Hôm nay chúng ta sẽ xem xét hai trường hợp cùng một lúc - dữ liệu của khách hàng và đối tác của hai công ty hoàn toàn khác nhau được cung cấp miễn phí “nhờ” các máy chủ Elaticsearch mở có nhật ký hệ thống thông tin (IS) của các công ty này.
Trong trường hợp đầu tiên, đây là hàng chục nghìn (và có thể hàng trăm nghìn) vé cho các sự kiện văn hóa khác nhau (sân khấu, câu lạc bộ, chuyến đi trên sông, v.v.) được bán thông qua hệ thống Radario (www.radario.ru).
Trong trường hợp thứ hai, đây là dữ liệu về các chuyến đi du lịch của hàng nghìn (có thể vài chục nghìn) khách du lịch đã mua tour thông qua các công ty du lịch được kết nối với hệ thống Sletat.ru (www.sletat.ru).
Tôi muốn lưu ý ngay rằng không chỉ tên của các công ty cho phép dữ liệu được công khai khác nhau mà còn cả cách tiếp cận của các công ty này trong việc nhận ra sự việc và phản ứng sau đó đối với nó. Nhưng điều đầu tiên trước tiên…
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Trường hợp một. "Radio"
Tối ngày 06.05.2019/XNUMX/XNUMX hệ thống chúng tôi , thuộc sở hữu của dịch vụ bán vé điện tử Radario.
Theo truyền thống đáng buồn đã được thiết lập, máy chủ chứa nhật ký chi tiết của hệ thống thông tin dịch vụ, từ đó có thể lấy dữ liệu cá nhân, thông tin đăng nhập và mật khẩu của người dùng, cũng như vé điện tử cho các sự kiện khác nhau trên khắp đất nước.
Tổng khối lượng nhật ký vượt quá 1 TB.
Theo công cụ tìm kiếm Shodan, máy chủ đã được cung cấp công khai từ ngày 11.03.2019 tháng 06.05.2019 năm 22. Tôi đã thông báo cho nhân viên Radario vào ngày 50/07.05.2019/09 lúc 30:XNUMX (MSK) và vào khoảng XNUMX:XNUMX ngày XNUMX/XNUMX/XNUMX, máy chủ không hoạt động.
Nhật ký chứa mã thông báo ủy quyền chung (duy nhất), cung cấp quyền truy cập vào tất cả các vé đã mua thông qua các liên kết đặc biệt, như:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkVấn đề cũng là để tính toán vé, việc đánh số đơn hàng liên tục đã được sử dụng và liệt kê số lượng vé đơn giản (XXXXXXXXX) hoặc thứ tự (YYYYYY), có thể lấy được tất cả các vé từ hệ thống.
Để kiểm tra mức độ liên quan của cơ sở dữ liệu, tôi thậm chí còn thành thật mua cho mình tấm vé rẻ nhất:
và sau đó tìm thấy nó trên một máy chủ công cộng trong nhật ký IS:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTkRiêng biệt, tôi muốn nhấn mạnh rằng vé đã có sẵn cho cả những sự kiện đã diễn ra và những sự kiện vẫn đang được lên kế hoạch. Nghĩa là, kẻ tấn công tiềm năng có thể sử dụng vé của người khác để tham gia sự kiện đã lên kế hoạch.
Trung bình, mỗi chỉ mục Elaticsearch chứa nhật ký cho một ngày cụ thể (bắt đầu từ 24.01.2019/07.05.2019/25 đến 35/XNUMX/XNUMX) chứa từ XNUMX đến XNUMX nghìn vé.
Ngoài bản thân vé, chỉ mục còn chứa thông tin đăng nhập (địa chỉ email) và mật khẩu văn bản để truy cập vào tài khoản cá nhân của các đối tác Radario bán vé tham dự sự kiện của họ thông qua dịch vụ này:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"Tổng cộng, hơn 500 cặp thông tin đăng nhập/mật khẩu đã được phát hiện. Thống kê bán vé được hiển thị trong tài khoản cá nhân của đối tác:
Cũng có sẵn công khai tên, số điện thoại và địa chỉ email của những người mua đã quyết định trả lại vé đã mua trước đó:
"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"Trong một ngày được chọn ngẫu nhiên, hơn 500 hồ sơ như vậy đã được phát hiện.
Tôi đã nhận được phản hồi về cảnh báo từ giám đốc kỹ thuật của Radario:
Tôi là giám đốc kỹ thuật của Radario và xin cảm ơn bạn đã xác định được vấn đề. Như bạn đã biết, chúng tôi đã đóng quyền truy cập vào elastic và đang giải quyết vấn đề cấp lại vé cho khách hàng.
Một lát sau, công ty đã đưa ra tuyên bố chính thức:
Giám đốc tiếp thị của công ty, Kirill Malyshev, nói với Thông tấn xã Thành phố Moscow rằng một lỗ hổng đã được phát hiện trong hệ thống bán vé điện tử Radario và được khắc phục kịp thời, điều này có thể dẫn đến rò rỉ dữ liệu từ khách hàng của dịch vụ.
