Bugun biz bir vaqtning o'zida ikkita holatni ko'rib chiqamiz - ikkita mutlaqo boshqa kompaniyaning mijozlari va sheriklarining ma'lumotlari ushbu kompaniyalarning axborot tizimlari (IS) jurnallari bilan ochiq Elasticsearch serverlari "tufayli" erkin mavjud edi.
Birinchi holda, bular Radario tizimi (www.radario.ru).
Ikkinchi holda, bu Sletat.ru tizimiga ulangan sayyohlik agentliklari orqali sayohatlarni sotib olgan minglab (ehtimol bir necha o'n minglab) sayohatchilarning turistik sayohatlari to'g'risidagi ma'lumotlar (www.sletat.ru).
Darhol shuni ta'kidlashni istardimki, nafaqat ma'lumotlarning ommaga ochiq bo'lishiga imkon bergan kompaniyalarning nomlari, balki ushbu kompaniyalarning voqeani tan olishga yondashuvi va unga keyingi munosabati ham farq qiladi. Lekin birinchi narsa birinchi ...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Birinchi holat. "Radario"
06.05.2019/XNUMX/XNUMX kuni kechqurun bizning tizimimiz , elektron chipta sotish xizmati Radarioga tegishli.
Allaqachon shakllangan qayg'uli an'anaga ko'ra, serverda xizmat axborot tizimining batafsil jurnallari mavjud bo'lib, ulardan shaxsiy ma'lumotlar, foydalanuvchi loginlari va parollari, shuningdek, butun mamlakat bo'ylab turli tadbirlar uchun elektron chiptalarni olish mumkin edi.
Jurnallarning umumiy hajmi 1 TB dan oshdi.
Shodan qidiruv tizimiga ko‘ra, server 11.03.2019-yil 06.05.2019-martdan boshlab hamma uchun ochiq. Men Radario xodimlarini 22 soat 50:07.05.2019 da (MSK) xabardor qildim va 09 soat taxminan 30:XNUMX da server ishlamay qoldi.
Jurnallarda barcha sotib olingan chiptalarga maxsus havolalar orqali kirishni ta'minlovchi universal (yagona) avtorizatsiya belgisi mavjud edi, masalan:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkMuammo shundaki, chiptalarni hisobga olish uchun buyurtmalarni doimiy raqamlash va chipta raqamini oddiy sanab o'tish (xXXXXXXX) yoki buyurtma (YYYYYYY), barcha chiptalarni tizimdan olish mumkin edi.
Ma'lumotlar bazasining dolzarbligini tekshirish uchun men hatto eng arzon chiptani ham sotib oldim:
va keyinchalik uni IS jurnallarida umumiy serverda topdi:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkAlohida ta'kidlashni istardimki, chiptalar allaqachon bo'lib o'tgan va rejalashtirilayotgan tadbirlar uchun ham mavjud edi. Ya'ni, potentsial hujumchi rejalashtirilgan tadbirga kirish uchun boshqa birovning chiptasidan foydalanishi mumkin.
O'rtacha bir kun uchun jurnallarni o'z ichiga olgan har bir Elasticsearch indeksi (24.01.2019 dan 07.05.2019 gacha) 25 dan 35 minggacha chiptalarni o'z ichiga oladi.
Chiptalarning o'ziga qo'shimcha ravishda, indeksda ushbu xizmat orqali o'z tadbirlariga chiptalarni sotadigan Radario hamkorlarining shaxsiy hisoblariga kirish uchun loginlar (elektron pochta manzillari) va matnli parollar mavjud:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"Hammasi bo'lib 500 dan ortiq login/parol juftligi aniqlandi. Chiptalarni sotish statistikasi hamkorlarning shaxsiy hisoblarida ko'rinadi:
Ilgari sotib olingan chiptalarni qaytarishga qaror qilgan xaridorlarning ismlari, telefon raqamlari va elektron pochta manzillari ham ommaga ochiq edi:
"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"Tasodifiy tanlangan bir kunda 500 dan ortiq bunday yozuvlar topildi.
Men Radario texnik direktoridan ogohlantirishga javob oldim:
Men Radario texnik direktoriman va muammoni aniqlaganingiz uchun sizga rahmat aytmoqchiman. Ma'lumki, biz elastikga kirishni yopdik va mijozlar uchun chiptalarni qayta rasmiylashtirish masalasini hal qilmoqdamiz.
Biroz vaqt o'tgach, kompaniya rasmiy bayonot berdi:
Radario elektron chiptalarni sotish tizimida zaiflik aniqlandi va zudlik bilan tuzatildi, bu xizmat mijozlari ma'lumotlarining sizib chiqishiga olib kelishi mumkin, dedi kompaniyaning marketing bo'yicha direktori Kirill Malyshev Moskva shahar axborot agentligiga.
