Dinten ieu kami bakal ningali dua kasus sakaligus - data klien sareng mitra dua perusahaan anu béda-béda sacara bébas sayogi "hatur nuhun" muka server Elasticsearch sareng log sistem inpormasi (IS) perusahaan ieu.
Dina kasus nu pertama, ieu téh puluhan rébu (jeung meureun ratusan rébu) tikét pikeun sagala rupa acara budaya (téater, klub, lalampahan walungan, jsb) dijual ngaliwatan sistem Radario (www.radario.ru).
Dina kasus anu kadua, ieu mangrupikeun data perjalanan wisata rébuan (jigana sababaraha puluhan rébu) wisatawan anu mésér tur ngalangkungan agénsi perjalanan anu nyambung ka sistem Sletat.ru (www.sletat.ru).
Abdi hoyong langsung perhatikeun yén henteu ngan ukur nami perusahaan anu ngamungkinkeun data janten sayogi umum béda, tapi ogé pendekatan perusahaan-perusahaan ieu pikeun mikawanoh kajadian sareng réaksi anu salajengna. Tapi hal kahiji kahiji…
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Kasus hiji. "Radario"
Dina malem 06.05.2019/XNUMX/XNUMX sistem kami , milik layanan jualan tikét éléktronik Radario.
Numutkeun tradisi hanjelu geus ngadegkeun, server ngandung log detil rupa sistem informasi jasa, ti mana éta mungkin pikeun ménta data pribadi, logins pamaké sarta kecap akses, kitu ogé tikét éléktronik sorangan pikeun sagala rupa acara di sakuliah nagara.
Total volume log ngaleuwihan 1 TB.
Numutkeun kana mesin pencari Shodan, pangladén parantos diaksés sacara umum saprak 11.03.2019 Maret 06.05.2019. Kuring ngabéjaan karyawan Radario dina 22/50/07.05.2019 jam 09:30 (MSK) sareng dina XNUMX/XNUMX/XNUMX sakitar XNUMX:XNUMX server janten teu sayogi.
Log éta ngandung token otorisasi universal (tunggal), nyayogikeun aksés ka sadaya tiket anu dipésér ngalangkungan tautan khusus, sapertos:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkMasalahna ogé yén pikeun ngitung tikét, panomeran kontinyu tina pesenan dianggo sareng enumerasi saderhana tina nomer tikét (XXXXXXXXX) atawa pesenan (YYYYYYY), éta mungkin pikeun meunangkeun sakabéh tiket ti sistem.
Pikeun mariksa relevansi database, kuring malah jujur meuli sorangan tikét cheapest:
sareng engké mendakan éta dina server umum dina log IS:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkKapisah, kuring hoyong negeskeun yén tikét sayogi sayogi pikeun acara anu parantos dilaksanakeun sareng anu masih direncanakeun. Hartina, panyerang poténsial tiasa nganggo tikét batur pikeun ngalebetkeun acara anu direncanakeun.
Rata-rata, unggal indéks Elasticsearch ngandung log pikeun hiji dinten khusus (dimimitian ti 24.01.2019/07.05.2019/25 ka 35/XNUMX/XNUMX) ngandung ti XNUMX dugi ka XNUMX rébu tikét.
Salian ti tiket sorangan, indéks ngandung logins (alamat surélék) jeung kecap akses téks pikeun aksés ka rekening pribadi mitra Radario anu ngajual tiket ka acara maranéhanana ngaliwatan layanan ieu:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"Jumlahna, langkung ti 500 pasangan login/sandi dideteksi. Statistik penjualan tiket katingali dina akun pribadi mitra:
Ogé sayogi umum nyaéta nami, nomer telepon sareng alamat email para pembeli anu mutuskeun pikeun uih deui tikét anu tos dipésér:
"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"Dina hiji dinten anu dipilih sacara acak, langkung ti 500 rékaman sapertos kitu kapanggih.
Kuring nampi réspon kana peringatan ti diréktur téknis Radario:
Kami diréktur téknis Radario sareng hoyong hatur nuhun pikeun ngaidentipikasi masalahna. Sakumaha anjeun terang, kami parantos nutup aksés ka elastis sareng ngarengsekeun masalah ngaluarkeun ulang tikét pikeun klien.
Sakedap deui perusahaan ngadamel pernyataan resmi:
Kerentanan kapanggih dina sistem penjualan tikét éléktronik Radario sareng gancang dilereskeun, anu tiasa nyababkeun bocor data ti klien jasa, diréktur pamasaran perusahaan, Kirill Malyshev, nyarios ka Moscow City News Agency.
