Danes si bomo ogledali dva primera hkrati - podatki strank in partnerjev dveh popolnoma različnih podjetij so bili prosto dostopni "zahvaljujoč" odprtim strežnikom Elasticsearch z dnevniki informacijskih sistemov (IS) teh podjetij.
V prvem primeru gre za več deset tisoč (in morda sto tisoč) vstopnic za različne kulturne dogodke (gledališča, klubi, izleti po rekah itd.), prodanih preko sistema Radario (www.radario.ru).
V drugem primeru gre za podatke o turističnih potovanjih več tisoč (lahko tudi več deset tisoč) popotnikov, ki so potovanja kupili prek turističnih agencij, povezanih s sistemom Sletat.ru (www.sletat.ru).
Želel bi takoj opozoriti, da se razlikujejo ne samo imena podjetij, ki so dovolila, da so podatki postali javno dostopni, ampak tudi pristop teh podjetij do prepoznavanja incidenta in kasnejše reakcije nanj. Toda najprej o vsem …
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Prvi primer. "Radario"
Zvečer 06.05.2019 naš sistem , v lasti storitve elektronske prodaje vozovnic Radario.
Po že ustaljeni žalostni tradiciji je strežnik vseboval podrobne dnevnike informacijskega sistema storitve, iz katerih je bilo mogoče pridobiti osebne podatke, uporabniške prijave in gesla ter same elektronske vstopnice za različne dogodke po vsej državi.
Skupna količina dnevnikov je presegla 1 TB.
Po podatkih iskalnika Shodan je strežnik javno dostopen od 11.03.2019. marca 06.05.2019. Zaposlene v Radariu sem obvestil 22 ob 50:07.05.2019 (MSK) in dne 09 ob približno 30:XNUMX je strežnik postal nedosegljiv.
Dnevniki so vsebovali univerzalni (enotni) avtorizacijski žeton, ki je omogočal dostop do vseh kupljenih vstopnic prek posebnih povezav, kot so:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkTežava je bila tudi v tem, da se je za obračun listkov uporabljalo neprekinjeno številčenje nalogov in preprosto naštevanje številke listkov (XXXXXXXX) ali naročilo (YYYYYYY), je bilo mogoče dobiti vse vstopnice iz sistema.
Da bi preveril ustreznost baze podatkov, sem si celo pošteno kupil najcenejšo vstopnico:
in ga pozneje našel na javnem strežniku v dnevnikih IS:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkPosebej bi rad poudaril, da so bile vstopnice na voljo tako za dogodke, ki so se že zgodili, kot za tiste, ki so še v načrtu. To pomeni, da bi potencialni napadalec lahko uporabil vstopnico nekoga drugega za vstop na načrtovani dogodek.
V povprečju je vsak indeks Elasticsearch, ki vsebuje dnevnike za en določen dan (od 24.01.2019. 07.05.2019. 25 do 35. XNUMX. XNUMX), vseboval od XNUMX do XNUMX tisoč vstopnic.
Indeks je poleg samih vstopnic vseboval prijave (e-poštne naslove) in besedilna gesla za dostop do osebnih računov partnerjev Radaria, ki prek te storitve prodajajo vstopnice za svoje dogodke:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"Skupno je bilo zaznanih več kot 500 parov prijava/geslo. Statistika prodaje vstopnic je vidna v osebnih računih partnerjev:
Javno dostopna so bila tudi imena, telefonske številke in elektronski naslovi kupcev, ki so se odločili vrniti že kupljene vstopnice:
"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"V enem naključno izbranem dnevu je bilo odkritih več kot 500 takih zapisov.
Na opozorilo sem prejel odgovor tehničnega direktorja podjetja Radario:
Sem tehnični direktor podjetja Radario in bi se vam rad zahvalil, da ste prepoznali težavo. Kot veste, smo zaprli dostop do elastike in rešujemo vprašanje ponovne izdaje vozovnic za stranke.
