இன்று நாம் ஒரே நேரத்தில் இரண்டு நிகழ்வுகளைப் பார்ப்போம் - முற்றிலும் மாறுபட்ட இரண்டு நிறுவனங்களின் வாடிக்கையாளர்கள் மற்றும் கூட்டாளர்களின் தரவு இந்த நிறுவனங்களின் தகவல் அமைப்புகளின் (IS) பதிவுகளுடன் திறந்த எலாஸ்டிக் தேடல் சேவையகங்களுக்கு "நன்றி" இலவசமாகக் கிடைத்தது.
முதல் வழக்கில், இவை ரேடாரியோ அமைப்பின் மூலம் விற்கப்படும் பல்வேறு கலாச்சார நிகழ்வுகளுக்கான (தியேட்டர்கள், கிளப்புகள், நதி பயணங்கள் போன்றவை) பல்லாயிரக்கணக்கான (மற்றும் நூறாயிரக்கணக்கான) டிக்கெட்டுகள் (www.radario.ru).
இரண்டாவது வழக்கில், இது Sletat.ru அமைப்புடன் இணைக்கப்பட்ட பயண முகமைகள் மூலம் சுற்றுப்பயணங்களை வாங்கிய ஆயிரக்கணக்கான பயணிகளின் (ஒருவேளை பல பல்லாயிரக்கணக்கான) சுற்றுலா பயணங்களின் தரவு (www.sletat.ru).
தரவு பொதுவில் கிடைக்க அனுமதித்த நிறுவனங்களின் பெயர்கள் மட்டுமல்ல, இந்த சம்பவத்தை அங்கீகரிப்பதில் இந்த நிறுவனங்களின் அணுகுமுறையும் அதற்குப் பின் வரும் எதிர்வினையும் வேறுபடுகின்றன என்பதை இப்போதே கவனிக்க விரும்புகிறேன். ஆனால் முதல் விஷயங்கள் முதலில்…
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
வழக்கு ஒன்று. "ரேடாரியோ"
06.05.2019/XNUMX/XNUMX அன்று மாலை எங்கள் அமைப்பு
ஏற்கனவே நிறுவப்பட்ட சோகமான பாரம்பரியத்தின் படி, சேவையகத்தில் சேவையின் தகவல் அமைப்பின் விரிவான பதிவுகள் உள்ளன, அதில் இருந்து தனிப்பட்ட தரவு, பயனர் உள்நுழைவுகள் மற்றும் கடவுச்சொற்கள் மற்றும் நாடு முழுவதும் பல்வேறு நிகழ்வுகளுக்கான மின்னணு டிக்கெட்டுகளைப் பெற முடிந்தது.
பதிவுகளின் மொத்த அளவு 1 TBஐ தாண்டியது.
ஷோடான் தேடுபொறியின் படி, சர்வர் மார்ச் 11.03.2019, 06.05.2019 முதல் பொதுவில் கிடைக்கிறது. Radario ஊழியர்களுக்கு 22/50/07.05.2019 அன்று 09:30 (MSK) மணிக்குத் தெரிவித்தேன், XNUMX/XNUMX/XNUMX அன்று சுமார் XNUMX:XNUMX மணிக்கு சர்வர் கிடைக்கவில்லை.
பதிவுகளில் ஒரு உலகளாவிய (ஒற்றை) அங்கீகார டோக்கன் உள்ளது, இது போன்ற சிறப்பு இணைப்புகள் மூலம் வாங்கிய அனைத்து டிக்கெட்டுகளுக்கும் அணுகலை வழங்குகிறது:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
சிக்கல் என்னவென்றால், டிக்கெட்டுகளைக் கணக்கிட, ஆர்டர்களின் தொடர்ச்சியான எண் பயன்படுத்தப்பட்டது மற்றும் டிக்கெட் எண்ணின் எளிய கணக்கீடு (XXXXXXXX) அல்லது ஆர்டர் (YYYYYY), கணினியிலிருந்து அனைத்து டிக்கெட்டுகளையும் பெற முடிந்தது.
