آج ہم ایک ساتھ دو کیسز دیکھیں گے - دو بالکل مختلف کمپنیوں کے کلائنٹس اور پارٹنرز کا ڈیٹا آزادانہ طور پر دستیاب تھا "شکریہ" ان کمپنیوں کے انفارمیشن سسٹم (IS) کے لاگز کے ساتھ کھلے Elasticsearch سرورز۔
پہلی صورت میں، یہ مختلف ثقافتی تقریبات (تھیٹر، کلب، دریا کے دورے وغیرہ) کے دسیوں ہزار (اور شاید لاکھوں) ٹکٹس ہیں جو Radario سسٹم کے ذریعے فروخت کیے جاتے ہیں۔www.radario.ru).
دوسری صورت میں، یہ ہزاروں (ممکنہ طور پر کئی دسیوں) مسافروں کے سیاحتی دوروں کا ڈیٹا ہے جنہوں نے Sletat.ru سسٹم سے منسلک ٹریول ایجنسیوں کے ذریعے ٹور خریدے تھے۔www.sletat.ru).
میں فوراً نوٹ کرنا چاہوں گا کہ نہ صرف ان کمپنیوں کے ناموں میں فرق ہے جنہوں نے ڈیٹا کو عوامی طور پر دستیاب ہونے دیا، بلکہ ان کمپنیوں کا اس واقعے کو تسلیم کرنے اور اس کے بعد ہونے والے ردعمل میں بھی فرق ہے۔ لیکن پہلی چیزیں پہلے…
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
ایک کیس۔ "Radario"
06.05.2019/XNUMX/XNUMX کی شام کو ہمارا سسٹم الیکٹرانک ٹکٹ سیلز سروس Radario کی ملکیت ہے۔
پہلے سے قائم افسوسناک روایت کے مطابق، سرور میں سروس کے انفارمیشن سسٹم کے تفصیلی لاگز موجود تھے، جن سے ذاتی ڈیٹا، صارف کے لاگ ان اور پاس ورڈز کے ساتھ ساتھ ملک بھر میں ہونے والی مختلف تقریبات کے لیے خود الیکٹرانک ٹکٹس حاصل کرنا ممکن تھا۔
لاگز کا کل حجم 1 TB سے تجاوز کر گیا۔
شوڈان سرچ انجن کے مطابق، یہ سرور 11.03.2019 مارچ 06.05.2019 سے عوامی طور پر دستیاب ہے۔ میں نے Radario کے ملازمین کو 22/50/07.05.2019 کو 09:30 (MSK) پر مطلع کیا اور XNUMX/XNUMX/XNUMX کو تقریباً XNUMX:XNUMX بجے سرور غیر دستیاب ہو گیا۔
لاگز میں ایک آفاقی (سنگل) اجازت کا ٹوکن تھا، جو خصوصی لنکس کے ذریعے خریدے گئے تمام ٹکٹوں تک رسائی فراہم کرتا ہے، جیسے:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkمسئلہ یہ بھی تھا کہ ٹکٹوں کا حساب کتاب کرنے کے لیے آرڈرز کی مسلسل تعداد استعمال کی جاتی تھی اور ٹکٹ نمبر کی سادہ گنتی (ایکس ایکس ایکس ایکس ایکس ایکس ایکس) یا آرڈر (YYYYYYY)، سسٹم سے تمام ٹکٹ حاصل کرنا ممکن تھا۔
ڈیٹا بیس کی مطابقت کو جانچنے کے لیے، میں نے ایمانداری سے خود کو سب سے سستا ٹکٹ بھی خریدا:
اور بعد میں اسے IS لاگز میں عوامی سرور پر پایا:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkعلیحدہ طور پر، میں اس بات پر زور دینا چاہوں گا کہ ٹکٹس ان تقریبات کے لیے دستیاب تھے جو پہلے ہی ہو چکے ہیں اور ان دونوں کے لیے جن کی ابھی منصوبہ بندی کی جا رہی ہے۔ یعنی، ممکنہ حملہ آور منصوبہ بند ایونٹ میں داخل ہونے کے لیے کسی اور کا ٹکٹ استعمال کر سکتا ہے۔
