ఒకటిలో రెండు: పర్యాటక డేటా మరియు సాంస్కృతిక కార్యక్రమాల టిక్కెట్‌లు పబ్లిక్‌గా అందుబాటులో ఉన్నాయి

ఈ రోజు మనం ఒకేసారి రెండు కేసులను పరిశీలిస్తాము - రెండు పూర్తిగా భిన్నమైన కంపెనీల క్లయింట్లు మరియు భాగస్వాముల డేటా ఈ కంపెనీల సమాచార వ్యవస్థల (IS) లాగ్‌లతో ఓపెన్ సాగే శోధన సర్వర్‌లకు “ధన్యవాదాలు” ఉచితంగా అందుబాటులో ఉంది.

మొదటి సందర్భంలో, ఇవి రాడారియో సిస్టమ్ ద్వారా విక్రయించబడిన వివిధ సాంస్కృతిక కార్యక్రమాల (థియేటర్‌లు, క్లబ్‌లు, రివర్ ట్రిప్‌లు మొదలైనవి) కోసం పదివేల (మరియు బహుశా వందల వేల) టిక్కెట్‌లు (www.radario.ru).

రెండవ సందర్భంలో, ఇది Sletat.ru సిస్టమ్‌కి అనుసంధానించబడిన ట్రావెల్ ఏజెన్సీల ద్వారా పర్యటనలను కొనుగోలు చేసిన వేలాది మంది (బహుశా అనేక పదుల వేల మంది) పర్యాటక పర్యటనల డేటా (www.sletat.ru).

డేటాను పబ్లిక్‌గా అందుబాటులో ఉంచడానికి అనుమతించిన కంపెనీల పేర్లు మాత్రమే కాకుండా, సంఘటనను గుర్తించే ఈ కంపెనీల విధానం మరియు దానికి తదుపరి ప్రతిస్పందన కూడా భిన్నంగా ఉన్నాయని నేను వెంటనే గమనించాలనుకుంటున్నాను. కానీ మొదటి విషయాలు మొదట…

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

కేసు ఒకటి. "రాడారియో"

06.05.2019/XNUMX/XNUMX సాయంత్రం మా సిస్టమ్ సాగే శోధన సర్వర్ ఉచితంగా అందుబాటులో ఉందని కనుగొన్నారు, ఎలక్ట్రానిక్ టిక్కెట్ విక్రయాల సేవ Radario యాజమాన్యంలో ఉంది.

ఇప్పటికే స్థాపించబడిన విచారకరమైన సంప్రదాయం ప్రకారం, సర్వర్ సేవ యొక్క సమాచార వ్యవస్థ యొక్క వివరణాత్మక లాగ్‌లను కలిగి ఉంది, దీని నుండి వ్యక్తిగత డేటా, వినియోగదారు లాగిన్‌లు మరియు పాస్‌వర్డ్‌లు, అలాగే దేశవ్యాప్తంగా వివిధ ఈవెంట్‌ల కోసం ఎలక్ట్రానిక్ టిక్కెట్‌లను పొందడం సాధ్యమవుతుంది.

లాగ్‌ల మొత్తం వాల్యూమ్ 1 TBని మించిపోయింది.

షోడాన్ శోధన ఇంజిన్ ప్రకారం, సర్వర్ మార్చి 11.03.2019, 06.05.2019 నుండి పబ్లిక్‌గా అందుబాటులో ఉంది. నేను 22/50/07.05.2019న 09:30 (MSK)కి Radario ఉద్యోగులకు తెలియజేశాను మరియు XNUMX/XNUMX/XNUMXన XNUMX:XNUMXకి సర్వర్ అందుబాటులోకి రాలేదు.

