Sot do të shikojmë dy raste njëherësh - të dhënat e klientëve dhe partnerëve të dy kompanive krejtësisht të ndryshme ishin të disponueshme lirisht "falë" serverëve të hapur Elasticsearch me regjistrat e sistemeve të informacionit (IS) të këtyre kompanive.
Në rastin e parë, këto janë dhjetëra mijëra (dhe ndoshta qindra mijëra) bileta për ngjarje të ndryshme kulturore (teatro, klube, udhëtime në lumë, etj.) të shitura përmes sistemit Radario (www.radario.ru).
Në rastin e dytë, këto janë të dhëna për udhëtimet turistike të mijëra (ndoshta disa dhjetëra mijëra) udhëtarësh që blenë turne përmes agjencive të udhëtimit të lidhura me sistemin Sletat.ru (www.sletat.ru).
Do të doja të vëreja menjëherë se ndryshojnë jo vetëm emrat e kompanive që lejuan që të dhënat të bëhen publike, por edhe qasja e këtyre kompanive për njohjen e incidentit dhe reagimin e mëvonshëm ndaj tij. Por gjërat e para së pari…
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Rasti një. "Radario"
Në mbrëmjen e datës 06.05.2019 sistemi ynë , në pronësi të shërbimit elektronik të shitjes së biletave Radario.
Sipas traditës së trishtuar tashmë të krijuar, serveri përmbante regjistrat e detajuar të sistemit të informacionit të shërbimit, nga të cilët mund të merreshin të dhënat personale, hyrjet e përdoruesve dhe fjalëkalimet, si dhe vetë biletat elektronike për ngjarje të ndryshme në të gjithë vendin.
Vëllimi i përgjithshëm i regjistrave tejkaloi 1 TB.
Sipas motorit të kërkimit Shodan, serveri ka qenë i aksesueshëm publikisht që nga 11.03.2019 Mars 06.05.2019. Njoftova punonjësit e Radario në 22/50/07.05.2019 në orën 09:30 (MSK) dhe më XNUMX/XNUMX/XNUMX rreth orës XNUMX:XNUMX serveri u bë i padisponueshëm.
Regjistrat përmbanin një shenjë universale (të vetme) të autorizimit, duke siguruar qasje në të gjitha biletat e blera nëpërmjet lidhjeve speciale, si:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkProblemi ishte gjithashtu se për llogaritjen e biletave, është përdorur numërimi i vazhdueshëm i porosive dhe numërimi i thjeshtë i numrit të biletës (XXXXXXXXXX) ose porosisni (YYYYYYY), ishte e mundur të merreshin të gjitha biletat nga sistemi.
Për të kontrolluar rëndësinë e bazës së të dhënave, madje sinqerisht bleva vetë biletën më të lirë:
dhe më vonë e gjeti atë në një server publik në regjistrat e IS:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkMë vete, dua të theksoj se biletat ishin të disponueshme si për ngjarjet që tashmë janë zhvilluar, ashtu edhe për ato që janë ende në plan. Kjo do të thotë, një sulmues i mundshëm mund të përdorë biletën e dikujt tjetër për të hyrë në ngjarjen e planifikuar.
Mesatarisht, çdo indeks Elasticsearch që përmban regjistrat për një ditë specifike (duke filluar nga 24.01.2019 deri më 07.05.2019) përmbante nga 25 deri në 35 mijë bileta.
Përveç vetë biletave, indeksi përmbante hyrje (adresa e-mail) dhe fjalëkalime me tekst për të hyrë në llogaritë personale të partnerëve të Radario që shesin bileta për ngjarjet e tyre përmes këtij shërbimi:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"Në total, u zbuluan më shumë se 500 çifte hyrje/fjalëkalim. Statistikat e shitjeve të biletave janë të dukshme në llogaritë personale të partnerëve:
Gjithashtu në dispozicion të publikut ishin emrat, numrat e telefonit dhe adresat e emailit të blerësve që vendosën të kthenin biletat e blera më parë:
"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"Në një ditë të zgjedhur rastësisht, u zbuluan më shumë se 500 regjistrime të tilla.
Mora një përgjigje për alarmin nga drejtori teknik i Radario:
Unë jam drejtori teknik i Radario dhe dua t'ju falënderoj për identifikimin e problemit. Siç e dini, ne kemi akses të mbyllur në elastic dhe po zgjidhim çështjen e rilëshimit të biletave për klientët.
Pak më vonë kompania bëri një deklaratë zyrtare:
Një dobësi u zbulua në sistemin elektronik të shitjes së biletave Radario dhe u korrigjua menjëherë, gjë që mund të çonte në një rrjedhje të të dhënave nga klientët e shërbimit, tha për Agjencinë e Lajmeve të qytetit të Moskës, drejtori i marketingut të kompanisë, Kirill Malyshev.