اوسطاً، ایک مخصوص دن (24.01.2019/07.05.2019/25 سے 35/XNUMX/XNUMX تک) کے لاگ پر مشتمل ہر Elasticsearch انڈیکس XNUMX سے XNUMX ہزار ٹکٹوں پر مشتمل ہے۔
خود ٹکٹوں کے علاوہ، انڈیکس میں لاگ ان (ای میل ایڈریسز) اور ٹیکسٹ پاس ورڈز شامل تھے تاکہ Radario کے شراکت داروں کے ذاتی اکاؤنٹس تک رسائی حاصل کی جا سکے جو اس سروس کے ذریعے اپنے ایونٹس کے ٹکٹ فروخت کرتے ہیں:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"مجموعی طور پر، 500 سے زیادہ لاگ ان/پاس ورڈ کے جوڑوں کا پتہ چلا۔ ٹکٹ کی فروخت کے اعداد و شمار شراکت داروں کے ذاتی کھاتوں میں نظر آتے ہیں:
عوامی طور پر ان خریداروں کے نام، فون نمبر اور ای میل ایڈریس بھی دستیاب تھے جنہوں نے پہلے خریدے گئے ٹکٹوں کو واپس کرنے کا فیصلہ کیا تھا:
"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"ایک تصادفی طور پر منتخب دن میں، 500 سے زیادہ ایسے ریکارڈز دریافت ہوئے۔
مجھے Radario کے تکنیکی ڈائریکٹر کی طرف سے الرٹ کا جواب موصول ہوا:
میں Radario کا تکنیکی ڈائریکٹر ہوں اور مسئلہ کی نشاندہی کرنے کے لیے آپ کا شکریہ ادا کرنا چاہوں گا۔ جیسا کہ آپ جانتے ہیں، ہم نے لچکدار تک رسائی بند کر دی ہے اور کلائنٹس کے لیے دوبارہ ٹکٹ جاری کرنے کا مسئلہ حل کر رہے ہیں۔
تھوڑی دیر بعد کمپنی نے ایک سرکاری بیان دیا:
کمپنی کے مارکیٹنگ ڈائریکٹر کرل مالیشیف نے ماسکو سٹی نیوز ایجنسی کو بتایا کہ Radario الیکٹرانک ٹکٹوں کی فروخت کے نظام میں ایک کمزوری کا پتہ چلا اور اسے فوری طور پر درست کر دیا گیا، جو سروس کے کلائنٹس سے ڈیٹا لیک ہونے کا باعث بن سکتا ہے۔
"ہم نے درحقیقت باقاعدہ اپ ڈیٹس کے ساتھ منسلک سسٹم آپریشن میں ایک کمزوری کا پتہ لگایا، جسے دریافت کے فوراً بعد ٹھیک کر دیا گیا۔ کمزوری کے نتیجے میں، بعض شرائط کے تحت، فریق ثالث کے غیر دوستانہ اقدامات ڈیٹا کے اخراج کا باعث بن سکتے ہیں، لیکن کوئی واقعہ ریکارڈ نہیں کیا گیا۔ اس وقت، تمام خرابیوں کو ختم کر دیا گیا ہے،" K. Malyshev نے کہا۔
کمپنی کے ایک نمائندے نے اس بات پر زور دیا کہ سروس کلائنٹس کے خلاف کسی بھی دھوکہ دہی کے امکان کو مکمل طور پر ختم کرنے کے لیے مسئلہ کے حل کے دوران فروخت ہونے والے تمام ٹکٹوں کو دوبارہ جاری کرنے کا فیصلہ کیا گیا ہے۔
کچھ دنوں بعد، میں نے لیک شدہ لنکس کا استعمال کرتے ہوئے ڈیٹا کی دستیابی کی جانچ کی - "بے نقاب" ٹکٹوں تک رسائی درحقیقت کور تھی۔ میری رائے میں، یہ ڈیٹا لیکیج کے مسئلے کو حل کرنے کے لیے ایک قابل، پیشہ ورانہ طریقہ ہے۔
کیس دو۔ "Fly.ru"
صبح سویرے 15.05.2019/XNUMX/XNUMX ڈیوائس لاک ڈیٹا بریچ انٹیلی جنس ایک مخصوص IS کے لاگز کے ساتھ ایک عوامی Elasticsearch سرور کی نشاندہی کی۔
