Ngayon ay titingnan natin ang dalawang kaso nang sabay-sabay - ang data ng mga kliyente at kasosyo ng dalawang ganap na magkaibang kumpanya ay malayang magagamit "salamat sa" bukas na mga server ng Elasticsearch na may mga log ng information system (IS) ng mga kumpanyang ito.
Sa unang kaso, ito ay sampu-sampung libo (at maaaring daan-daang libo) ng mga tiket para sa iba't ibang kultural na kaganapan (mga teatro, club, mga paglalakbay sa ilog, atbp.) na ibinebenta sa pamamagitan ng sistema ng Radario (www.radario.ru).
Sa pangalawang kaso, ito ay data sa mga paglalakbay ng turista ng libu-libo (marahil ilang sampu-sampung libo) ng mga manlalakbay na bumili ng mga paglilibot sa pamamagitan ng mga ahensya ng paglalakbay na konektado sa sistema ng Sletat.ru (www.sletat.ru).
Gusto kong tandaan kaagad na hindi lamang ang mga pangalan ng mga kumpanyang nagbigay-daan sa data na maging available sa publiko ay naiiba, kundi pati na rin ang diskarte ng mga kumpanyang ito sa pagkilala sa insidente at ang kasunod na reaksyon dito. Ngunit una sa lahatβ¦
ΠΠΈΡΠΊΠ»Π΅ΠΉΠΌΠ΅Ρ: Π²ΡΡ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ Π½ΠΈΠΆΠ΅ ΠΏΡΠ±Π»ΠΈΠΊΡΠ΅ΡΡΡ ΠΈΡΠΊΠ»ΡΡΠΈΡΠ΅Π»ΡΠ½ΠΎ Π² ΠΎΠ±ΡΠ°Π·ΠΎΠ²Π°ΡΠ΅Π»ΡΠ½ΡΡ
ΡΠ΅Π»ΡΡ
. ΠΠ²ΡΠΎΡ Π½Π΅ ΠΏΠΎΠ»ΡΡΠ°Π» Π΄ΠΎΡΡΡΠΏΠ° ΠΊ ΠΏΠ΅ΡΡΠΎΠ½Π°Π»ΡΠ½ΡΠΌ Π΄Π°Π½Π½ΡΠΌ ΡΡΠ΅ΡΡΠΈΡ
Π»ΠΈΡ ΠΈ ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΉ. ΠΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ Π²Π·ΡΡΠ° Π»ΠΈΠ±ΠΎ ΠΈΠ· ΠΎΡΠΊΡΡΡΡΡ
ΠΈΡΡΠΎΡΠ½ΠΈΠΊΠΎΠ², Π»ΠΈΠ±ΠΎ Π±ΡΠ»Π° ΠΏΡΠ΅Π΄ΠΎΡΡΠ°Π²Π»Π΅Π½Π° Π°Π²ΡΠΎΡΡ Π°Π½ΠΎΠ½ΠΈΠΌΠ½ΡΠΌΠΈ Π΄ΠΎΠ±ΡΠΎΠΆΠ΅Π»Π°ΡΠ΅Π»ΡΠΌΠΈ.
Kaso isa. "Radario"
Sa gabi ng 06.05.2019/XNUMX/XNUMX ang aming sistema , na pag-aari ng electronic ticket sales service na Radario.
Ayon sa naitatag na malungkot na tradisyon, ang server ay naglalaman ng mga detalyadong log ng sistema ng impormasyon ng serbisyo, kung saan posible na makakuha ng personal na data, mga pag-login ng gumagamit at mga password, pati na rin ang mga elektronikong tiket mismo para sa iba't ibang mga kaganapan sa buong bansa.
Ang kabuuang dami ng mga log ay lumampas sa 1 TB.
Ayon sa Shodan search engine, ang server ay magagamit sa publiko mula noong Marso 11.03.2019, 06.05.2019. Inabisuhan ko ang mga empleyado ng Radario noong 22/50/07.05.2019 sa 09:30 (MSK) at noong XNUMX/XNUMX/XNUMX sa bandang XNUMX:XNUMX naging hindi available ang server.
