Idag kommer vi att titta på två fall samtidigt - data från kunder och partners från två helt olika företag var fritt tillgänglig "tack vare" öppna Elasticsearch-servrar med loggar över informationssystem (IS) för dessa företag.
I det första fallet handlar det om tiotusentals (och kanske hundratusentals) biljetter till olika kulturevenemang (teatrar, klubbar, flodresor, etc.) som säljs via Radario-systemet (www.radario.ru).
I det andra fallet är detta data om turistresor för tusentals (möjligen flera tiotusentals) resenärer som köpt turer genom resebyråer anslutna till Sletat.ru-systemet (www.sletat.ru).
Jag skulle genast vilja notera att inte bara namnen på företagen som gjorde det möjligt för informationen att bli allmänt tillgänglig skiljer sig åt, utan även dessa företags inställning till att känna igen incidenten och den efterföljande reaktionen på den. Men först till kvarn...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Fall ett. "Radario"
På kvällen den 06.05.2019/XNUMX/XNUMX vårt system , som ägs av den elektroniska biljettförsäljningstjänsten Radario.
Enligt den redan etablerade tråkiga traditionen innehöll servern detaljerade loggar över tjänstens informationssystem, från vilka det var möjligt att få personuppgifter, användarinloggningar och lösenord, samt själva elektroniska biljetterna till olika evenemang i hela landet.
Den totala volymen stockar översteg 1 TB.
Enligt Shodans sökmotor har servern varit allmänt tillgänglig sedan 11.03.2019 mars 06.05.2019. Jag meddelade Radario-anställda den 22/50/07.05.2019 kl. 09:30 (MSK) och den XNUMX/XNUMX/XNUMX omkring kl. XNUMX:XNUMX blev servern otillgänglig.
Loggarna innehöll en universell (enkel) auktoriseringstoken som ger tillgång till alla köpta biljetter via speciella länkar, som:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkProblemet var också att för att redogöra för biljetter användes kontinuerlig numrering av beställningar och enkel uppräkning av biljettnumret (XXXXXXXX) eller beställ (ÅÅÅÅÅÅÅÅ), var det möjligt att få alla biljetter från systemet.
För att kontrollera relevansen av databasen köpte jag till och med ärligt den billigaste biljetten:
och senare hittade den på en offentlig server i IS-loggarna:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkSeparat vill jag understryka att biljetter fanns tillgängliga både till evenemang som redan har ägt rum och till de som fortfarande planeras. Det vill säga, en potentiell angripare kan använda någon annans biljett för att komma in i det planerade evenemanget.
I genomsnitt innehöll varje Elasticsearch-index som innehöll loggar för en specifik dag (från 24.01.2019/07.05.2019/25 till 35/XNUMX/XNUMX) från XNUMX till XNUMX tusen biljetter.
Förutom själva biljetterna innehöll indexet inloggningar (e-postadresser) och textlösenord för åtkomst till de personliga kontona hos Radario-partners som säljer biljetter till sina evenemang genom denna tjänst:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"Totalt upptäcktes mer än 500 inloggnings-/lösenordspar. Biljettförsäljningsstatistiken är synlig i partners personliga konton:
Också allmänt tillgängliga var namn, telefonnummer och e-postadresser till köpare som beslutat att returnera tidigare köpta biljetter:
"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"Under en slumpmässigt utvald dag upptäcktes mer än 500 sådana rekord.
Jag fick ett svar på varningen från Radarios tekniska chef:
Jag är teknisk chef för Radario och vill tacka dig för att du identifierade problemet. Som ni vet har vi stängd tillgång till resår och håller på att lösa problemet med återutgivning av biljetter till kunder.
Lite senare gjorde företaget ett officiellt uttalande:
En sårbarhet upptäcktes i Radarios elektroniska biljettförsäljningssystem och korrigerades omedelbart, vilket kan leda till ett läckage av data från tjänstens kunder, säger företagets marknadsdirektör, Kirill Malyshev, till Moscow City News Agency.
"Vi upptäckte faktiskt en sårbarhet i systemdriften i samband med regelbundna uppdateringar, som åtgärdades direkt efter upptäckten. Som ett resultat av sårbarheten kan ovänliga åtgärder från tredje part under vissa förhållanden leda till dataläckage, men inga incidenter registrerades. För tillfället har alla fel eliminerats”, sa K. Malyshev.
En företrädare för företaget betonade att det beslutats att återutgå alla biljetter som sålts under lösningen av problemet för att helt eliminera möjligheten till eventuella bedrägerier mot tjänstekunder.
Några dagar senare kontrollerade jag tillgängligheten av data med hjälp av de läckta länkarna - åtkomst till de "exponerade" biljetterna täcktes verkligen. Enligt min åsikt är detta ett kompetent, professionellt tillvägagångssätt för att lösa problemet med dataläckage.
Fall två. "Fly.ru"
Tidigt på morgonen 15.05.2019/XNUMX/XNUMX DeviceLock Dataintrångsintelligens identifierade en offentlig Elasticsearch-server med loggar för en viss IS.
Senare fastställdes att servern tillhör turvalstjänsten "Sletat.ru".
Från index cbto__0 det var möjligt att få tusentals (11,7 tusen inklusive dubbletter) e-postadresser, samt viss betalningsinformation (resekostnader) och resedata (när, var, information om flygbiljetter Alla resenärer som ingår i turnén, etc.) till ett belopp av cirka 1,8 tusen poster:
"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"Förresten, länkarna till betalda turer fungerar ganska bra:
I index med namn graylog_ i klartext var inloggningsuppgifterna och lösenorden för resebyråer anslutna till Sletat.ru-systemet och som säljer turer till sina kunder:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."Enligt mina uppskattningar visades flera hundra inloggnings-/lösenordspar.
Från resebyråns personliga konto på portalen agent.sletat.ru det var möjligt att få fram kunddata, inklusive passnummer, internationella pass, födelsedatum, fullständiga namn, telefonnummer och e-postadresser.
Jag meddelade Sletat.ru-tjänsten den 15.05.2019/10/46 kl 16:00 (MSK) och några timmar senare (till XNUMX:XNUMX) försvann den från deras fria åtkomst. Senare, som svar på publiceringen i Kommersant, gjorde tjänstens ledning ett mycket märkligt uttalande genom media:
Chefen för företaget, Andrei Vershinin, förklarade att Sletat.ru ger ett antal stora partnerresearrangörer tillgång till historiken för frågor i sökmotorn. Och han antog att DeviceLock fick det: "Den angivna databasen innehåller dock inte turisternas passdata, resebyråinloggningar och lösenord, betalningsinformation, etc." Andrei Vershinin noterade att Sletat.ru ännu inte har fått några bevis för sådana allvarliga anklagelser. "Vi försöker nu kontakta DeviceLock. Vi tror att detta är en order. Vissa människor gillar inte vår snabba tillväxt, tillade han. "
Som visas ovan har inloggningar, lösenord och passdata för turister varit allmän egendom under ganska lång tid (åtminstone sedan 29.03.2019 mars XNUMX, då företagets server först registrerades i det offentliga området av Shodans sökmotor) . Naturligtvis var det ingen som kontaktade oss. Jag hoppas att de åtminstone meddelade resebyråerna om läckan och tvingade dem att ändra sina lösenord.
Nyheter om informationsläckor och insiders finns alltid på min Telegram-kanal "".
Källa: will.com