Leo tutaangalia kesi mbili mara moja - data ya wateja na washirika wa makampuni mawili tofauti kabisa ilipatikana kwa uhuru "shukrani kwa" kufungua seva za Elasticsearch zilizo na kumbukumbu za mifumo ya habari (IS) ya makampuni haya.
Katika kesi ya kwanza, hizi ni makumi ya maelfu (na labda mamia ya maelfu) ya tikiti za hafla mbalimbali za kitamaduni (sinema, vilabu, safari za mto, nk) zinazouzwa kupitia mfumo wa Radario (www.radario.ru).
Katika kesi ya pili, hii ni data juu ya safari za watalii za maelfu (labda makumi ya maelfu) ya wasafiri ambao walinunua ziara kupitia mashirika ya usafiri yaliyounganishwa na mfumo wa Sletat.ru (www.sletat.ru).
Ningependa kutambua mara moja kwamba sio tu majina ya makampuni ambayo yaliruhusu data kupatikana kwa umma hutofautiana, lakini pia mbinu ya makampuni haya ya kutambua tukio hilo na majibu ya baadaye kwa hilo. Lakini mambo ya kwanza kwanza...
ΠΠΈΡΠΊΠ»Π΅ΠΉΠΌΠ΅Ρ: Π²ΡΡ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ Π½ΠΈΠΆΠ΅ ΠΏΡΠ±Π»ΠΈΠΊΡΠ΅ΡΡΡ ΠΈΡΠΊΠ»ΡΡΠΈΡΠ΅Π»ΡΠ½ΠΎ Π² ΠΎΠ±ΡΠ°Π·ΠΎΠ²Π°ΡΠ΅Π»ΡΠ½ΡΡ
ΡΠ΅Π»ΡΡ
. ΠΠ²ΡΠΎΡ Π½Π΅ ΠΏΠΎΠ»ΡΡΠ°Π» Π΄ΠΎΡΡΡΠΏΠ° ΠΊ ΠΏΠ΅ΡΡΠΎΠ½Π°Π»ΡΠ½ΡΠΌ Π΄Π°Π½Π½ΡΠΌ ΡΡΠ΅ΡΡΠΈΡ
Π»ΠΈΡ ΠΈ ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΉ. ΠΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ Π²Π·ΡΡΠ° Π»ΠΈΠ±ΠΎ ΠΈΠ· ΠΎΡΠΊΡΡΡΡΡ
ΠΈΡΡΠΎΡΠ½ΠΈΠΊΠΎΠ², Π»ΠΈΠ±ΠΎ Π±ΡΠ»Π° ΠΏΡΠ΅Π΄ΠΎΡΡΠ°Π²Π»Π΅Π½Π° Π°Π²ΡΠΎΡΡ Π°Π½ΠΎΠ½ΠΈΠΌΠ½ΡΠΌΠΈ Π΄ΠΎΠ±ΡΠΎΠΆΠ΅Π»Π°ΡΠ΅Π»ΡΠΌΠΈ.
Kesi ya kwanza. "Radario"
Jioni ya tarehe 06.05.2019/XNUMX/XNUMX mfumo wetu , inayomilikiwa na huduma ya mauzo ya tikiti za kielektroniki Radario.
Kulingana na mila ya kusikitisha iliyoanzishwa tayari, seva ilikuwa na kumbukumbu za kina za mfumo wa habari wa huduma, ambayo iliwezekana kupata data ya kibinafsi, logi za watumiaji na nywila, na tikiti za elektroniki zenyewe kwa hafla anuwai nchini kote.
Jumla ya ujazo wa kumbukumbu ulizidi TB 1.
Kulingana na injini ya utaftaji ya Shodan, seva imekuwa ikipatikana hadharani tangu Machi 11.03.2019, 06.05.2019. Niliarifu wafanyakazi wa Radario tarehe 22/50/07.05.2019 saa 09:30 (MSK) na tarehe XNUMX/XNUMX/XNUMX takriban saa XNUMX:XNUMX seva haikupatikana.
