ఈ రోజు మనం ఒకేసారి రెండు కేసులను పరిశీలిస్తాము - రెండు పూర్తిగా భిన్నమైన కంపెనీల క్లయింట్లు మరియు భాగస్వాముల డేటా ఈ కంపెనీల సమాచార వ్యవస్థల (IS) లాగ్లతో ఓపెన్ సాగే శోధన సర్వర్లకు “ధన్యవాదాలు” ఉచితంగా అందుబాటులో ఉంది.
మొదటి సందర్భంలో, ఇవి రాడారియో సిస్టమ్ ద్వారా విక్రయించబడిన వివిధ సాంస్కృతిక కార్యక్రమాల (థియేటర్లు, క్లబ్లు, రివర్ ట్రిప్లు మొదలైనవి) కోసం పదివేల (మరియు బహుశా వందల వేల) టిక్కెట్లు (www.radario.ru).
రెండవ సందర్భంలో, ఇది Sletat.ru సిస్టమ్కి అనుసంధానించబడిన ట్రావెల్ ఏజెన్సీల ద్వారా పర్యటనలను కొనుగోలు చేసిన వేలాది మంది (బహుశా అనేక పదుల వేల మంది) పర్యాటక పర్యటనల డేటా (www.sletat.ru).
డేటాను పబ్లిక్గా అందుబాటులో ఉంచడానికి అనుమతించిన కంపెనీల పేర్లు మాత్రమే కాకుండా, సంఘటనను గుర్తించే ఈ కంపెనీల విధానం మరియు దానికి తదుపరి ప్రతిస్పందన కూడా భిన్నంగా ఉన్నాయని నేను వెంటనే గమనించాలనుకుంటున్నాను. కానీ మొదటి విషయాలు మొదట…
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
కేసు ఒకటి. "రాడారియో"
06.05.2019/XNUMX/XNUMX సాయంత్రం మా సిస్టమ్
ఇప్పటికే స్థాపించబడిన విచారకరమైన సంప్రదాయం ప్రకారం, సర్వర్ సేవ యొక్క సమాచార వ్యవస్థ యొక్క వివరణాత్మక లాగ్లను కలిగి ఉంది, దీని నుండి వ్యక్తిగత డేటా, వినియోగదారు లాగిన్లు మరియు పాస్వర్డ్లు, అలాగే దేశవ్యాప్తంగా వివిధ ఈవెంట్ల కోసం ఎలక్ట్రానిక్ టిక్కెట్లను పొందడం సాధ్యమవుతుంది.
లాగ్ల మొత్తం వాల్యూమ్ 1 TBని మించిపోయింది.
షోడాన్ శోధన ఇంజిన్ ప్రకారం, సర్వర్ మార్చి 11.03.2019, 06.05.2019 నుండి పబ్లిక్గా అందుబాటులో ఉంది. నేను 22/50/07.05.2019న 09:30 (MSK)కి Radario ఉద్యోగులకు తెలియజేశాను మరియు XNUMX/XNUMX/XNUMXన XNUMX:XNUMXకి సర్వర్ అందుబాటులోకి రాలేదు.
లాగ్లు సార్వత్రిక (ఒకే) అధికార టోకెన్ను కలిగి ఉన్నాయి, ప్రత్యేక లింక్ల ద్వారా కొనుగోలు చేసిన అన్ని టిక్కెట్లకు యాక్సెస్ను అందిస్తుంది:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
సమస్య ఏమిటంటే, టిక్కెట్లను లెక్కించడానికి, ఆర్డర్ల నిరంతర సంఖ్యను ఉపయోగించారు మరియు టిక్కెట్ నంబర్ యొక్క సాధారణ గణన (XXXXXXXX) లేదా ఆర్డర్ (YYYYYY), సిస్టమ్ నుండి అన్ని టిక్కెట్లను పొందడం సాధ్యమైంది.
డేటాబేస్ యొక్క ఔచిత్యాన్ని తనిఖీ చేయడానికి, నేను నిజాయితీగా చౌకైన టిక్కెట్ను కూడా కొనుగోలు చేసాను:
మరియు తర్వాత IS లాగ్లలో పబ్లిక్ సర్వర్లో కనుగొనబడింది:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
విడిగా, ఇప్పటికే జరిగిన ఈవెంట్లకు మరియు ఇంకా ప్లాన్ చేస్తున్న వాటికి టిక్కెట్లు అందుబాటులో ఉన్నాయని నేను నొక్కి చెప్పాలనుకుంటున్నాను. అంటే, సంభావ్య దాడి చేసే వ్యక్తి ప్రణాళికాబద్ధమైన ఈవెంట్లోకి ప్రవేశించడానికి వేరొకరి టిక్కెట్ను ఉపయోగించవచ్చు.
