Имрӯз мо якбора ду парвандаро баррасӣ хоҳем кард - маълумоти муштариён ва шарикони ду ширкати комилан гуногун ба туфайли серверҳои кушодаи Elasticsearch бо сабтҳои системаҳои иттилоотии (IS) ин ширкатҳо озодона дастрас буданд.
Дар ҳолати аввал, инҳо даҳҳо ҳазор (ва шояд садҳо ҳазор) чиптаҳо барои чорабиниҳои гуногуни фарҳангӣ (театрҳо, клубҳо, саёҳатҳои дарёӣ ва ғайра) мебошанд, ки тавассути системаи Radario фурӯхта мешаванд (www.radario.ru).
Дар мавриди дуюм, ин маълумот дар бораи сафарҳои туристии ҳазорҳо (эҳтимолан якчанд даҳҳо ҳазор) сайёҳоне мебошад, ки тавассути агентиҳои сайёҳии ба системаи Sletat.ru пайвастшуда тур харидаанд (www.sletat.ru).
Мехоҳам билофосила қайд намоям, ки на танҳо номи ширкатҳое, ки имкон доданд, ки маълумот дастраси умум гарданд, балки бархӯрди ин ширкатҳо ба эътирофи ҳодиса ва вокуниши минбаъда ба он низ фарқ мекунад. Аммо аввалин чизҳои аввал…
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Ҳолати якум. "Радарио"
Дар шоми 06.05.2019/XNUMX/XNUMX системаи мо , ба хидмати фурӯши чиптаҳои электронии Radario тааллуқ дорад.
Тибқи анъанаи ғамангез, сервер дорои гузоришҳои муфассали системаи иттилоотии хадамот буд, ки аз онҳо маълумоти шахсӣ, логинҳо ва паролҳои корбар, инчунин чиптаҳои электрониро барои чорабиниҳои гуногун дар саросари кишвар дастрас кардан мумкин буд.
Ҳаҷми умумии логҳо аз 1 ТБ гузашт.
Мувофиқи системаи ҷустуҷӯии Shodan, сервер аз 11.03.2019 марти соли 06.05.2019 дастрас аст. Ман ба кормандони Radario 22/50/07.05.2019 соати 09:30 (MSK) хабар додам ва XNUMX/XNUMX/XNUMX тақрибан соати XNUMX:XNUMX сервер дастнорас шуд.
Дар гузоришҳо аломати иҷозатдиҳии универсалӣ (ягона) мавҷуд буд, ки дастрасӣ ба ҳама чиптаҳои харидашударо тавассути истинодҳои махсус таъмин мекунад, ба монанди:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkМасъала инчунин дар он буд, ки барои ҳисоб кардани чиптаҳо рақамгузории доимии фармоишҳо ва рақами оддии рақами чипта истифода мешуд (XXXXXXXX) ё фармоиш (ЙЙЙЙЙЙЙ), хамаи билетхоро аз система гирифтан мумкин буд.
Барои санҷидани аҳамияти пойгоҳи додаҳо, ман ҳатто ростқавлона худам чиптаи арзонтаринро харидам:
ва баъдтар онро дар сервери ҷамъиятӣ дар гузоришҳои IS пайдо кард:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkАлоҳида, мехоҳам таъкид намоям, ки чиптаҳо ҳам барои чорабиниҳое, ки аллакай баргузор шуда буданд ва ҳам барои чорабиниҳое, ки ҳоло ба нақша гирифта шудаанд, дастрас буданд. Яъне, ҳамлагари эҳтимолӣ метавонад чиптаи ягон каси дигарро барои ворид шудан ба чорабинии пешбинишуда истифода барад.
Ба ҳисоби миёна, ҳар як индекси Elasticsearch дорои гузоришҳо барои як рӯзи мушаххас (аз 24.01.2019/07.05.2019/25 то 35/XNUMX/XNUMX) аз XNUMX то XNUMX ҳазор чиптаро дар бар мегирад.
Илова ба худи чиптаҳо, индекс логинҳо (суроғаҳои почтаи электронӣ) ва паролҳои матниро барои дастрасӣ ба ҳисобҳои шахсии шарикони Radario, ки тавассути ин хидмат чиптаҳоро ба чорабиниҳои худ мефурӯшанд, дар бар мегирад:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"Дар маҷмӯъ, зиёда аз 500 ҷуфти логин/парол ошкор карда шуд. Омори фурӯши чиптаҳо дар ҳисобҳои шахсии шарикон намоён аст:
Инчунин номҳо, рақамҳои телефон ва суроғаҳои почтаи электронии харидороне, ки тасмим гирифтанд чиптаҳои қаблан харидашударо баргардонанд, дастраси умум буданд:
"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"Дар як рӯзи ба таври тасодуфӣ интихобшуда зиёда аз 500 чунин сабтҳо кашф карда шуданд.
Ман ба огоҳӣ аз директори техникии Radario ҷавоб гирифтам:
Ман директори техникии Radario ҳастам ва мехоҳам ба шумо барои муайян кардани мушкилот ташаккур гӯям. Тавре ки шумо медонед, мо дастрасии эластиро бастаем ва масъалаи аз нав додани чиптаҳоро барои муштариён ҳал карда истодаем.