بعد میں یہ ثابت ہوا کہ سرور کا تعلق ٹور سلیکشن سروس "Sletat.ru" سے ہے۔
انڈیکس سے cbto__0 ہزاروں (11,7 ہزار ڈپلیکیٹس سمیت) ای میل پتوں کے ساتھ ساتھ کچھ ادائیگی کی معلومات (ٹور کے اخراجات) اور ٹور ڈیٹا (کب، کہاں، ہوائی ٹکٹ کی تفصیلات حاصل کرنا ممکن تھا) تمام ٹور میں شامل مسافر وغیرہ) تقریباً 1,8 ہزار ریکارڈ کی رقم میں:
"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"ویسے، ادا شدہ دوروں کے لنکس کافی کام کر رہے ہیں:
نام کے ساتھ اشاریہ جات میں graylog_ واضح متن میں Sletat.ru سسٹم سے منسلک ٹریول ایجنسیوں کے لاگ ان اور پاس ورڈ تھے اور اپنے کلائنٹس کو ٹور فروخت کر رہے تھے:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."میرے اندازے کے مطابق، کئی سو لاگ ان/پاس ورڈ کے جوڑے دکھائے گئے تھے۔
پورٹل پر ٹریول ایجنسی کے ذاتی اکاؤنٹ سے agent.sletat.ru پاسپورٹ نمبر، بین الاقوامی پاسپورٹ، تاریخ پیدائش، مکمل نام، ٹیلی فون نمبر اور ای میل ایڈریس سمیت کسٹمر ڈیٹا حاصل کرنا ممکن تھا۔
میں نے Sletat.ru سروس کو 15.05.2019/10/46 کو 16:00 (MSK) پر مطلع کیا اور چند گھنٹے بعد (XNUMX:XNUMX تک) یہ ان کی مفت رسائی سے غائب ہو گئی۔ بعد میں، Kommersant میں اشاعت کے جواب میں، سروس کی انتظامیہ نے میڈیا کے ذریعے ایک بہت ہی عجیب بیان دیا:
کمپنی کے سربراہ آندرے ورشینن نے وضاحت کی کہ Sletat.ru کئی بڑے پارٹنر ٹور آپریٹرز کو سرچ انجن میں سوالات کی تاریخ تک رسائی فراہم کرتا ہے۔ اور اس نے فرض کیا کہ DeviceLock اسے موصول ہوا: "تاہم، مخصوص ڈیٹا بیس میں سیاحوں کا پاسپورٹ ڈیٹا، ٹریول ایجنسی لاگ ان اور پاس ورڈ، ادائیگی کی معلومات وغیرہ شامل نہیں ہیں۔" آندرے ورشینن نے نوٹ کیا کہ Sletat.ru کو ابھی تک ایسے سنگین الزامات کا کوئی ثبوت نہیں ملا ہے۔ "ہم اب ڈیوائس لاک سے رابطہ کرنے کی کوشش کر رہے ہیں۔ ہمیں یقین ہے کہ یہ ایک حکم ہے۔ کچھ لوگ ہماری تیز رفتار ترقی کو پسند نہیں کرتے، "انہوں نے مزید کہا۔ "
جیسا کہ اوپر دکھایا گیا ہے، سیاحوں کے لاگ ان، پاس ورڈز اور پاسپورٹ کا ڈیٹا کافی عرصے سے پبلک ڈومین میں تھا (کم از کم 29.03.2019 مارچ XNUMX سے، جب کمپنی کا سرور پہلی بار شوڈان سرچ انجن کے ذریعے پبلک ڈومین میں ریکارڈ کیا گیا تھا)۔ یقیناً کسی نے ہم سے رابطہ نہیں کیا۔ مجھے امید ہے کہ کم از کم انہوں نے ٹریول ایجنسیوں کو لیک ہونے کے بارے میں مطلع کیا اور انہیں اپنے پاس ورڈ تبدیل کرنے پر مجبور کیا۔
معلومات لیک ہونے اور اندرونی معلومات کے بارے میں خبریں ہمیشہ میرے ٹیلیگرام چینل پر مل سکتی ہیں۔'.
ماخذ: www.habr.com