Bugün iki duruma aynı anda bakacağız - tamamen farklı iki şirketin müşterilerinin ve ortaklarının verileri, bu şirketlerin bilgi sistemleri (IS) günlüklerini içeren açık Elasticsearch sunucuları "sayesinde" ücretsiz olarak mevcuttu.
İlk durumda, bunlar Radario sistemi aracılığıyla satılan çeşitli kültürel etkinlikler (tiyatrolar, kulüpler, nehir gezileri vb.) için onbinlerce (ve belki de yüzbinlerce) bilettir (www.radario.ru).
İkinci durumda, bu, Sletat.ru sistemine bağlı seyahat acenteleri aracılığıyla tur satın alan binlerce (muhtemelen birkaç on binlerce) yolcunun turistik gezilerine ilişkin verilerdir (www.sletat.ru).
Verilerin kamuya açıklanmasına izin veren şirketlerin isimlerinin yanı sıra, bu şirketlerin olayı fark etme yaklaşımları ve sonrasında verdikleri tepkilerin de farklılık gösterdiğini hemen belirtmek isterim. Ama önce ilk şeyler…
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Birinci durum. "Radario"
06.05.2019/XNUMX/XNUMX akşamı sistemimiz , elektronik bilet satış hizmeti Radario'ya aittir.
Zaten yerleşik olan üzücü geleneğe göre, sunucu, kişisel verilerin, kullanıcı oturum açma bilgilerinin ve şifrelerinin yanı sıra ülke çapındaki çeşitli etkinlikler için elektronik biletlerin elde edilmesinin mümkün olduğu hizmetin bilgi sisteminin ayrıntılı günlüklerini içeriyordu.
Günlüklerin toplam hacmi 1 TB'yi aştı.
Shodan arama motoruna göre sunucuya 11.03.2019 Mart 06.05.2019'dan bu yana herkesin erişimine açık. Radario çalışanlarına 22/50/07.05.2019 saat 09:30 (MSK) tarihinde ve XNUMX/XNUMX/XNUMX saat XNUMX:XNUMX civarında sunucunun kullanılamaz hale geldiğini bildirdim.
Günlükler, satın alınan tüm biletlere aşağıdaki gibi özel bağlantılar aracılığıyla erişim sağlayan evrensel (tek) bir yetkilendirme jetonu içeriyordu:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkSorun aynı zamanda biletleri hesaba katmak için siparişlerin sürekli numaralandırılmasının kullanılması ve bilet numarasının basit bir şekilde numaralandırılmasıydı (XXXXXXXX) veya sipariş (YYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYyYY), tüm biletleri sistemden almak mümkün oldu.
Veritabanının uygunluğunu kontrol etmek için dürüstçe kendime en ucuz bileti bile aldım:
ve daha sonra bunu IS günlüklerinde genel bir sunucuda buldum:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkAyrı olarak, hem halihazırda gerçekleşmiş olan hem de halen planlanmakta olan etkinlikler için biletlerin mevcut olduğunu vurgulamak isterim. Yani potansiyel bir saldırgan, planlanan etkinliğe girmek için başka birinin biletini kullanabilir.
Ortalama olarak, belirli bir güne (24.01.2019'dan başlayarak 07.05.2019'a kadar) ait günlükleri içeren her bir Elasticsearch endeksi 25 ila 35 bin arasında bilet içeriyordu.
Dizin, biletlerin yanı sıra, bu hizmet aracılığıyla etkinliklerine bilet satan Radario ortaklarının kişisel hesaplarına erişim için oturum açma bilgilerini (e-posta adresleri) ve metin şifrelerini de içeriyordu:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"Toplamda 500'den fazla kullanıcı adı/şifre çifti tespit edildi. Bilet satış istatistikleri ortakların kişisel hesaplarında görülebilir:
Ayrıca önceden satın alınan biletleri iade etmeye karar veren alıcıların adları, telefon numaraları ve e-posta adresleri de kamuya açıklandı:
"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"Rastgele seçilen bir günde bu tür 500'den fazla kayıt keşfedildi.
Uyarıya Radario'nun teknik direktöründen bir yanıt aldım:
Radario'nun teknik direktörüyüm ve sorunu tespit ettiğiniz için teşekkür ederim. Bildiğiniz gibi elastik erişime kapalıyız ve müşteriler için biletlerin yeniden düzenlenmesi sorununu çözüyoruz.
Kısa bir süre sonra şirket resmi bir açıklama yaptı:
Şirketin pazarlama müdürü Kirill Malyshev, Moskova Şehir Haber Ajansı'na, Radario elektronik bilet satış sisteminde bir güvenlik açığının keşfedildiğini ve derhal düzeltildiğini, bunun hizmetin müşterilerinden veri sızıntısına yol açabileceğini söyledi.