సగటున, ఒక నిర్దిష్ట రోజు (24.01.2019/07.05.2019/25 నుండి 35/XNUMX/XNUMX వరకు) లాగ్లను కలిగి ఉన్న ప్రతి సాగే శోధన సూచిక XNUMX నుండి XNUMX వేల టిక్కెట్లను కలిగి ఉంటుంది.
టిక్కెట్లతో పాటు, ఈ సేవ ద్వారా వారి ఈవెంట్లకు టిక్కెట్లను విక్రయించే Radario భాగస్వాముల వ్యక్తిగత ఖాతాలకు ప్రాప్యత కోసం సూచిక లాగిన్లు (ఇమెయిల్ చిరునామాలు) మరియు టెక్స్ట్ పాస్వర్డ్లను కలిగి ఉంది:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"
మొత్తంగా, 500 కంటే ఎక్కువ లాగిన్/పాస్వర్డ్ జతలు కనుగొనబడ్డాయి. భాగస్వాముల వ్యక్తిగత ఖాతాలలో టిక్కెట్ విక్రయాల గణాంకాలు కనిపిస్తాయి:
గతంలో కొనుగోలు చేసిన టిక్కెట్లను తిరిగి ఇవ్వాలని నిర్ణయించుకున్న కొనుగోలుదారుల పేర్లు, ఫోన్ నంబర్లు మరియు ఇమెయిల్ చిరునామాలు కూడా పబ్లిక్గా అందుబాటులో ఉన్నాయి:
"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"
యాదృచ్ఛికంగా ఎంచుకున్న ఒక రోజులో, అటువంటి 500 కంటే ఎక్కువ రికార్డులు కనుగొనబడ్డాయి.
నేను Radario యొక్క సాంకేతిక డైరెక్టర్ నుండి హెచ్చరికకు ప్రతిస్పందనను అందుకున్నాను:
నేను Radario యొక్క సాంకేతిక దర్శకుడిని మరియు సమస్యను గుర్తించినందుకు మీకు ధన్యవాదాలు తెలియజేస్తున్నాను. మీకు తెలిసినట్లుగా, మేము సాగే యాక్సెస్ని మూసివేసాము మరియు క్లయింట్ల కోసం టిక్కెట్లను మళ్లీ జారీ చేసే సమస్యను పరిష్కరిస్తున్నాము.
కొద్దిసేపటి తర్వాత కంపెనీ అధికారిక ప్రకటన చేసింది:
రాడారియో ఎలక్ట్రానిక్ టిక్కెట్ విక్రయ వ్యవస్థలో ఒక దుర్బలత్వం కనుగొనబడింది మరియు తక్షణమే సరిదిద్దబడింది, ఇది సేవ యొక్క క్లయింట్ల నుండి డేటా లీక్కు దారితీయవచ్చు, కంపెనీ మార్కెటింగ్ డైరెక్టర్, కిరిల్ మలిషెవ్, మాస్కో సిటీ న్యూస్ ఏజెన్సీకి చెప్పారు.
“సాధారణ అప్డేట్లతో అనుబంధించబడిన సిస్టమ్ ఆపరేషన్లో మేము నిజంగా దుర్బలత్వాన్ని కనుగొన్నాము, ఇది కనుగొనబడిన వెంటనే పరిష్కరించబడింది. దుర్బలత్వం ఫలితంగా, కొన్ని షరతులలో, మూడవ పక్షాల స్నేహపూర్వక చర్యలు డేటా లీకేజీకి దారితీయవచ్చు, కానీ ఎటువంటి సంఘటనలు నమోదు కాలేదు. ప్రస్తుతానికి, అన్ని లోపాలు తొలగించబడ్డాయి, ”అని కె. మలిషేవ్ అన్నారు.
సర్వీస్ క్లయింట్లకు వ్యతిరేకంగా ఏదైనా మోసం జరిగే అవకాశాన్ని పూర్తిగా తొలగించడానికి సమస్య పరిష్కార సమయంలో విక్రయించిన అన్ని టిక్కెట్లను తిరిగి జారీ చేయాలని నిర్ణయించినట్లు కంపెనీ ప్రతినిధి నొక్కిచెప్పారు.
కొన్ని రోజుల తర్వాత, నేను లీక్ అయిన లింక్లను ఉపయోగించి డేటా లభ్యతను తనిఖీ చేసాను - “బహిర్గతం” టిక్కెట్లకు యాక్సెస్ నిజానికి కవర్ చేయబడింది. నా అభిప్రాయం ప్రకారం, డేటా లీకేజీ సమస్యను పరిష్కరించడానికి ఇది సమర్థవంతమైన, వృత్తిపరమైన విధానం.
కేసు రెండు. "Fly.ru"
15.05.2019/XNUMX/XNUMX తెల్లవారుజామున DeviceLock డేటా ఉల్లంఘన మేధస్సు నిర్దిష్ట IS యొక్క లాగ్లతో పబ్లిక్ సాగే శోధన సర్వర్ను గుర్తించింది.
సర్వర్ టూర్ ఎంపిక సేవ “Sletat.ru”కి చెందినదని తరువాత నిర్ధారించబడింది.