లాగ్‌లు సార్వత్రిక (ఒకే) అధికార టోకెన్‌ను కలిగి ఉన్నాయి, ప్రత్యేక లింక్‌ల ద్వారా కొనుగోలు చేసిన అన్ని టిక్కెట్‌లకు యాక్సెస్‌ను అందిస్తుంది:

http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk

http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk

సమస్య ఏమిటంటే, టిక్కెట్‌లను లెక్కించడానికి, ఆర్డర్‌ల నిరంతర సంఖ్యను ఉపయోగించారు మరియు టిక్కెట్ నంబర్ యొక్క సాధారణ గణన (XXXXXXXX) లేదా ఆర్డర్ (YYYYYY), సిస్టమ్ నుండి అన్ని టిక్కెట్లను పొందడం సాధ్యమైంది.

డేటాబేస్ యొక్క ఔచిత్యాన్ని తనిఖీ చేయడానికి, నేను నిజాయితీగా చౌకైన టిక్కెట్‌ను కూడా కొనుగోలు చేసాను:

మరియు తర్వాత IS లాగ్‌లలో పబ్లిక్ సర్వర్‌లో కనుగొనబడింది:

http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk

విడిగా, ఇప్పటికే జరిగిన ఈవెంట్‌లకు మరియు ఇంకా ప్లాన్ చేస్తున్న వాటికి టిక్కెట్లు అందుబాటులో ఉన్నాయని నేను నొక్కి చెప్పాలనుకుంటున్నాను. అంటే, సంభావ్య దాడి చేసే వ్యక్తి ప్రణాళికాబద్ధమైన ఈవెంట్‌లోకి ప్రవేశించడానికి వేరొకరి టిక్కెట్‌ను ఉపయోగించవచ్చు.

సగటున, ఒక నిర్దిష్ట రోజు (24.01.2019/07.05.2019/25 నుండి 35/XNUMX/XNUMX వరకు) లాగ్‌లను కలిగి ఉన్న ప్రతి సాగే శోధన సూచిక XNUMX నుండి XNUMX వేల టిక్కెట్‌లను కలిగి ఉంటుంది.

టిక్కెట్‌లతో పాటు, ఈ సేవ ద్వారా వారి ఈవెంట్‌లకు టిక్కెట్‌లను విక్రయించే Radario భాగస్వాముల వ్యక్తిగత ఖాతాలకు ప్రాప్యత కోసం సూచిక లాగిన్‌లు (ఇమెయిల్ చిరునామాలు) మరియు టెక్స్ట్ పాస్‌వర్డ్‌లను కలిగి ఉంది:

Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"

మొత్తంగా, 500 కంటే ఎక్కువ లాగిన్/పాస్‌వర్డ్ జతలు కనుగొనబడ్డాయి. భాగస్వాముల వ్యక్తిగత ఖాతాలలో టిక్కెట్ విక్రయాల గణాంకాలు కనిపిస్తాయి:

గతంలో కొనుగోలు చేసిన టిక్కెట్‌లను తిరిగి ఇవ్వాలని నిర్ణయించుకున్న కొనుగోలుదారుల పేర్లు, ఫోన్ నంబర్‌లు మరియు ఇమెయిల్ చిరునామాలు కూడా పబ్లిక్‌గా అందుబాటులో ఉన్నాయి:

"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"

యాదృచ్ఛికంగా ఎంచుకున్న ఒక రోజులో, అటువంటి 500 కంటే ఎక్కువ రికార్డులు కనుగొనబడ్డాయి.

నేను Radario యొక్క సాంకేతిక డైరెక్టర్ నుండి హెచ్చరికకు ప్రతిస్పందనను అందుకున్నాను:

నేను Radario యొక్క సాంకేతిక దర్శకుడిని మరియు సమస్యను గుర్తించినందుకు మీకు ధన్యవాదాలు తెలియజేస్తున్నాను. మీకు తెలిసినట్లుగా, మేము సాగే యాక్సెస్‌ని మూసివేసాము మరియు క్లయింట్‌ల కోసం టిక్కెట్‌లను మళ్లీ జారీ చేసే సమస్యను పరిష్కరిస్తున్నాము.