"Aslında sistem işleyişinde düzenli güncellemelerle ilişkili bir güvenlik açığı keşfettik ve bu güvenlik açığı keşfedildikten hemen sonra düzeltildi. Güvenlik açığının bir sonucu olarak, belirli koşullar altında üçüncü tarafların dostane olmayan eylemleri veri sızıntısına yol açabilir, ancak herhangi bir olay kaydedilmemiştir. Şu anda tüm hatalar giderildi” dedi K. Malyshev.
Bir firma yetkilisi, hizmet müşterilerine yönelik dolandırıcılık olasılığını tamamen ortadan kaldırmak amacıyla sorunun çözümü sırasında satılan tüm biletlerin yeniden düzenlenmesine karar verildiğini vurguladı.
Birkaç gün sonra, sızdırılan bağlantıları kullanarak verilerin kullanılabilirliğini kontrol ettim; "açıkta kalan" biletlere erişim gerçekten de kapsanıyordu. Bana göre bu, veri sızıntısı sorununu çözmeye yönelik yetkin ve profesyonel bir yaklaşımdır.
İkinci durum. "Fly.ru"
Sabah erkenden 15.05.2019/XNUMX/XNUMX DeviceLock Veri İhlali İstihbaratı belirli bir IS'nin günlüklerini içeren genel bir Elasticsearch sunucusunu belirledi.
Daha sonra sunucunun "Sletat.ru" tur seçim hizmetine ait olduğu tespit edildi.
Dizinden cbto__0 binlerce (kopyalar dahil 11,7 bin) e-posta adresinin yanı sıra bazı ödeme bilgilerini (tur maliyetleri) ve tur verilerini (ne zaman, nerede, uçak bileti ayrıntıları) elde etmek mümkün oldu Tüm tura dahil olan gezginler vb.) yaklaşık 1,8 bin kayıt tutarında:
"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"Bu arada, ücretli turların bağlantıları oldukça çalışıyor:
İsimli indekslerde grilog_ Sletat.ru sistemine bağlı ve müşterilerine tur satan seyahat acentelerinin kullanıcı adları ve şifreleri açık metin olarak yer alıyordu:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."Tahminlerime göre yüzlerce kullanıcı adı/şifre çifti görüntülendi.
Seyahat acentesinin portaldaki kişisel hesabından ajan.sletat.ru pasaport numaraları, uluslararası pasaportlar, doğum tarihleri, tam adlar, telefon numaraları ve e-posta adresleri dahil olmak üzere müşteri verilerini elde etmek mümkün oldu.
Sletat.ru hizmetine 15.05.2019 saat 10:46 (MSK) tarihinde bildirimde bulundum ve birkaç saat sonra (16:00'a kadar) ücretsiz erişimden kayboldu. Daha sonra Kommersant'ta yayınlanan yayına yanıt olarak hizmetin yönetimi medya aracılığıyla çok tuhaf bir açıklama yaptı:
Şirketin başkanı Andrei Vershinin, Sletat.ru'nun bir dizi büyük ortak tur operatörüne arama motorundaki sorgu geçmişine erişim sağladığını açıkladı. Ve DeviceLock'un bu bilgiyi aldığını varsaydı: "Ancak belirtilen veritabanı turistlerin pasaport verilerini, seyahat acentesi kullanıcı adlarını ve şifrelerini, ödeme bilgilerini vb. içermiyor." Andrei Vershinin, Sletat.ru'nun henüz bu kadar ciddi suçlamalara dair herhangi bir kanıt almadığını belirtti. “Şimdi DeviceLock ile iletişim kurmaya çalışıyoruz. Bunun bir emir olduğuna inanıyoruz. Bazı insanlar hızlı büyümemizden hoşlanmıyor” diye ekledi. "
Yukarıda gösterildiği gibi, turistlerin oturum açma bilgileri, şifreleri ve pasaport verileri oldukça uzun bir süre kamuya açıktı (en azından şirketin sunucusunun Shodan arama motoru tarafından kamuya açık olarak ilk kez kaydedildiği 29.03.2019 Mart XNUMX'dan bu yana). Tabii kimse bizimle iletişime geçmedi. Umarım en azından seyahat acentelerini sızıntı konusunda bilgilendirip şifrelerini değiştirmeye zorlamışlardır.
Bilgi sızıntıları ve içeriden öğrenenlerle ilgili haberleri her zaman Telegram kanalımda bulabilirsiniz "'.
Kaynak: habr.com