தரவுத்தளத்தின் பொருத்தத்தை சரிபார்க்க, நான் நேர்மையாக மலிவான டிக்கெட்டை வாங்கினேன்:
பின்னர் IS பதிவுகளில் உள்ள பொது சேவையகத்தில் அதைக் கண்டேன்:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
தனித்தனியாக, ஏற்கனவே நடந்த நிகழ்வுகளுக்கும் இன்னும் திட்டமிடப்பட்ட நிகழ்வுகளுக்கும் டிக்கெட்டுகள் உள்ளன என்பதை நான் வலியுறுத்த விரும்புகிறேன். அதாவது, திட்டமிடப்பட்ட நிகழ்வில் நுழைவதற்கு சாத்தியமான தாக்குபவர் வேறொருவரின் டிக்கெட்டைப் பயன்படுத்தலாம்.
சராசரியாக, ஒரு குறிப்பிட்ட நாளுக்கான (24.01.2019/07.05.2019/25 முதல் 35/XNUMX/XNUMX வரை) பதிவுகளைக் கொண்ட ஒவ்வொரு Elasticsearch இன்டெக்ஸிலும் XNUMX முதல் XNUMX ஆயிரம் டிக்கெட்டுகள் உள்ளன.
டிக்கெட்டுகளுக்கு கூடுதலாக, குறியீட்டில் உள்நுழைவுகள் (மின்னஞ்சல் முகவரிகள்) மற்றும் இந்த சேவையின் மூலம் தங்கள் நிகழ்வுகளுக்கு டிக்கெட்டுகளை விற்கும் ரேடாரியோ கூட்டாளர்களின் தனிப்பட்ட கணக்குகளை அணுகுவதற்கான உரை கடவுச்சொற்கள் உள்ளன:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"
மொத்தத்தில், 500க்கும் மேற்பட்ட உள்நுழைவு/கடவுச்சொல் ஜோடிகள் கண்டறியப்பட்டன. கூட்டாளர்களின் தனிப்பட்ட கணக்குகளில் டிக்கெட் விற்பனை புள்ளிவிவரங்கள் தெரியும்:
முன்பு வாங்கிய டிக்கெட்டுகளைத் திருப்பித் தர முடிவு செய்த வாங்குபவர்களின் பெயர்கள், தொலைபேசி எண்கள் மற்றும் மின்னஞ்சல் முகவரிகள் ஆகியவை பொதுவில் கிடைக்கின்றன:
"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"
தோராயமாக தேர்ந்தெடுக்கப்பட்ட ஒரு நாளில், இதுபோன்ற 500 க்கும் மேற்பட்ட பதிவுகள் கண்டுபிடிக்கப்பட்டன.
ரேடாரியோவின் தொழில்நுட்ப இயக்குனரிடமிருந்து எச்சரிக்கைக்கான பதிலைப் பெற்றேன்:
நான் ரேடாரியோவின் தொழில்நுட்ப இயக்குநராக இருக்கிறேன், சிக்கலைக் கண்டறிந்ததற்கு நன்றி சொல்ல விரும்புகிறேன். உங்களுக்குத் தெரியும், எலாஸ்டிக் அணுகலை நாங்கள் மூடிவிட்டோம், மேலும் வாடிக்கையாளர்களுக்கான டிக்கெட்டுகளை மீண்டும் வழங்குவதில் உள்ள சிக்கலைத் தீர்த்து வருகிறோம்.
