今天我们将同时看两个案例——两家完全不同公司的客户和合作伙伴的数据可以免费获取,“感谢”开放的 Elasticsearch 服务器以及这些公司的信息系统 (IS) 日志。
在第一种情况下,这些是通过 Radario 系统出售的数万(也可能是数十万)各种文化活动(剧院、俱乐部、河流旅行等)的门票(www.radario.ru).
在第二种情况下,这是数千名(可能是数万名)通过与 Sletat.ru 系统相连的旅行社购买旅游的游客的旅游旅行数据(www.sletat.ru).
我想立即指出,不仅允许公开数据的公司名称不同,而且这些公司识别该事件的方法以及随后对此事件的反应也不同。 但首先要做的事情是……
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
案例一。 “拉达里奥”
06.05.2019年XNUMX月XNUMX日晚上我们的系统 ,隶属于电子门票销售服务 Radario。
根据已经建立的悲伤传统,服务器包含服务信息系统的详细日志,从中可以获取个人数据、用户登录名和密码,以及全国各地各种活动的电子门票本身。
日志总量超过1TB。
据 Shodan 搜索引擎显示,该服务器自 11.03.2019 年 06.05.2019 月 22 日起已公开可用。 我于 50 年 07.05.2019 月 09 日 30:XNUMX(MSK)通知了 Radario 员工,并于 XNUMX 年 XNUMX 月 XNUMX 日 XNUMX:XNUMX 左右通知了 Radario 员工,服务器不可用。
日志包含一个通用(单一)授权令牌,可以通过特殊链接访问所有购买的门票,例如:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk问题还在于,为了计算票证,使用了订单的连续编号和票号的简单枚举(XXXXXXXX)或订购(YYYYYY),可以从系统中获取所有门票。
为了检查数据库的相关性,我什至老老实实给自己买了最便宜的票:
后来在公共服务器的 IS 日志中发现了它:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk另外,我想强调的是,已经举办的活动和仍在计划中的活动均提供门票。 也就是说,潜在的攻击者可以使用其他人的门票来进入计划的活动。
平均而言,包含某一特定日期(从 24.01.2019/07.05.2019/25 到 35/XNUMX/XNUMX)日志的每个 Elasticsearch 索引包含 XNUMX 到 XNUMX 个票证。
除了门票本身之外,索引还包含登录名(电子邮件地址)和文本密码,用于访问通过此服务出售活动门票的 Radario 合作伙伴的个人帐户:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"总共检测到超过 500 个登录名/密码对。 门票销售统计可在合作伙伴的个人账户中查看:
还公开了决定退回之前购买的门票的买家的姓名、电话号码和电子邮件地址:
"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"在随机选择的一天内,发现了 500 多条此类记录。
我收到了 Radario 技术总监对警报的回复:
我是 Radario 的技术总监,感谢您发现问题。 如您所知,我们已关闭对 Elastic 的访问,并正在解决为客户重新开票的问题。
不久之后,该公司发表了正式声明:
该公司营销总监基里尔·马利舍夫 (Kirill Malyshev) 告诉莫斯科城市通讯社,Radario 电子门票销售系统中发现了一个漏洞并立即得到纠正,这可能会导致该服务的客户数据泄露。
“我们实际上发现了与定期更新相关的系统操作漏洞,发现后立即修复了该漏洞。 由于该漏洞,在某些情况下,第三方的不友好行为可能会导致数据泄露,但没有记录到任何事件。 目前,所有故障均已排除。”K. Malyshev 说道。
公司代表强调,决定重新签发问题解决期间售出的所有门票,以彻底消除针对服务客户的任何欺诈可能性。
几天后,我使用泄露的链接检查了数据的可用性 - 确实涵盖了对“暴露”门票的访问。 在我看来,这是解决数据泄露问题的一种称职且专业的方法。
情况二。 “Fly.ru”
15.05.2019年XNUMX月XNUMX日凌晨 DeviceLock 数据泄露情报 识别出具有某个 IS 日志的公共 Elasticsearch 服务器。
后来确定该服务器属于旅游选择服务“Sletat.ru”。
来自索引 CBTO__0 可以获得数千个(11,7个,包括重复的)电子邮件地址,以及一些支付信息(旅游费用)和旅游数据(时间、地点、机票详细信息) 所有 旅游行程中包含的旅客等)数量约1,8条记录:
"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"顺便说一下,付费旅游的链接非常有效:
在带有名称的索引中 灰色日志_ 以明文形式显示的是连接到 Sletat.ru 系统并向其客户销售旅游的旅行社的登录名和密码:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."据我估计,显示了数百个登录名/密码对。
来自门户网站上旅行社的个人帐户 代理.sletat.ru 可以获取客户数据,包括护照号码、国际护照、出生日期、全名、电话号码和电子邮件地址。
我于 15.05.2019 年 10 月 46 日 16:00(MSK)通知了 Sletat.ru 服务,几个小时后(直到 XNUMX:XNUMX)它从他们的免费访问中消失了。 随后,针对《生意人报》的报道,该服务的管理层通过媒体发表了一个非常奇怪的声明:
该公司负责人 Andrei Vershinin 解释说,Sletat.ru 为许多主要合作伙伴旅游运营商提供了访问搜索引擎中查询历史记录的权限。 他假设DeviceLock收到了它:“但是,指定的数据库不包含游客的护照数据、旅行社的登录名和密码、支付信息等。” Andrei Vershinin 指出,Sletat.ru 尚未收到任何此类严重指控的证据。 “我们现在正在尝试联系 DeviceLock。 我们相信这是一个命令。 有些人不喜欢我们的快速增长,”他补充道。 ”
如上图所示,游客的登录名、密码和护照数据在相当长的一段时间内都处于公共领域(至少自 29.03.2019 年 XNUMX 月 XNUMX 日,该公司的服务器首次被 Shodan 搜索引擎记录在公共领域以来)。 当然,没有人联系我们。 我希望至少他们将泄露事件通知给旅行社并迫使他们更改密码。
关于信息泄露和内部人士的消息总是可以在我的 Telegram 频道上找到““。
来源: habr.com