Данас ћемо погледати два случаја одједном - подаци клијената и партнера две потпуно различите компаније били су слободно доступни „захваљујући“ отвореним Еластицсеарцх серверима са логовима информационих система (ИС) ових компанија.
У првом случају то су десетине хиљада (а можда и стотине хиљада) улазница за разне културне догађаје (позоришта, клубови, излети по рекама итд.) продатих преко система Радарио (ввв.радарио.ру).
У другом случају, ради се о подацима о туристичким путовањима хиљада (евентуално неколико десетина хиљада) путника који су куповали путовања преко туристичких агенција повезаних са системом Слетат.ру (ввв.слетат.ру).
Одмах желим да напоменем да се не разликују само имена компанија које су омогућиле да подаци постану јавно доступни, већ и приступ ових компанија препознавању инцидента и накнадној реакцији на њега. Али пре свега…
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Случај један. "Радарио"
Наш систем увече 06.05.2019 , у власништву сервиса електронске продаје карата Радарио.
По већ устаљеној тужној традицији, сервер је садржао детаљне евиденције информационог система сервиса, из којих је било могуће добити личне податке, корисничке пријаве и лозинке, као и саме електронске улазнице за разне догађаје широм земље.
Укупна запремина дневника је премашила 1 ТБ.
Према Сходан претраживачу, сервер је јавно доступан од 11.03.2019. марта 06.05.2019. Обавестио сам запослене у Радарију 22 у 50:07.05.2019 (МСК) и 09 око 30:XNUMX сервер је постао недоступан.
Дневници су садржали универзални (јединствени) токен ауторизације, који је омогућавао приступ свим купљеним картама путем посебних веза, као што су:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkПроблем је био и у томе што је за обрачун карата коришћено континуирано нумерисање поруџбина и једноставно набрајање броја тикета (КСКСКСКСКСКСКСКС) или наручите (ИИИИИИИ), било је могуће добити све карте из система.
Да бих проверио релевантност базе података, чак сам себи поштено купио и најјефтинију карту:
и касније га пронашао на јавном серверу у евиденцији ИС-а:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkПосебно желим да истакнем да су биле доступне улазнице како за догађаје који су се већ одиграли, тако и за оне који се тек планирају. То јест, потенцијални нападач би могао да искористи туђу карту да уђе у планирани догађај.
У просеку, сваки Еластицсеарцх индекс који садржи евиденције за један одређени дан (почев од 24.01.2019. до 07.05.2019.) је садржао од 25 до 35 хиљада карата.
Поред самих улазница, индекс је садржао логин (адресе е-поште) и текстуалне лозинке за приступ личним налозима Радарио партнера који продају улазнице за своје догађаје преко овог сервиса:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"Укупно је откривено више од 500 парова логин/лозинке. Статистика продаје карата је видљива у личним налозима партнера:
Јавно су доступна и имена, бројеви телефона и имејл адресе купаца који су одлучили да врате раније купљене карте:
"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"У једном насумично одабраном дану откривено је више од 500 таквих записа.
Добио сам одговор на упозорење од техничког директора Радарија:
Ја сам технички директор Радарија и желео бих да вам се захвалим што сте идентификовали проблем. Као што знате, затворили смо приступ еластичним и решавамо питање поновног издавања карата за клијенте.
Нешто касније компанија је дала званичну изјаву:
Откривена је рањивост у систему електронске продаје карата Радарио и одмах исправљена, што би могло да доведе до цурења података од клијената услуге, рекао је директор маркетинга компаније Кирил Малишев за Московску градску новинску агенцију.
„Заправо смо открили рањивост у раду система повезану са редовним ажурирањима, која је исправљена одмах након откривања. Као резултат рањивости, под одређеним условима, непријатељски поступци трећих лица могли су да доведу до цурења података, али инциденти нису забележени. У овом тренутку, сви кварови су отклоњени“, рекао је К. Малишев.
Представник компаније је нагласио да је одлучено да се све карте продате током решавања проблема поново издају како би се у потпуности елиминисала могућност било какве преваре према клијентима услуге.
Неколико дана касније, проверио сам доступност података користећи везе које су процуриле - приступ „откривеним“ картама је заиста био покривен. По мом мишљењу, ово је компетентан, професионалан приступ решавању проблема цурења података.
Случај два. "Фли.ру"
Рано ујутру 15.05.2019 ДевицеЛоцк Дата Бреацх Интеллигенце идентификовао јавни Еластицсеарцх сервер са евиденцијама одређеног ИС-а.
Касније је установљено да сервер припада сервису за одабир тура „Слетат.ру“.
Из индекса цбто__0 било је могуће добити хиљаде (11,7 хиљада укључујући дупликате) адреса е-поште, као и неке информације о плаћању (трошкови обиласка) и податке о турнеји (када, где, детаљи авио карата све путници укључени у туру итд.) у износу од око 1,8 хиљада записа:
"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"Иначе, везе до плаћених тура су прилично функционалне:
У индексима са именом граилог_ у јасном тексту су били логини и лозинке туристичких агенција повезаних са системом Слетат.ру и које продају путовања својим клијентима:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."Према мојим проценама, приказано је неколико стотина парова логин/лозинке.
Са личног налога туристичке агенције на порталу агент.слетат.ру било је могуће добити податке о клијентима, укључујући бројеве пасоша, међународне пасоше, датуме рођења, пуна имена, бројеве телефона и адресе е-поште.
Обавестио сам сервис Слетат.ру 15.05.2019 у 10:46 (МСК) и неколико сати касније (до 16:00) је нестао из њиховог слободног приступа. Касније, као одговор на објаву у Коммерсанту, руководство службе је дало веома чудну изјаву кроз медије:
Шеф компаније Андреј Вершињин је објаснио да Слетат.ру пружа приступ историји упита у претраживачу великом броју великих партнерских туроператора. И претпоставио је да га је ДевицеЛоцк примио: „Међутим, наведена база података не садржи податке о пасошима туриста, пријаве и лозинке туристичких агенција, информације о плаћању итд.“ Андреј Вершињин је приметио да Слетат.ру још није добио ниједан доказ о тако озбиљним оптужбама. „Сада покушавамо да контактирамо ДевицеЛоцк. Сматрамо да је ово наређење. Неки људи не воле наш брзи раст“, додао је он. "
Као што је горе приказано, пријаве, лозинке и подаци о пасошима туриста су били у јавном власништву доста дуго (барем од 29.03.2019. марта XNUMX. године, када је сервер компаније Сходан први пут снимљен у јавном власништву). Наравно, нико нас није контактирао. Надам се да су бар обавестили туристичке агенције о цурењу и натерали их да промене лозинке.
Вести о цурењу информација и инсајдерима увек се могу наћи на мом Телеграм каналу "'.
Извор: ввв.хабр.цом