Malo kasneje je podjetje podalo uradno izjavo:
V elektronskem sistemu za prodajo vozovnic Radario je bila odkrita in takoj odpravljena ranljivost, ki bi lahko povzročila uhajanje podatkov iz strank storitve, je za moskovsko mestno novinsko agencijo povedal direktor trženja podjetja Kirill Malyshev.
»Pravzaprav smo odkrili ranljivost v delovanju sistema, povezano z rednimi posodobitvami, ki je bila odpravljena takoj po odkritju. Zaradi ranljivosti bi lahko pod določenimi pogoji neprijazna dejanja tretjih oseb povzročila uhajanje podatkov, vendar ni bil zabeležen noben incident. Trenutno so vse napake odpravljene,« je dejal K. Malyshev.
Predstavnik podjetja je poudaril, da je bilo odločeno, da se vse vozovnice, prodane v času reševanja problema, ponovno izda, da bi popolnoma odpravili možnost kakršnih koli goljufij zoper stranke storitev.
Nekaj dni kasneje sem preveril razpoložljivost podatkov s pomočjo razkritih povezav - dostop do "razkritih" vstopnic je bil res pokrit. Po mojem mnenju je to kompetenten, profesionalen pristop k reševanju problema uhajanja podatkov.
Drugi primer. "Fly.ru"
Zgodaj zjutraj 15.05.2019 DeviceLock Data Breach Intelligence identificiral javni strežnik Elasticsearch z dnevniki določenega IS.
Kasneje je bilo ugotovljeno, da strežnik pripada storitvi za izbiro potovanj "Sletat.ru".
Iz indeksa cbto__0 mogoče je bilo pridobiti na tisoče (11,7 tisoč vključno z dvojniki) e-poštnih naslovov, pa tudi nekatere podatke o plačilu (stroški potovanja) in podatke o potovanju (kdaj, kje, podrobnosti o letalski karti Vse potniki, vključeni v turnejo itd.) v višini približno 1,8 tisoč zapisov:
"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"Mimogrede, povezave do plačanih izletov precej delujejo:
V imenskih kazalih graylog_ v čistem besedilu so bile prijave in gesla potovalnih agencij, ki so povezane s sistemom Sletat.ru in prodajajo izlete svojim strankam:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."Po mojih ocenah je bilo prikazanih nekaj sto parov prijava/geslo.
Iz osebnega računa potovalne agencije na portalu agent.sletat.ru bilo je mogoče pridobiti podatke o strankah, vključno s številkami potnih listov, mednarodnimi potnimi listi, datumi rojstva, polnimi imeni, telefonskimi številkami in elektronskimi naslovi.
Storitev Sletat.ru sem obvestil 15.05.2019. 10. 46 ob 16:00 (MSK) in nekaj ur kasneje (do XNUMX:XNUMX) je izginil iz njihovega prostega dostopa. Kasneje je vodstvo službe v odgovoru na objavo v Kommersantu v medijih podalo zelo čudno izjavo:
Vodja podjetja Andrej Veršinin je pojasnil, da Sletat.ru številnim velikim partnerskim organizatorjem potovanj omogoča dostop do zgodovine poizvedb v iskalniku. In domneval je, da ga je prejel DeviceLock: "Vendar navedena zbirka podatkov ne vsebuje podatkov o potnih listih turistov, prijav in gesel potovalnih agencij, podatkov o plačilu itd." Andrej Veršinin je opozoril, da Sletat.ru še ni prejel nobenih dokazov o tako resnih obtožbah. »Zdaj poskušamo vzpostaviti stik z DeviceLockom. Verjamemo, da je to ukaz. Nekaterim ni všeč naša hitra rast,« je dodal. "
Kot je prikazano zgoraj, so bili podatki o prijavah, geslih in potnih listih turistov v javni domeni precej dolgo (vsaj od 29.03.2019. marca XNUMX, ko je iskalnik Shodan prvič zabeležil strežnik podjetja v javni domeni). Seveda nas ni nihče kontaktiral. Upam, da so vsaj turistične agencije obvestili o uhajanju in jih prisilili, da spremenijo gesla.
Novice o uhajanju informacij in insajderjih lahko vedno najdete na mojem kanalu Telegram "".
Vir: www.habr.com