“Chúng tôi thực sự đã phát hiện ra một lỗ hổng trong hoạt động của hệ thống liên quan đến các bản cập nhật thường xuyên và lỗ hổng này đã được sửa ngay sau khi phát hiện. Do lỗ hổng bảo mật, trong một số điều kiện nhất định, hành động không thân thiện của bên thứ ba có thể dẫn đến rò rỉ dữ liệu nhưng không có sự cố nào được ghi nhận. Hiện tại, mọi lỗi đã được loại bỏ”, K. Malyshev cho biết.
Đại diện công ty nhấn mạnh, công ty đã quyết định phát hành lại toàn bộ số vé đã bán trong quá trình giải quyết sự cố nhằm loại bỏ hoàn toàn khả năng xảy ra gian lận đối với khách hàng sử dụng dịch vụ.
Vài ngày sau, tôi đã kiểm tra tính sẵn có của dữ liệu bằng cách sử dụng các liên kết bị rò rỉ - quyền truy cập vào các vé “bị lộ” thực sự đã được bảo vệ. Theo tôi, đây là một cách tiếp cận chuyên nghiệp, hiệu quả để giải quyết vấn đề rò rỉ dữ liệu.
Trường hợp hai. "Fly.ru"
Sáng sớm ngày 15.05.2019/XNUMX/XNUMX Thông tin vi phạm dữ liệu DeviceLock đã xác định một máy chủ Elaticsearch công cộng có nhật ký của một IS nhất định.
Sau đó người ta xác định rằng máy chủ thuộc về dịch vụ lựa chọn chuyến tham quan “Sletat.ru”.
Từ chỉ mục cbto__0 có thể lấy được hàng nghìn (11,7 nghìn bao gồm cả bản sao) địa chỉ email, cũng như một số thông tin thanh toán (chi phí tham quan) và dữ liệu chuyến tham quan (thời gian, địa điểm, chi tiết vé máy bay của tất cả khách du lịch bao gồm trong chuyến tham quan, v.v.) với số lượng khoảng 1,8 nghìn hồ sơ:
"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"Nhân tiện, các liên kết đến các chuyến tham quan trả phí hoạt động khá tốt:
Trong các chỉ mục có tên Graylog_ bằng văn bản rõ ràng là thông tin đăng nhập và mật khẩu của các công ty du lịch được kết nối với hệ thống Sletat.ru và bán các chuyến du lịch cho khách hàng của họ:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."Theo ước tính của tôi, hàng trăm cặp thông tin đăng nhập/mật khẩu đã được hiển thị.
Từ tài khoản cá nhân của công ty du lịch trên cổng thông tin đại lý.sletat.ru có thể lấy dữ liệu khách hàng, bao gồm số hộ chiếu, hộ chiếu quốc tế, ngày sinh, họ tên, số điện thoại và địa chỉ email.
Tôi đã thông báo cho dịch vụ Sletat.ru vào ngày 15.05.2019/10/46 lúc 16:00 (MSK) và vài giờ sau (cho đến XNUMX:XNUMX) nó biến mất khỏi quyền truy cập miễn phí của họ. Sau đó, để đáp lại bài đăng trên Kommersant, ban quản lý dịch vụ này đã đưa ra một tuyên bố rất kỳ lạ thông qua các phương tiện truyền thông:
Người đứng đầu công ty, Andrei Vershinin, giải thích rằng Sletat.ru cung cấp cho một số nhà điều hành tour du lịch đối tác lớn quyền truy cập vào lịch sử truy vấn trong công cụ tìm kiếm. Và anh ấy cho rằng DeviceLock đã nhận được nó: “Tuy nhiên, cơ sở dữ liệu được chỉ định không chứa dữ liệu hộ chiếu của khách du lịch, thông tin đăng nhập và mật khẩu của công ty du lịch, thông tin thanh toán, v.v.” Andrei Vershinin lưu ý rằng Sletat.ru vẫn chưa nhận được bất kỳ bằng chứng nào về những cáo buộc nghiêm trọng như vậy. “Chúng tôi hiện đang cố gắng liên hệ với DeviceLock. Chúng tôi tin rằng đây là một mệnh lệnh. Một số người không thích sự tăng trưởng nhanh chóng của chúng tôi”, ông nói thêm. "
Như đã trình bày ở trên, thông tin đăng nhập, mật khẩu và dữ liệu hộ chiếu của khách du lịch đã thuộc phạm vi công cộng trong một thời gian khá dài (ít nhất là kể từ ngày 29.03.2019 tháng XNUMX năm XNUMX, khi máy chủ của công ty lần đầu tiên được công cụ tìm kiếm Shodan ghi lại vào phạm vi công cộng). Tất nhiên, không ai liên lạc với chúng tôi. Tôi hy vọng rằng ít nhất họ đã thông báo cho các công ty du lịch về vụ rò rỉ và buộc họ phải thay đổi mật khẩu.
Tin tức về rò rỉ thông tin và nội bộ luôn có thể được tìm thấy trên kênh Telegram của tôi "'.
Nguồn: www.habr.com