druhom prípade ide o údaje o turistických zájazdoch tisícok (možno niekoľko desiatok tisíc) cestovateľov, ktorí si zájazdy kúpili cez cestovné kancelárie napojené na systém Sletat.ru (www.sletat.ru).
Hneď by som rád poznamenal, že sa líšia nielen názvy spoločností, ktoré umožnili zverejnenie údajov, ale aj prístup týchto spoločností k rozpoznaniu incidentu a následnej reakcii naň. Najprv však…
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Prípad jedna. "Radio"
Večer 06.05.2019 náš systém , ktorú vlastní elektronická služba predaja lístkov Radario.
Podľa už zavedenej smutnej tradície server obsahoval podrobné logy informačného systému služby, z ktorých bolo možné získavať osobné údaje, užívateľské prihlasovacie mená a heslá, ako aj samotné elektronické vstupenky na rôzne podujatia po celej republike.
Celkový objem protokolov presiahol 1 TB.
Podľa vyhľadávača Shodan je server verejne dostupný od 11.03.2019. marca 06.05.2019. Oznámil som to zamestnancom spoločnosti Radario dňa 22 o 50:07.05.2019 (MSK) a dňa 09 približne o 30:XNUMX sa server stal nedostupným.
Protokoly obsahovali univerzálny (jediný) autorizačný token, ktorý poskytoval prístup ku všetkým zakúpeným lístkom prostredníctvom špeciálnych odkazov, ako napríklad:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkProblém bol aj v tom, že na účtovanie tiketov sa využívalo priebežné číslovanie objednávok a jednoduché vyčíslenie čísla tiketu (XXXXXXXXX) alebo objednať (YYYYYYY), bolo možné získať všetky vstupenky zo systému.
Aby som skontroloval relevantnosť databázy, dokonca som si čestne kúpil najlacnejší lístok:
a neskôr som ho našiel na verejnom serveri v denníkoch IS:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkSamostatne by som chcel zdôrazniť, že vstupenky boli dostupné ako na akcie, ktoré sa už uskutočnili, tak aj na tie, ktoré sa ešte len plánujú. To znamená, že potenciálny útočník by mohol použiť cudziu vstupenku na vstup do plánovanej udalosti.
V priemere každý index Elasticsearch obsahujúci záznamy na jeden konkrétny deň (od 24.01.2019 do 07.05.2019) obsahoval od 25 do 35 tisíc tiketov.
Okrem samotných vstupeniek index obsahoval prihlasovacie údaje (e-mailové adresy) a textové heslá pre prístup k osobným účtom partnerov spoločnosti Radario, ktorí prostredníctvom tejto služby predávajú vstupenky na svoje podujatia:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"Celkovo bolo zistených viac ako 500 párov login/heslo. Štatistiky predaja vstupeniek sú viditeľné v osobných účtoch partnerov:
Verejne dostupné boli aj mená, telefónne čísla a e-mailové adresy kupujúcich, ktorí sa rozhodli vrátiť už zakúpené vstupenky:
"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"V jeden náhodne vybraný deň bolo objavených viac ako 500 takýchto záznamov.
Dostal som odpoveď na upozornenie od technického riaditeľa spoločnosti Radario:
Som technický riaditeľ spoločnosti Radario a rád by som vám poďakoval za identifikáciu problému. Ako viete, uzavreli sme prístup k elastickému a riešime otázku opätovného vydávania vstupeniek pre klientov.
O niečo neskôr spoločnosť vydala oficiálne vyhlásenie:
V systéme elektronického predaja lístkov Radario bola objavená a okamžite opravená zraniteľnosť, ktorá by mohla viesť k úniku údajov od klientov služby, uviedol marketingový riaditeľ spoločnosti Kirill Malyshev pre Moskovskú mestskú tlačovú agentúru.
„V skutočnosti sme objavili zraniteľnosť v prevádzke systému súvisiacu s pravidelnými aktualizáciami, ktorá bola opravená ihneď po objavení. V dôsledku zraniteľnosti by za určitých podmienok mohli nepriateľské kroky tretích strán viesť k úniku údajov, neboli však zaznamenané žiadne incidenty. Momentálne sú všetky poruchy odstránené,” uviedol K. Malyshev.
Zástupca spoločnosti zdôraznil, že počas riešenia problému bolo rozhodnuté o opätovnom vydaní všetkých predaných lístkov, aby sa úplne vylúčila možnosť akéhokoľvek podvodu voči klientom služieb.
O niekoľko dní neskôr som skontroloval dostupnosť údajov pomocou uniknutých odkazov - prístup k „odhaleným“ lístkom bol skutočne krytý. Podľa mňa ide o kompetentný, profesionálny prístup k riešeniu problému úniku dát.
Prípad dva. "Fly.ru"
Skoro ráno 15.05.2019 DeviceLock Data Breach Intelligence identifikoval verejný Elasticsearch server s protokolmi určitého IS.
Neskôr sa zistilo, že server patrí do služby výberu zájazdov „Sletat.ru“.
Z indexu cbto__0 bolo možné získať tisíce (11,7 tisíc vrátane duplikátov) e-mailových adries, ako aj niektoré platobné informácie (ceny zájazdu) a údaje o zájazde (kedy, kde, podrobnosti o letenkách všetko cestujúci zaradení do zájazdu a pod.) vo výške cca 1,8 tisíc záznamov:
"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"Mimochodom, odkazy na platené zájazdy celkom fungujú:
V indexoch s názvom graylog_ v čistom texte boli prihlasovacie mená a heslá cestovných kancelárií pripojených k systému Sletat.ru a predávajúcich zájazdy svojim klientom:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."Podľa mojich odhadov sa zobrazilo niekoľko stoviek párov login/heslo.
Z osobného účtu cestovnej kancelárie na portáli agent.sletat.ru bolo možné získať údaje o zákazníkoch vrátane čísel pasov, medzinárodných pasov, dátumov narodenia, celých mien, telefónnych čísel a e-mailových adries.
Upozornil som službu Sletat.ru dňa 15.05.2019 o 10:46 (MSK) a o niekoľko hodín neskôr (do 16:00) zmizla z ich bezplatného prístupu. Neskôr, v reakcii na publikáciu v Kommersant, vedenie služby urobilo veľmi zvláštne vyhlásenie prostredníctvom médií:
Šéf spoločnosti Andrei Vershinin vysvetlil, že Sletat.ru poskytuje viacerým významným partnerským touroperátorom prístup k histórii dopytov vo vyhľadávači. A predpokladal, že DeviceLock to dostal: „Špecifikovaná databáza však neobsahuje údaje o cestovných pasoch turistov, prihlasovacie údaje a heslá cestovných kancelárií, platobné informácie atď. Andrei Vershinin poznamenal, že Sletat.ru zatiaľ nezískal žiadne dôkazy o takýchto závažných obvineniach. „Teraz sa pokúšame kontaktovať DeviceLock. Veríme, že ide o rozkaz. Niektorým ľuďom sa nepáči náš rýchly rast,“ dodal. "
Ako je uvedené vyššie, prihlasovacie mená, heslá a pasové údaje turistov boli vo verejnej doméne pomerne dlho (najmenej od 29.03.2019. marca XNUMX, kedy bol server spoločnosti prvýkrát zaznamenaný vo verejnej doméne vyhľadávacím nástrojom Shodan). Samozrejme, nikto nás nekontaktoval. Dúfam, že aspoň na únik upozornili cestovné kancelárie a prinútili ich zmeniť si heslá.
Správy o únikoch informácií a zasvätených môžete vždy nájsť na mojom kanáli Telegram "".
Zdroj: hab.com