"Kami saleresna mendakan kerentanan dina operasi sistem anu aya hubunganana sareng apdet biasa, anu dibenerkeun langsung saatos kapanggih. Salaku hasil tina kerentanan, dina kaayaan nu tangtu, lampah teu marahmay pihak katilu bisa ngakibatkeun leakage data, tapi teu aya kajadian anu kacatet. Ayeuna, sadaya kasalahan parantos dileungitkeun, ”saur K. Malyshev.
A wawakil parusahaan emphasized yén éta ieu mutuskeun pikeun reissue sadayana tiket dijual salila solusi pikeun masalah dina urutan pikeun sakabéhna ngaleungitkeun kamungkinan sagala panipuan ngalawan klien jasa.
Sababaraha dinten saatosna, kuring pariksa kasadiaan data nganggo tautan anu bocor - aksés ka tiket "kakeunaan" memang katutupan. Dina pamanggih kuring, ieu kompeten, pendekatan profésional pikeun ngarengsekeun masalah leakage data.
Kasus dua. "Fly.ru"
Isuk-isuk 15.05.2019/XNUMX/XNUMX DeviceLock Data Breach AKAL ngaidentipikasi server Elasticsearch umum sareng log tina IS tangtu.
Engké didirikeun yén server milik layanan pilihan wisata "Sletat.ru".
Ti indéks cbto__0 Ieu mungkin pikeun ménta rébuan (11,7 sarébu kaasup duplikat) alamat surélék, kitu ogé sababaraha informasi pamayaran (biaya wisata) jeung data wisata (iraha, dimana, rinci tikét hawa. всех travelers kaasup dina wisata, jsb) dina jumlah ngeunaan 1,8 rébu rékaman:
"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"Ngomong-ngomong, tautan kana wisata anu mayar lumayan tiasa dianggo:
Dina indexes kalawan ngaran graylog_ dina téks anu jelas nyaéta login sareng kecap akses agénsi perjalanan anu nyambung ka sistem Sletat.ru sareng ngajual wisata ka klienna:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."Numutkeun perkiraan kuring, sababaraha ratus pasangan login/sandi ditampilkeun.
Ti akun pribadi agénsi perjalanan dina portal agent.sletat.ru ieu mungkin pikeun ménta data customer, kaasup nomer paspor, paspor internasional, kaping kalahiran, ngaran lengkep, nomer telepon jeung alamat surélék.
Kuring ngabéjaan jasa Sletat.ru dina 15.05.2019/10/46 jam 16:00 (MSK) sareng sababaraha jam saatosna (dugi ka XNUMX:XNUMX) éta ngaleungit tina aksés gratisna. Engké, salaku respon kana publikasi dina Kommersant, manajemén jasa nyieun hiji pernyataan aneh pisan ngaliwatan média:
Kapala perusahaan, Andrei Vershinin, ngécéskeun yén Sletat.ru nyayogikeun sajumlah operator wisata pasangan utama kalayan aksés kana sajarah patarosan dina mesin pencari. Sareng anjeunna nganggap yén DeviceLock nampi éta: "Nanging, pangkalan data anu ditangtukeun henteu ngandung data paspor turis, login sareng kecap akses agénsi perjalanan, inpormasi pamayaran, jsb." Andrei Vershinin nyatakeun yén Sletat.ru henteu acan nampi bukti tuduhan serius sapertos kitu. "Kami ayeuna nyobian ngahubungi DeviceLock. Kami yakin yén ieu mangrupikeun pesenan. Sababaraha urang henteu resep kana kamekaran gancang urang, ”tambah anjeunna. "
Sakumaha anu dipidangkeun di luhur, login, kecap akses, sareng data paspor wisatawan parantos lami dina domain publik (sahenteuna saprak 29.03.2019 Maret XNUMX, nalika server perusahaan munggaran kacatet dina domain publik ku mesin pencari Shodan). Tangtosna, teu aya anu ngahubungi kami. Kuring ngarepkeun sahenteuna aranjeunna ngabéjaan agénsi perjalanan ngeunaan bocorna sareng maksa aranjeunna ngarobih kecap koncina.
Warta ngeunaan bocor inpormasi sareng insider tiasa dipendakan dina saluran Telegram kuring "".
sumber: www.habr.com