Ang mga log ay naglalaman ng isang unibersal (iisang) authorization token, na nagbibigay ng access sa lahat ng biniling ticket sa pamamagitan ng mga espesyal na link, tulad ng:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkAng problema ay din na sa account para sa mga tiket, tuloy-tuloy na pag-numero ng mga order ay ginamit at simpleng enumeration ng numero ng tiket (XXXXXXXX) o order (YYYYYYY), posible na makuha ang lahat ng mga tiket mula sa system.
Upang suriin ang kaugnayan ng database, tapat kong binili ang aking sarili ng pinakamurang tiket:
at kalaunan ay natagpuan ito sa isang pampublikong server sa mga log ng IS:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkHiwalay, nais kong bigyang-diin na ang mga tiket ay magagamit kapwa para sa mga kaganapan na naganap na at para sa mga pinaplano pa rin. Iyon ay, maaaring gumamit ng ticket ng ibang tao ang isang potensyal na umaatake upang makapasok sa nakaplanong kaganapan.
Sa karaniwan, ang bawat Elasticsearch index na naglalaman ng mga log para sa isang partikular na araw (mula 24.01.2019/07.05.2019/25 hanggang 35/XNUMX/XNUMX) ay naglalaman ng XNUMX hanggang XNUMX libong mga tiket.
Bilang karagdagan sa mga tiket mismo, ang index ay naglalaman ng mga pag-login (email address) at text password para sa pag-access sa mga personal na account ng mga kasosyo sa Radario na nagbebenta ng mga tiket sa kanilang mga kaganapan sa pamamagitan ng serbisyong ito:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"Sa kabuuan, higit sa 500 pares ng login/password ang nakita. Ang mga istatistika ng pagbebenta ng tiket ay makikita sa mga personal na account ng mga kasosyo:
Available din sa publiko ang mga pangalan, numero ng telepono at email address ng mga mamimili na nagpasyang ibalik ang mga naunang binili na tiket:
"Content": "{"name":"***","surname":"*** ","middleName":"ΠΠ²Π³Π΅Π½ΡΠ΅Π²Π½Π° ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"Sa isang random na piniling araw, higit sa 500 mga naturang talaan ang natuklasan.
Nakatanggap ako ng tugon sa alerto mula sa teknikal na direktor ng Radario:
Ako ang teknikal na direktor ng Radario at nais kong pasalamatan ka sa pagtukoy sa problema. Tulad ng alam mo, isinara namin ang access sa elastic at niresolba namin ang isyu ng muling pag-isyu ng mga ticket para sa mga kliyente.
Maya-maya, gumawa ng opisyal na pahayag ang kumpanya:
Ang isang kahinaan ay natuklasan sa Radario electronic ticket sales system at agad na naitama, na maaaring humantong sa isang pagtagas ng data mula sa mga kliyente ng serbisyo, sinabi ng marketing director ng kumpanya, Kirill Malyshev, sa Moscow City News Agency.
"Natuklasan talaga namin ang isang kahinaan sa pagpapatakbo ng system na nauugnay sa mga regular na pag-update, na naayos kaagad pagkatapos ng pagtuklas. Bilang resulta ng kahinaan, sa ilalim ng ilang partikular na kundisyon, maaaring humantong sa pagtagas ng data ang hindi magiliw na pagkilos ng mga third party, ngunit walang naitala na insidente. Sa ngayon, ang lahat ng mga pagkakamali ay naalis na," sabi ni K. Malyshev.
Binigyang-diin ng isang kinatawan ng kumpanya na napagpasyahan na muling ibigay ang lahat ng mga tiket na nabili sa panahon ng solusyon sa problema upang ganap na maalis ang posibilidad ng anumang pandaraya laban sa mga kliyente ng serbisyo.
Pagkalipas ng ilang araw, sinuri ko ang pagkakaroon ng data gamit ang mga leaked na link - ang pag-access sa "nakalantad" na mga tiket ay talagang sakop. Sa aking opinyon, ito ay isang karampatang, propesyonal na diskarte sa paglutas ng problema ng pagtagas ng data.