சிறிது நேரம் கழித்து நிறுவனம் ஒரு அதிகாரப்பூர்வ அறிக்கையை வெளியிட்டது:
ரேடாரியோ எலக்ட்ரானிக் டிக்கெட் விற்பனை அமைப்பில் ஒரு பாதிப்பு கண்டறியப்பட்டது மற்றும் உடனடியாக சரி செய்யப்பட்டது, இது சேவையின் வாடிக்கையாளர்களிடமிருந்து தரவு கசிவுக்கு வழிவகுக்கும் என்று நிறுவனத்தின் சந்தைப்படுத்தல் இயக்குனர் கிரில் மாலிஷேவ் மாஸ்கோ நகர செய்தி நிறுவனத்திடம் தெரிவித்தார்.
"வழக்கமான புதுப்பிப்புகளுடன் தொடர்புடைய கணினி செயல்பாட்டில் ஒரு பாதிப்பை நாங்கள் உண்மையில் கண்டுபிடித்தோம், இது கண்டுபிடிக்கப்பட்ட உடனேயே சரி செய்யப்பட்டது. பாதிப்பின் விளைவாக, சில நிபந்தனைகளின் கீழ், மூன்றாம் தரப்பினரின் நட்பற்ற செயல்கள் தரவு கசிவுக்கு வழிவகுக்கும், ஆனால் சம்பவங்கள் எதுவும் பதிவு செய்யப்படவில்லை. தற்போது அனைத்து தோஷங்களும் களையப்பட்டுவிட்டன” என்று கே.மாலிஷேவ் கூறினார்.
சேவை வாடிக்கையாளர்களுக்கு எதிரான எந்தவொரு மோசடியின் சாத்தியத்தையும் முற்றிலுமாக அகற்றுவதற்காக, பிரச்சனைக்கான தீர்வின் போது விற்கப்பட்ட அனைத்து டிக்கெட்டுகளையும் மீண்டும் வெளியிட முடிவு செய்யப்பட்டுள்ளதாக ஒரு நிறுவனத்தின் பிரதிநிதி வலியுறுத்தினார்.
சில நாட்களுக்குப் பிறகு, கசிந்த இணைப்புகளைப் பயன்படுத்தி தரவு கிடைப்பதை நான் சரிபார்த்தேன் - "வெளிப்படுத்தப்பட்ட" டிக்கெட்டுகளுக்கான அணுகல் உண்மையில் உள்ளடக்கப்பட்டது. என் கருத்துப்படி, தரவு கசிவு சிக்கலைத் தீர்ப்பதற்கான திறமையான, தொழில்முறை அணுகுமுறை இதுவாகும்.
வழக்கு இரண்டு. "Fly.ru"
15.05.2019/XNUMX/XNUMX அதிகாலை DeviceLock தரவு மீறல் நுண்ணறிவு ஒரு குறிப்பிட்ட IS இன் பதிவுகளுடன் பொது மீள் தேடல் சேவையகத்தை அடையாளம் கண்டுள்ளது.
சேவையகம் சுற்றுப்பயண தேர்வு சேவையான “Sletat.ru” க்கு சொந்தமானது என்று பின்னர் நிறுவப்பட்டது.
குறியீட்டிலிருந்து cbto__0 ஆயிரக்கணக்கான (நகல்கள் உட்பட 11,7 ஆயிரம்) மின்னஞ்சல் முகவரிகள் மற்றும் சில கட்டணத் தகவல் (சுற்றுப்பயணச் செலவுகள்) மற்றும் சுற்றுப்பயணத் தரவு (எப்போது, எங்கே, விமான டிக்கெட் விவரங்கள்) ஆகியவற்றைப் பெற முடிந்தது. всех சுற்றுப்பயணத்தில் சேர்க்கப்பட்ட பயணிகள், முதலியன) சுமார் 1,8 ஆயிரம் பதிவுகள்:
"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"
மூலம், கட்டண சுற்றுப்பயணங்களுக்கான இணைப்புகள் நன்றாக வேலை செய்கின்றன:
பெயருடன் குறியீடுகளில் கிரேலாக்_ தெளிவான உரையில் Sletat.ru அமைப்புடன் இணைக்கப்பட்ட பயண முகமைகளின் உள்நுழைவுகள் மற்றும் கடவுச்சொற்கள் மற்றும் அவர்களின் வாடிக்கையாளர்களுக்கு சுற்றுப்பயணங்களை விற்பனை செய்தன:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."