Чанде пас ширкат изҳороти расмӣ дод:
Директори маркетинги ширкат Кирилл Малышев ба хабаргузории Маскав гуфт, осебпазирӣ дар системаи фурӯши чиптаҳои электронии Radario ошкор ва ба таври фаврӣ ислоҳ карда шуд, ки метавонад боиси ихроҷи маълумот аз муштариёни хадамот шавад.
“Мо воқеан осебпазирии кори системаро, ки бо навсозии мунтазам алоқаманд буд, кашф кардем, ки фавран пас аз кашф ислоҳ карда шуд. Дар натиҷаи осебпазирӣ, дар шароити муайян, амалҳои номатлуби шахсони сеюм метавонанд боиси ихроҷи маълумот гардад, аммо ягон ҳодиса ба қайд гирифта нашудааст. Дар айни хол хамаи камбудихо бартараф карда шудаанд, — гуфт К- Малышев.
Намояндаи ширкат таъкид кард, ки тасмим гирифта шудааст, ки тамоми чиптаҳои фурӯхташуда ҳангоми ҳалли мушкилот дубора ба фурӯш бароварда шаванд, то эҳтимоли ҳама гуна қаллобӣ алайҳи муштариёни хидматрасонӣ комилан аз байн бурда шавад.
Пас аз чанд рӯз, ман мавҷудияти маълумотро бо истифода аз истинодҳои ифшошуда тафтиш кардам - дастрасӣ ба чиптаҳои "ошкоршуда" воқеан фаро гирифта шудааст. Ба андешаи ман, ин як равиши босалоҳият ва касбӣ барои ҳалли мушкилоти ихроҷи маълумот аст.
Ҳолати дуюм. "Fly.ru"
Субҳи барвақт 15.05.2019 Intelligence вайронкунии маълумот DeviceLock сервери ҷамъиятии Elasticsearch бо сабтҳои як IS муайян.
Баъдтар маълум шуд, ки сервер ба хидмати интихоби сайёҳони "Sletat.ru" тааллуқ дорад.
Аз индекс cbto__0 имкон дошт, ки ҳазорҳо (11,7 ҳазор бо шумули нусхаҳои такрорӣ) суроғаҳои почтаи электронӣ, инчунин баъзе маълумотҳои пардохт (харҷи сафар) ва маълумот оид ба сафар (кай, дар куҷо, тафсилоти чиптаи ҳавопаймо) дастрас карда шаванд. всех сайёхон, ки ба экскурсия дохил карда шудаанд ва гайра) ба маблаги кариб 1,8 хазор сабт:
"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"Дар омади гап, истинодҳо ба турҳои пулакӣ хеле кор мекунанд:
Дар индексҳо бо ном graylog_ Дар матни равшан логинҳо ва паролҳои ширкатҳои сайёҳӣ, ки ба системаи Sletat.ru пайвастанд ва ба мизоҷони худ турҳо мефурӯшанд:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."Тибқи тахминҳои ман, чандсад ҷуфти логин/парол нишон дода шуданд.
Аз ҳисоби шахсии агентии сайёҳӣ дар портал agent.sletat.ru ба даст овардани маълумоти муштарӣ, аз ҷумла рақами шиноснома, шиносномаҳои байналмилалӣ, санаи таваллуд, ному насаб, рақамҳои телефон ва суроғаҳои почтаи электронӣ имконпазир буд.
Ман ба хидмати Sletat.ru 15.05.2019/10/46 соати 16:00 (MSK) хабар додам ва пас аз чанд соат (то соати XNUMX:XNUMX) он аз дастрасии ройгони онҳо нопадид шуд. Баъдтар, дар посух ба интишор дар Коммерсант, роҳбарияти хадамот тавассути ВАО як изҳороти аҷибе дод:
Раҳбари ширкат Андрей Вершинин тавзеҳ дод, ки Sletat.ru ба як қатор шарикони туроператорҳо дастрасӣ ба таърихи дархостҳо дар системаи ҷустуҷӯиро фароҳам меорад. Ва ӯ тахмин кард, ки DeviceLock онро гирифтааст: "Аммо, махзани муайяншуда маълумоти шиносномаи сайёҳон, логинҳо ва паролҳои агентии сайёҳӣ, маълумоти пардохт ва ғайраро дар бар намегирад." Андрей Вершинин қайд кард, ки Sletat.ru то ҳол ягон далели чунин иттиҳоми ҷиддиро дарёфт накардааст. "Мо ҳоло кӯшиш мекунем, ки бо DeviceLock тамос гирем. Мо боварй дорем, ки ин фармон аст. Ба баъзе одамон рушди босуръати мо маъқул нест, ”илова кард ӯ. "
Тавре ки дар боло нишон дода шудааст, логинҳо, паролҳо ва маълумоти шиносномаи сайёҳон муддати тӯлонӣ дар домени ҷамъиятӣ буданд (ҳадди ақал аз 29.03.2019 марти соли XNUMX, вақте ки сервери ширкат бори аввал дар домени ҷамъиятӣ аз ҷониби системаи ҷустуҷӯии Shodan сабт карда шуд). Албатта, касе ба мо мурочиат накард. Умедворам, ки ҳадди аққал онҳо агентиҳои сайёҳиро дар бораи ихроҷ огоҳ карданд ва онҳоро маҷбур карданд, ки паролҳои худро иваз кунанд.
Хабарҳо дар бораи ихроҷи иттилоот ва инсайдерҳоро ҳамеша дар канали ман дар Telegram пайдо кардан мумкин аст "".
Манбаъ: will.com