కొద్దిసేపటి తర్వాత కంపెనీ అధికారిక ప్రకటన చేసింది:

రాడారియో ఎలక్ట్రానిక్ టిక్కెట్ విక్రయ వ్యవస్థలో ఒక దుర్బలత్వం కనుగొనబడింది మరియు తక్షణమే సరిదిద్దబడింది, ఇది సేవ యొక్క క్లయింట్ల నుండి డేటా లీక్‌కు దారితీయవచ్చు, కంపెనీ మార్కెటింగ్ డైరెక్టర్, కిరిల్ మలిషెవ్, మాస్కో సిటీ న్యూస్ ఏజెన్సీకి చెప్పారు.

“సాధారణ అప్‌డేట్‌లతో అనుబంధించబడిన సిస్టమ్ ఆపరేషన్‌లో మేము నిజంగా దుర్బలత్వాన్ని కనుగొన్నాము, ఇది కనుగొనబడిన వెంటనే పరిష్కరించబడింది. దుర్బలత్వం ఫలితంగా, కొన్ని షరతులలో, మూడవ పక్షాల స్నేహపూర్వక చర్యలు డేటా లీకేజీకి దారితీయవచ్చు, కానీ ఎటువంటి సంఘటనలు నమోదు కాలేదు. ప్రస్తుతానికి, అన్ని లోపాలు తొలగించబడ్డాయి, ”అని కె. మలిషేవ్ అన్నారు.

సర్వీస్ క్లయింట్‌లకు వ్యతిరేకంగా ఏదైనా మోసం జరిగే అవకాశాన్ని పూర్తిగా తొలగించడానికి సమస్య పరిష్కార సమయంలో విక్రయించిన అన్ని టిక్కెట్‌లను తిరిగి జారీ చేయాలని నిర్ణయించినట్లు కంపెనీ ప్రతినిధి నొక్కిచెప్పారు.

కొన్ని రోజుల తర్వాత, నేను లీక్ అయిన లింక్‌లను ఉపయోగించి డేటా లభ్యతను తనిఖీ చేసాను - “బహిర్గతం” టిక్కెట్‌లకు యాక్సెస్ నిజానికి కవర్ చేయబడింది. నా అభిప్రాయం ప్రకారం, డేటా లీకేజీ సమస్యను పరిష్కరించడానికి ఇది సమర్థవంతమైన, వృత్తిపరమైన విధానం.

కేసు రెండు. "Fly.ru"

15.05.2019/XNUMX/XNUMX తెల్లవారుజామున DeviceLock డేటా ఉల్లంఘన మేధస్సు నిర్దిష్ట IS యొక్క లాగ్‌లతో పబ్లిక్ సాగే శోధన సర్వర్‌ను గుర్తించింది.

సర్వర్ టూర్ ఎంపిక సేవ “Sletat.ru”కి చెందినదని తరువాత నిర్ధారించబడింది.

సూచిక నుండి cbto__0 వేలాది (నకిలీలతో సహా 11,7 వేలు) ఇమెయిల్ చిరునామాలు, అలాగే కొంత చెల్లింపు సమాచారం (పర్యటన ఖర్చులు) మరియు పర్యటన డేటా (ఎప్పుడు, ఎక్కడ, విమాన టిక్కెట్ వివరాలను పొందడం సాధ్యమైంది. всех టూర్‌లో చేర్చబడిన ప్రయాణికులు మొదలైనవి) సుమారు 1,8 వేల రికార్డుల మొత్తంలో:

"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"

మార్గం ద్వారా, చెల్లింపు పర్యటనల లింక్‌లు చాలా పని చేస్తున్నాయి:

పేరుతో సూచికలలో గ్రేలాగ్_ స్పష్టమైన వచనంలో Sletat.ru సిస్టమ్‌కు కనెక్ట్ చేయబడిన ట్రావెల్ ఏజెన్సీల లాగిన్‌లు మరియు పాస్‌వర్డ్‌లు మరియు వారి క్లయింట్‌లకు టూర్‌లను అమ్మడం:

"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1&currencyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."