సూచిక నుండి cbto__0 వేలాది (నకిలీలతో సహా 11,7 వేలు) ఇమెయిల్ చిరునామాలు, అలాగే కొంత చెల్లింపు సమాచారం (పర్యటన ఖర్చులు) మరియు పర్యటన డేటా (ఎప్పుడు, ఎక్కడ, విమాన టిక్కెట్ వివరాలను పొందడం సాధ్యమైంది. всех టూర్లో చేర్చబడిన ప్రయాణికులు మొదలైనవి) సుమారు 1,8 వేల రికార్డుల మొత్తంలో:
"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"
మార్గం ద్వారా, చెల్లింపు పర్యటనల లింక్లు చాలా పని చేస్తున్నాయి:
పేరుతో సూచికలలో గ్రేలాగ్_ స్పష్టమైన వచనంలో Sletat.ru సిస్టమ్కు కనెక్ట్ చేయబడిన ట్రావెల్ ఏజెన్సీల లాగిన్లు మరియు పాస్వర్డ్లు మరియు వారి క్లయింట్లకు టూర్లను అమ్మడం:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."
నా అంచనాల ప్రకారం, అనేక వందల లాగిన్/పాస్వర్డ్ జతలు ప్రదర్శించబడ్డాయి.
పోర్టల్లోని ట్రావెల్ ఏజెన్సీ యొక్క వ్యక్తిగత ఖాతా నుండి agent.sletat.ru పాస్పోర్ట్ నంబర్లు, అంతర్జాతీయ పాస్పోర్ట్లు, పుట్టిన తేదీలు, పూర్తి పేర్లు, టెలిఫోన్ నంబర్లు మరియు ఇమెయిల్ చిరునామాలతో సహా కస్టమర్ డేటాను పొందడం సాధ్యమైంది.
నేను 15.05.2019/10/46న 16:00 (MSK)కి Sletat.ru సేవకు తెలియజేసాను మరియు కొన్ని గంటల తర్వాత (XNUMX:XNUMX వరకు) అది వారి ఉచిత యాక్సెస్ నుండి అదృశ్యమైంది. తరువాత, కొమ్మర్సంట్లో ప్రచురణకు ప్రతిస్పందనగా, సర్వీస్ మేనేజ్మెంట్ మీడియా ద్వారా చాలా విచిత్రమైన ప్రకటన చేసింది:
సెర్చ్ ఇంజిన్లోని ప్రశ్నల చరిత్రకు ప్రాప్యతతో Sletat.ru అనేక ప్రధాన భాగస్వామి టూర్ ఆపరేటర్లను అందిస్తుంది అని కంపెనీ అధిపతి ఆండ్రీ వెర్షినిన్ వివరించారు. మరియు డివైస్లాక్ దానిని స్వీకరించిందని అతను ఊహించాడు: "అయితే, పేర్కొన్న డేటాబేస్లో పర్యాటకుల పాస్పోర్ట్ డేటా, ట్రావెల్ ఏజెన్సీ లాగిన్లు మరియు పాస్వర్డ్లు, చెల్లింపు సమాచారం మొదలైనవి లేవు." ఆండ్రీ వెర్షినిన్ Sletat.ru అటువంటి తీవ్రమైన ఆరోపణలకు ఇంకా ఎటువంటి ఆధారాలు అందుకోలేదని పేర్కొన్నారు. “మేము ఇప్పుడు DeviceLockని సంప్రదించడానికి ప్రయత్నిస్తున్నాము. ఇది ఒక ఆర్డర్ అని మేము నమ్ముతున్నాము. మా వేగవంతమైన వృద్ధిని కొంతమంది ఇష్టపడరు, ”అన్నారాయన. "
పైన చూపిన విధంగా, పర్యాటకుల లాగిన్లు, పాస్వర్డ్లు మరియు పాస్పోర్ట్ డేటా చాలా కాలం పాటు పబ్లిక్ డొమైన్లో ఉన్నాయి (కనీసం మార్చి 29.03.2019, XNUMX నుండి, కంపెనీ సర్వర్ మొదటిసారిగా షోడాన్ సెర్చ్ ఇంజిన్ పబ్లిక్ డొమైన్లో రికార్డ్ చేయబడినప్పటి నుండి). వాస్తవానికి, ఎవరూ మమ్మల్ని సంప్రదించలేదు. లీక్ గురించి కనీసం వారు ట్రావెల్ ఏజెన్సీలకు తెలియజేసి, వారి పాస్వర్డ్లను మార్చమని బలవంతం చేస్తారని నేను ఆశిస్తున్నాను.
ఇన్ఫర్మేషన్ లీక్లు మరియు ఇన్సైడర్ల గురించిన వార్తలు ఎల్లప్పుడూ నా టెలిగ్రామ్ ఛానెల్లో చూడవచ్చు "
మూలం: www.habr.com