“Biz haqiqatda tizim ishida muntazam yangilanishlar bilan bog‘liq zaiflikni aniqladik, bu aniqlangandan so‘ng darhol tuzatildi. Zaiflik natijasida, ma'lum sharoitlarda, uchinchi shaxslarning nodo'stona harakatlari ma'lumotlarning sizib chiqishiga olib kelishi mumkin, ammo hech qanday hodisalar qayd etilmagan. Ayni paytda barcha nosozliklar bartaraf etildi”, — dedi K.Malyshev.
Kompaniya vakilining ta'kidlashicha, xizmat mijozlariga nisbatan har qanday firibgarlik ehtimolini butunlay yo'q qilish uchun muammoni hal qilish jarayonida sotilgan barcha chiptalarni qayta rasmiylashtirishga qaror qilingan.
Bir necha kundan so'ng, men sizib chiqqan havolalar yordamida ma'lumotlar mavjudligini tekshirdim - "ochilgan" chiptalarga kirish haqiqatan ham qoplandi. Menimcha, bu ma'lumotlarning sizib chiqishi muammosini hal qilish uchun malakali, professional yondashuv.
Ikkinchi holat. "Fly.ru"
Erta tongda 15.05.2019 DeviceLock ma'lumotlarini buzish razvedkasi ma'lum bir IS jurnali bilan umumiy Elasticsearch serverini aniqladi.
Keyinchalik server "Sletat.ru" turni tanlash xizmatiga tegishli ekanligi aniqlandi.
Indeksdan cbto__0 minglab (11,7 ming nusxani hisobga olgan holda) elektron pochta manzillarini, shuningdek, ba'zi to'lov ma'lumotlarini (tur xarajatlari) va tur ma'lumotlarini (qachon, qayerda, aviachipta tafsilotlari) olish mumkin edi. всех sayohatga kiritilgan sayohatchilar va boshqalar) taxminan 1,8 ming yozuvlar miqdorida:
"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"Aytgancha, pullik turlarga havolalar juda yaxshi ishlaydi:
Nomi bilan indekslarda graylog_ aniq matnda Sletat.ru tizimiga ulangan va o'z mijozlariga turlarni sotadigan sayyohlik agentliklarining loginlari va parollari mavjud edi:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."Mening taxminlarimga ko'ra, bir necha yuz login/parol juftligi ko'rsatilgan.
Portaldagi sayyohlik agentligining shaxsiy hisobidan agent.sletat.ru mijoz ma'lumotlarini, jumladan, pasport raqamlari, xalqaro pasportlar, tug'ilgan sanalari, to'liq ismlari, telefon raqamlari va elektron pochta manzillarini olish mumkin edi.
Men Sletat.ru xizmatiga 15.05.2019 soat 10:46 da (MSK) xabar berdim va bir necha soatdan keyin (soat 16:00 gacha) u ularning bepul kirishidan g'oyib bo'ldi. Keyinchalik, "Kommersant" nashriga javoban, xizmat rahbariyati ommaviy axborot vositalari orqali juda g'alati bayonot berdi:
Kompaniya rahbari Andrey Vershininning tushuntirishicha, Sletat.ru bir qator yirik hamkor turoperatorlarga qidiruv tizimidagi so‘rovlar tarixiga kirish imkonini beradi. Va u DeviceLock uni olgan deb taxmin qildi: "Biroq, ko'rsatilgan ma'lumotlar bazasida turistlarning pasport ma'lumotlari, sayyohlik agentliklarining loginlari va parollari, to'lov ma'lumotlari va boshqalar mavjud emas". Andrey Vershininning ta'kidlashicha, Sletat.ru hozircha bunday jiddiy ayblovlar haqida hech qanday dalil olmagan. “Biz hozir DeviceLock bilan bog‘lanishga harakat qilyapmiz. Bu buyurtma ekanligiga ishonamiz. Ba'zi odamlar bizning tez o'sishimizni yoqtirmaydi ", deya qo'shimcha qildi u. "
Yuqorida ko'rsatilgandek, turistlarning loginlari, parollari va pasport ma'lumotlari ancha vaqt davomida jamoat mulki bo'lgan (hech bo'lmaganda 29.03.2019 yil XNUMX martdan boshlab, kompaniya serveri Shodan qidiruv tizimi tomonidan birinchi marta jamoat mulki sifatida qayd etilgan). Albatta, hech kim biz bilan bog'lanmadi. Umid qilamanki, ular hech bo'lmaganda sayyohlik agentliklarini oqish haqida xabardor qilishdi va ularni parollarini o'zgartirishga majbur qilishdi.
Ma'lumotlarning sizib chiqishi va insayderlar haqidagi yangiliklarni har doim mening Telegram kanalimda topishingiz mumkin "".
Manba: www.habr.com