Kaso dalawa. "Fly.ru"
Madaling araw 15.05.2019/XNUMX/XNUMX Intelligence ng Paglabag sa Data ng DeviceLock nakilala ang isang pampublikong Elasticsearch server na may mga log ng isang partikular na IS.
Nang maglaon ay itinatag na ang server ay kabilang sa serbisyo ng pagpili ng paglilibot na "Sletat.ru".
Mula sa index cbto__0 posible na makakuha ng libu-libo (11,7 libo kasama ang mga duplicate) ng mga email address, pati na rin ang ilang impormasyon sa pagbabayad (mga gastos sa paglilibot) at data ng paglilibot (kailan, kung saan, mga detalye ng air ticket lahat mga manlalakbay na kasama sa paglilibot, atbp.) sa halagang humigit-kumulang 1,8 libong mga tala:
"full_message": "ΠΠΎΠ»ΡΡΠ΅Π½ Π·Π°ΠΏΡΠΎΡ Π·Π° ΡΠΎΠ·Π΄Π°Π½ΠΈΠ΅ ΠΏΠ»Π°ΡΠ΅ΠΆΠ½ΠΎΠ³ΠΎ ΡΡΠ΅Π΄ΡΡΠ²Π°: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"Sa pamamagitan ng paraan, ang mga link sa mga bayad na paglilibot ay gumagana:
Sa mga index na may pangalan graylog_ sa malinaw na teksto ay ang mga pag-login at password ng mga ahensya ng paglalakbay na konektado sa sistema ng Sletat.ru at nagbebenta ng mga paglilibot sa kanilang mga kliyente:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."Ayon sa aking mga pagtatantya, ilang daang pares ng login/password ang ipinakita.
Mula sa personal na account ng travel agency sa portal agent.sletat.ru naging posible na makakuha ng data ng customer, kabilang ang mga numero ng pasaporte, internasyonal na pasaporte, petsa ng kapanganakan, buong pangalan, numero ng telepono at email address.
Inabisuhan ko ang serbisyo ng Sletat.ru noong 15.05.2019/10/46 sa 16:00 (MSK) at pagkalipas ng ilang oras (hanggang XNUMX:XNUMX) nawala ito sa kanilang libreng pag-access. Nang maglaon, bilang tugon sa publikasyon sa Kommersant, ang pamamahala ng serbisyo ay gumawa ng isang kakaibang pahayag sa pamamagitan ng media:
Ang pinuno ng kumpanya, Andrei Vershinin, ay ipinaliwanag na ang Sletat.ru ay nagbibigay ng isang bilang ng mga pangunahing partner tour operator na may access sa kasaysayan ng mga query sa search engine. At ipinalagay niya na natanggap ito ng DeviceLock: "Gayunpaman, ang tinukoy na database ay hindi naglalaman ng data ng pasaporte ng mga turista, mga pag-login at password ng ahensya sa paglalakbay, impormasyon sa pagbabayad, atbp." Nabanggit ni Andrei Vershinin na ang Sletat.ru ay hindi pa nakakatanggap ng anumang katibayan ng gayong mga seryosong akusasyon. βSinusubukan na naming makipag-ugnayan ngayon sa DeviceLock. Naniniwala kami na ito ay isang utos. Ang ilang mga tao ay hindi gusto ang aming mabilis na paglaki, "dagdag niya. "
Gaya ng ipinakita sa itaas, ang mga login, password, at data ng pasaporte ng mga turista ay nasa pampublikong domain sa loob ng mahabang panahon (hindi bababa sa simula noong Marso 29.03.2019, XNUMX, noong unang naitala ang server ng kumpanya sa pampublikong domain ng Shodan search engine). Syempre, walang kumontak sa amin. Umaasa ako na hindi bababa sa naabisuhan nila ang mga ahensya ng paglalakbay tungkol sa pagtagas at pinilit silang baguhin ang kanilang mga password.
Ang mga balita tungkol sa mga pagtagas ng impormasyon at mga tagaloob ay palaging matatagpuan sa aking Telegram channel "'.
Pinagmulan: www.habr.com