Kumbukumbu hizo zilikuwa na tokeni ya uidhinishaji ya jumla (moja), ikitoa ufikiaji kwa tikiti zote zilizonunuliwa kupitia viungo maalum, kama vile:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkShida pia ilikuwa kwamba kuhesabu tikiti, nambari zinazoendelea za maagizo zilitumika na uorodheshaji rahisi wa nambari ya tikiti (XXXXXXXX) au kuagiza (YYYYYYY), iliwezekana kupata tikiti zote kutoka kwa mfumo.
Ili kuangalia umuhimu wa hifadhidata, hata kwa uaminifu nilijinunulia tikiti ya bei rahisi zaidi:
na baadaye akaipata kwenye seva ya umma kwenye magogo ya IS:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkKando, ningependa kusisitiza kwamba tikiti zilipatikana kwa hafla ambazo tayari zimefanyika na kwa zile ambazo bado zinapangwa. Hiyo ni, mshambuliaji anayewezekana anaweza kutumia tikiti ya mtu mwingine kuingia tukio lililopangwa.
Kwa wastani, kila faharisi ya Elasticsearch iliyo na kumbukumbu kwa siku moja maalum (kuanzia tarehe 24.01.2019/07.05.2019/25 hadi 35/XNUMX/XNUMX) iliyo na tikiti elfu XNUMX hadi XNUMX.
Mbali na tikiti zenyewe, faharasa ilikuwa na kumbukumbu (anwani za barua pepe) na nywila za maandishi kwa ufikiaji wa akaunti za kibinafsi za washirika wa Radario ambao huuza tikiti za hafla zao kupitia huduma hii:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"Kwa jumla, zaidi ya jozi 500 za kuingia/nenosiri ziligunduliwa. Takwimu za mauzo ya tikiti zinaonekana katika akaunti za kibinafsi za washirika:
Pia majina, nambari za simu na anwani za barua pepe za wanunuzi ambao waliamua kurudisha tikiti zilizonunuliwa hapo awali zilipatikana hadharani:
"Content": "{"name":"***","surname":"*** ","middleName":"ΠΠ²Π³Π΅Π½ΡΠ΅Π²Π½Π° ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"Katika siku moja iliyochaguliwa kwa nasibu, zaidi ya rekodi 500 kama hizo ziligunduliwa.
Nilipokea jibu kwa tahadhari kutoka kwa mkurugenzi wa kiufundi wa Radario:
Mimi ni mkurugenzi wa kiufundi wa Radario na ningependa kukushukuru kwa kutambua tatizo. Kama unavyojua, tumefunga ufikiaji wa elastic na tunasuluhisha suala la kutoa tena tikiti kwa wateja.
Baadaye kidogo, kampuni ilitoa taarifa rasmi:
Udhaifu uligunduliwa katika mfumo wa uuzaji wa tikiti za elektroniki za Radario na kusahihishwa mara moja, ambayo inaweza kusababisha uvujaji wa data kutoka kwa wateja wa huduma hiyo, mkurugenzi wa uuzaji wa kampuni hiyo, Kirill Malyshev, aliliambia Shirika la Habari la Jiji la Moscow.
"Kwa kweli tuligundua udhaifu katika utendakazi wa mfumo unaohusishwa na masasisho ya mara kwa mara, ambayo yalisasishwa mara tu baada ya kugunduliwa. Kama matokeo ya mazingira magumu, chini ya hali fulani, vitendo visivyo vya kirafiki vya wahusika wengine vinaweza kusababisha kuvuja kwa data, lakini hakuna matukio yaliyorekodiwa. Kwa sasa, makosa yote yameondolewa, "alisema K. Malyshev.
Mwakilishi wa kampuni alisisitiza kuwa iliamuliwa kutoa tena tikiti zote zilizouzwa wakati wa suluhisho la shida ili kuondoa kabisa uwezekano wa udanganyifu wowote dhidi ya wateja wa huduma.
Siku chache baadaye, niliangalia upatikanaji wa data kwa kutumia viungo vilivyovuja - ufikiaji wa tikiti "zilizowekwa wazi" ulilindwa. Kwa maoni yangu, hii ni mbinu yenye uwezo, ya kitaaluma ya kutatua tatizo la uvujaji wa data.