నా అంచనాల ప్రకారం, అనేక వందల లాగిన్/పాస్‌వర్డ్ జతలు ప్రదర్శించబడ్డాయి.

పోర్టల్‌లోని ట్రావెల్ ఏజెన్సీ యొక్క వ్యక్తిగత ఖాతా నుండి agent.sletat.ru పాస్‌పోర్ట్ నంబర్‌లు, అంతర్జాతీయ పాస్‌పోర్ట్‌లు, పుట్టిన తేదీలు, పూర్తి పేర్లు, టెలిఫోన్ నంబర్‌లు మరియు ఇమెయిల్ చిరునామాలతో సహా కస్టమర్ డేటాను పొందడం సాధ్యమైంది.

నేను 15.05.2019/10/46న 16:00 (MSK)కి Sletat.ru సేవకు తెలియజేసాను మరియు కొన్ని గంటల తర్వాత (XNUMX:XNUMX వరకు) అది వారి ఉచిత యాక్సెస్ నుండి అదృశ్యమైంది. తరువాత, కొమ్మర్‌సంట్‌లో ప్రచురణకు ప్రతిస్పందనగా, సర్వీస్ మేనేజ్‌మెంట్ మీడియా ద్వారా చాలా విచిత్రమైన ప్రకటన చేసింది:

సెర్చ్ ఇంజిన్‌లోని ప్రశ్నల చరిత్రకు ప్రాప్యతతో Sletat.ru అనేక ప్రధాన భాగస్వామి టూర్ ఆపరేటర్‌లను అందిస్తుంది అని కంపెనీ అధిపతి ఆండ్రీ వెర్షినిన్ వివరించారు. మరియు డివైస్‌లాక్ దానిని స్వీకరించిందని అతను ఊహించాడు: "అయితే, పేర్కొన్న డేటాబేస్లో పర్యాటకుల పాస్‌పోర్ట్ డేటా, ట్రావెల్ ఏజెన్సీ లాగిన్‌లు మరియు పాస్‌వర్డ్‌లు, చెల్లింపు సమాచారం మొదలైనవి లేవు." ఆండ్రీ వెర్షినిన్ Sletat.ru అటువంటి తీవ్రమైన ఆరోపణలకు ఇంకా ఎటువంటి ఆధారాలు అందుకోలేదని పేర్కొన్నారు. “మేము ఇప్పుడు DeviceLockని సంప్రదించడానికి ప్రయత్నిస్తున్నాము. ఇది ఒక ఆర్డర్ అని మేము నమ్ముతున్నాము. మా వేగవంతమైన వృద్ధిని కొంతమంది ఇష్టపడరు, ”అన్నారాయన. "

పైన చూపిన విధంగా, పర్యాటకుల లాగిన్‌లు, పాస్‌వర్డ్‌లు మరియు పాస్‌పోర్ట్ డేటా చాలా కాలం పాటు పబ్లిక్ డొమైన్‌లో ఉన్నాయి (కనీసం మార్చి 29.03.2019, XNUMX నుండి, కంపెనీ సర్వర్ మొదటిసారిగా షోడాన్ సెర్చ్ ఇంజిన్ పబ్లిక్ డొమైన్‌లో రికార్డ్ చేయబడినప్పటి నుండి). వాస్తవానికి, ఎవరూ మమ్మల్ని సంప్రదించలేదు. లీక్ గురించి కనీసం వారు ట్రావెల్ ఏజెన్సీలకు తెలియజేసి, వారి పాస్‌వర్డ్‌లను మార్చమని బలవంతం చేస్తారని నేను ఆశిస్తున్నాను.

ఇన్ఫర్మేషన్ లీక్‌లు మరియు ఇన్‌సైడర్‌ల గురించిన వార్తలు ఎల్లప్పుడూ నా టెలిగ్రామ్ ఛానెల్‌లో చూడవచ్చు "సమాచారం లీక్".

మూలం: www.habr.com