По моим прикидкам засветилось несколько сотен пар логин/пароль.
போர்ட்டலில் உள்ள பயண நிறுவனத்தின் தனிப்பட்ட கணக்கிலிருந்து agent.sletat.ru பாஸ்போர்ட் எண்கள், சர்வதேச கடவுச்சீட்டுகள், பிறந்த தேதிகள், முழுப் பெயர்கள், தொலைபேசி எண்கள் மற்றும் மின்னஞ்சல் முகவரிகள் உட்பட வாடிக்கையாளர் தரவைப் பெற முடிந்தது.
Sletat.ru சேவையை 15.05.2019/10/46 அன்று 16:00 (MSK) மணிக்கு தெரிவித்தேன், சில மணிநேரங்களுக்குப் பிறகு (XNUMX:XNUMX வரை) அது அவர்களின் இலவச அணுகலில் இருந்து மறைந்து விட்டது. பின்னர், Kommersant இல் வெளியிடப்பட்டதற்கு பதிலளிக்கும் விதமாக, சேவையின் நிர்வாகம் ஊடகங்கள் மூலம் மிகவும் விசித்திரமான அறிக்கையை வெளியிட்டது:
தேடுபொறியில் உள்ள வினவல்களின் வரலாற்றை அணுகக்கூடிய பல முக்கிய கூட்டாளர் டூர் ஆபரேட்டர்களை Sletat.ru வழங்குகிறது என்று நிறுவனத்தின் தலைவர் ஆண்ட்ரி வெர்ஷினின் விளக்கினார். DeviceLock அதைப் பெற்றதாக அவர் கருதினார்: "இருப்பினும், குறிப்பிட்ட தரவுத்தளத்தில் சுற்றுலாப் பயணிகளின் பாஸ்போர்ட் தரவு, பயண முகவர் உள்நுழைவுகள் மற்றும் கடவுச்சொற்கள், கட்டணத் தகவல் போன்றவை இல்லை." அத்தகைய கடுமையான குற்றச்சாட்டுகளுக்கு Sletat.ru இதுவரை எந்த ஆதாரத்தையும் பெறவில்லை என்று Andrei Vershinin குறிப்பிட்டார். "நாங்கள் இப்போது DeviceLock ஐ தொடர்பு கொள்ள முயற்சிக்கிறோம். இது ஒரு உத்தரவு என்று நாங்கள் நம்புகிறோம். எங்களின் விரைவான வளர்ச்சியை சிலர் விரும்புவதில்லை, ”என்று அவர் மேலும் கூறினார். "
மேலே காட்டப்பட்டுள்ளபடி, சுற்றுலாப் பயணிகளின் உள்நுழைவுகள், கடவுச்சொற்கள் மற்றும் பாஸ்போர்ட் தரவு ஆகியவை நீண்ட காலமாக பொது களத்தில் இருந்தன (குறைந்தபட்சம் மார்ச் 29.03.2019, XNUMX முதல், ஷோடான் தேடுபொறி மூலம் நிறுவனத்தின் சேவையகம் பொது களத்தில் பதிவுசெய்யப்பட்டது). நிச்சயமாக, யாரும் எங்களை தொடர்பு கொள்ளவில்லை. குறைந்த பட்சம் அவர்கள் கசிவு பற்றி பயண நிறுவனங்களுக்கு அறிவித்து தங்கள் கடவுச்சொற்களை மாற்றும்படி கட்டாயப்படுத்தினர் என்று நம்புகிறேன்.
தகவல் கசிவுகள் மற்றும் உள்நாட்டவர்கள் பற்றிய செய்திகளை எனது டெலிகிராம் சேனலில் எப்போதும் காணலாம் "
ஆதாரம்: www.habr.com