Пам'ятайте я і в себе Як у відкритому доступі виявилися подробиці платежів на користь ДІБДР та ФССП користувачів сайтів оплатагібдд.рф, paygibdd.ru, gos-oplata.ru, штрафів.net и oplata-fssp.ru?
Тільки не треба сміятися, це зовсім не жарт — той самий сервер із даними тієї самої системи знову виявився відкритим для всього світу.
Ну що, поїхали розбиратись…
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Для початку трохи нагадаю хронологію подій:
- 12.04.2019 (вночі) було виявлено сервер Elasticsearch, який не вимагає аутентифікації для підключення.
- 13.04.2019 (вранці) було надіслано оповіщення власникам сервера.
- 13.04.2019 (вдень) сервер «тихо» було прибрано з відкритого доступу.
На момент першого закриття сервера індекси Elasticsearch виглядали так:
І ось 21.05.2019 близько 16:00 (МСК) той же сервер Elasticsearch, з тими ж (плюс нові) індексами знову з'являється у відкритому доступі:
Я не повірив своїм очам, коли побачив (відразу після виступу на PHDays на тему виявлення відкритих баз) у пошті нотифікацію від нашої . Якщо чесно, то перша думка була, що це якийсь глюк системи.
Однак, ні це був не глюк і перевіривши ще раз вручну, о 01:25 вже 22.05.2019 я знову відправив оповіщення за тими ж адресами, що і вперше.
З моменту першого закриття, цей сервер сканувався Shodan'ом 11 разів і аж до 21 травня Elasticsearch на ньому був прикритий.
Тільки 24.05.2019 вранці цей Elasticsearch зник з відкритого доступу вдруге. За цей час індекси солідно зросли:
А якщо подивитися на дані (тільки значуща інформація, що містить персональні дані громадян) в індексах за проміжок з 1 по 22 травня, то картина така:
- 127,525 записів в індексі paygibdd
- 49,627 записів в індексі shtrafov-net
- 162,282 записів в індексі oplata-fssp
- 220,201 записів в індексі gosoplata
Приклад даних з індексу gosoplata:
Приклад даних з індексу paygibdd:
Ну а вишнею на торті став лист з однієї з адрес, на які я надсилав оповіщення:
Отримали Вашого листа про відкритий ElasticSearch — дякую за інформацію, базу даних закрили. Системний адміністратор, який повторно відкрив доступ, звільнений. Також юрслужба готує до направлення до МВС у Республіці Татарстан Заява про ознаки наявності у діях системного адміністратора складу за 272 та 273 статтями КК РФ.
Новини про виток інформації та інсайдерів завжди можна знайти на моєму Telegram-каналі «' .
Джерело: habr.com