“Ne në fakt zbuluam një dobësi në funksionimin e sistemit të lidhur me përditësimet e rregullta, e cila u rregullua menjëherë pas zbulimit. Si rezultat i cenueshmërisë, në kushte të caktuara, veprimet jo miqësore të palëve të treta mund të çonin në rrjedhje të të dhënave, por nuk u regjistruan asnjë incident. Për momentin të gjitha defektet janë eliminuar”, tha K. Malyshev.
Një përfaqësues i kompanisë theksoi se u vendos që të ribotoheshin të gjitha biletat e shitura gjatë zgjidhjes së problemit për të eliminuar plotësisht mundësinë e çdo mashtrimi ndaj klientëve të shërbimit.
Disa ditë më vonë, kontrollova disponueshmërinë e të dhënave duke përdorur lidhjet e rrjedhura - qasja në biletat "të ekspozuara" ishte me të vërtetë e mbuluar. Sipas mendimit tim, kjo është një qasje kompetente, profesionale për zgjidhjen e problemit të rrjedhjes së të dhënave.
Rasti dy. "Fly.ru"
Herët në mëngjes 15.05.2019 Inteligjenca e shkeljes së të dhënave të bllokimit të pajisjes identifikoi një server publik Elasticsearch me regjistrat e një IS të caktuar.
Më vonë u vërtetua se serveri i përket shërbimit të përzgjedhjes së turneut "Sletat.ru".
Nga indeksi cbto__0 ishte e mundur të merreshin mijëra (11,7 mijë duke përfshirë dublikatat) adresa emaili, si dhe disa informacione pagese (kostot e turneut) dhe të dhëna turne (kur, ku, detajet e biletave ajrore Të gjithë udhëtarët e përfshirë në turne, etj.) në shumën prej rreth 1,8 mijë regjistrime:
"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"Nga rruga, lidhjet me turnetë me pagesë janë mjaft funksionale:
Në indekset me emër grilog_ në tekst të qartë ishin hyrjet dhe fjalëkalimet e agjencive të udhëtimit të lidhura me sistemin Sletat.ru dhe duke u shitur turne klientëve të tyre:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."Sipas vlerësimeve të mia, u shfaqën disa qindra çifte hyrje/fjalëkalim.
Nga llogaria personale e agjencisë së udhëtimit në portal agjent.sletat.ru ishte e mundur të merreshin të dhënat e klientëve, duke përfshirë numrat e pasaportave, pasaportat ndërkombëtare, datat e lindjes, emrat e plotë, numrat e telefonit dhe adresat e emailit.
Njoftova shërbimin Sletat.ru më 15.05.2019 në orën 10:46 (koha e Moskës) dhe disa orë më vonë (deri në orën 16:00) u zhduk nga aksesi i tyre falas. Më pas, në përgjigje të publikimit në Kommersant, menaxhmenti i shërbimit bëri një deklaratë shumë të çuditshme përmes mediave:
Kreu i kompanisë, Andrei Vershinin, shpjegoi se Sletat.ru ofron një numër të operatorëve kryesorë të turneut partnerë me qasje në historinë e pyetjeve në motorin e kërkimit. Dhe ai supozoi se DeviceLock e mori atë: "Megjithatë, baza e të dhënave e specifikuar nuk përmban të dhëna për pasaportat e turistëve, hyrjet dhe fjalëkalimet e agjencive të udhëtimit, informacionin e pagesës, etj." Andrei Vershinin vuri në dukje se Sletat.ru nuk ka marrë ende asnjë provë për akuza kaq të rënda. “Tani po përpiqemi të kontaktojmë DeviceLock. Ne besojmë se ky është një urdhër. Disa njerëzve nuk u pëlqen rritja jonë e shpejtë,” shtoi ai. "
Siç u tregua më lart, hyrjet, fjalëkalimet dhe të dhënat e pasaportave të turistëve ishin në domenin publik për një kohë mjaft të gjatë (të paktën që nga 29.03.2019 mars XNUMX, kur serveri i kompanisë u regjistrua për herë të parë në domenin publik nga motori i kërkimit Shodan). Natyrisht, askush nuk na kontaktoi. Shpresoj që të paktën të njoftojnë agjencitë e udhëtimit për rrjedhjen dhe t'i detyrojnë të ndryshojnë fjalëkalimet e tyre.
Lajmet rreth rrjedhjeve të informacionit dhe të brendshëm mund të gjenden gjithmonë në kanalin tim Telegram "'.
Burimi: www.habr.com