Kesi ya pili. "Fly.ru"
Mapema asubuhi 15.05.2019/XNUMX/XNUMX Akili ya Uvunjaji Data ya Kifaa ilitambua seva ya umma ya Elasticsearch yenye kumbukumbu za IS fulani.
Baadaye ilianzishwa kuwa seva ni ya huduma ya uteuzi wa watalii "Sletat.ru".
Kutoka index cbto__0 iliwezekana kupata maelfu (11,7 elfu ikijumuisha nakala) za anwani za barua pepe, pamoja na habari fulani ya malipo (gharama za ziara) na data ya watalii (wakati, wapi, maelezo ya tikiti ya ndege. Kila wasafiri waliojumuishwa kwenye ziara, n.k.) kwa kiasi cha rekodi elfu 1,8:
"full_message": "ΠΠΎΠ»ΡΡΠ΅Π½ Π·Π°ΠΏΡΠΎΡ Π·Π° ΡΠΎΠ·Π΄Π°Π½ΠΈΠ΅ ΠΏΠ»Π°ΡΠ΅ΠΆΠ½ΠΎΠ³ΠΎ ΡΡΠ΅Π΄ΡΡΠ²Π°: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"Kwa njia, viungo vya ziara za kulipwa vinafanya kazi kabisa:
Katika faharisi zilizo na jina kijivu_ kwa maandishi wazi kulikuwa na logi na nywila za mashirika ya kusafiri yaliyounganishwa kwenye mfumo wa Sletat.ru na uuzaji wa ziara kwa wateja wao:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."Kulingana na makadirio yangu, mia kadhaa ya jozi za kuingia/nenosiri zilionyeshwa.
Kutoka kwa akaunti ya kibinafsi ya wakala wa usafiri kwenye lango wakala.sletat.ru iliwezekana kupata data ya mteja, ikijumuisha nambari za pasipoti, pasipoti za kimataifa, tarehe za kuzaliwa, majina kamili, nambari za simu na anwani za barua pepe.
Niliarifu huduma ya Sletat.ru mnamo 15.05.2019/10/46 saa 16:00 (MSK) na saa chache baadaye (hadi XNUMX:XNUMX) ilitoweka kutoka kwa ufikiaji wao bila malipo. Baadaye, kujibu uchapishaji katika Kommersant, wasimamizi wa huduma hiyo walitoa taarifa ya kushangaza sana kupitia vyombo vya habari:
Mkuu wa kampuni hiyo, Andrei Vershinin, alieleza kuwa Sletat.ru hutoa idadi ya waendeshaji watalii wakuu wa washirika kupata historia ya maswali katika injini ya utaftaji. Na alidhani kwamba DeviceLock iliipokea: "Walakini, hifadhidata iliyoainishwa haina data ya pasipoti ya watalii, kumbukumbu za wakala wa kusafiri na nywila, habari ya malipo, nk." Andrei Vershinin alibaini kuwa Sletat.ru bado haijapokea ushahidi wowote wa tuhuma hizo nzito. βSasa tunajaribu kuwasiliana na DeviceLock. Tunaamini kwamba hii ni amri. Watu wengine hawapendi ukuaji wetu wa haraka, "aliongeza. "
Kama inavyoonyeshwa hapo juu, logi, nywila na data ya pasipoti ya watalii ilikuwa kwenye kikoa cha umma kwa muda mrefu (angalau tangu Machi 29.03.2019, XNUMX, wakati seva ya kampuni hiyo ilirekodiwa kwa mara ya kwanza kwenye kikoa cha umma na injini ya utaftaji ya Shodan). Bila shaka, hakuna mtu aliyewasiliana nasi. Ninatumai kwamba angalau waliarifu mashirika ya usafiri kuhusu uvujaji huo na kuwalazimisha kubadilisha nywila zao.
Habari kuhusu uvujaji wa habari na watu wa ndani zinaweza kupatikana kila wakati kwenye chaneli yangu ya Telegraph "'.
Chanzo: mapenzi.com