今天我們將同時看兩個案例——兩家完全不同公司的客戶和合作夥伴的數據可以免費獲取,“感謝”開放的 Elasticsearch 伺服器以及這些公司的資訊系統 (IS) 日誌。
在第一種情況下,這些是透過 Radario 系統出售的數萬(也可能是數十萬)各種文化活動(劇院、俱樂部、河流旅行等)的門票(www.radario.ru).
在第二種情況下,這是數千名(可能是數萬名)透過與 Sletat.ru 系統相連的旅行社購買旅遊的遊客的旅遊旅行數據(www.sletat.ru).
我想立即指出,不僅允許公開資料的公司名稱不同,而且這些公司識別該事件的方法以及隨後對此事件的反應也不同。 但首先要做的事情是…
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
案例一。 “拉達裡奧”
06.05.2019年XNUMX月XNUMX日晚上我們的系統 ,隸屬於電子門票銷售服務 Radario。
根據已經建立的悲傷傳統,伺服器包含服務資訊系統的詳細日誌,從中可以獲得個人資料、使用者登入名稱和密碼,以及全國各地各種活動的電子門票本身。
日誌總量超過1TB。
據 Shodan 搜尋引擎顯示,該伺服器自 11.03.2019 年 06.05.2019 月 22 日起可公開存取。 我於 50 年 07.05.2019 月 09 日 30:XNUMX(MSK)通知了 Radario 員工,並於 XNUMX 年 XNUMX 月 XNUMX 日 XNUMX:XNUMX 左右通知了 Radario 員工,伺服器不可用。
日誌包含一個通用(單一)授權令牌,可以透過特殊連結存取所有購買的門票,例如:
http://radario.ru/internal/tickets/XXXXXXXX/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk
http://radario.ru/internal/orders/YYYYYYY/print?access_token=******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk問題還在於,為了計算票證,使用了訂單的連續編號和票號的簡單枚舉(XXXXXXXXX)或訂購(YYYYYY),可以從系統中取得所有門票。
為了檢查資料庫的相關性,我甚至老實給自己買了最便宜的票:
後來在公共伺服器的 IS 日誌中發現了它:
http://radario.ru/internal/tickets/11819272/print?access_token==******JuYWw6MDIzOWRjOTM1NzJiNDZjMTlhZGFjZmRhZTQ3ZDgyYTk另外,我想強調的是,已經舉辦的活動和仍在計劃中的活動均提供門票。 也就是說,潛在的攻擊者可以使用其他人的門票來進入計劃的活動。
平均而言,包含某一特定日期(從 24.01.2019/07.05.2019/25 到 35/XNUMX/XNUMX)日誌的每個 Elasticsearch 索引包含 XNUMX 到 XNUMX 個票證。
除了門票本身之外,索引還包含登入名稱(電子郵件地址)和文字密碼,用於存取透過此服務出售活動門票的 Radario 合作夥伴的個人帳戶:
Content: "ReturnUrl=&UserEmail=***@yandex.ru&UserPassword=***"總共偵測到超過 500 個登入名稱/密碼對。 門票銷售統計可在合作夥伴的個人帳戶中查看:
也公開了決定退回之前購買的門票的買家的姓名、電話號碼和電子郵件地址:
"Content": "{"name":"***","surname":"*** ","middleName":"Евгеньевна ","passportType":1,"passportNumber":"","passportIssueDate":"11-11-2011 11:11:11","passportIssuedBy":"","email":"***@mail.ru","phone":"+799*******","ticketNumbers":["****24848","****948732"],"refundReason":4,"comment":""}"在隨機選擇的一天內,發現了 500 多筆此類記錄。
我收到了 Radario 技術總監對警報的回覆:
我是 Radario 的技術總監,感謝您發現問題。 如您所知,我們已關閉對 Elastic 的訪問,並正在解決為客戶重新開票的問題。
不久之後,該公司發表了正式聲明:
該公司行銷總監 Kirill Malyshev 告訴莫斯科城市通訊社,Radario 電子門票銷售系統中發現了一個漏洞並立即得到糾正,這可能會導致該服務的客戶資料外洩。
「我們實際上發現了與定期更新相關的系統操作漏洞,發現後立即修復了該漏洞。 由於漏洞,在某些情況下,第三方的不友善行為可能會導致資料洩露,但沒有記錄到任何事件。 目前,所有故障均已排除。」K. Malyshev 說。
公司代表強調,決定重新簽發問題解決期間售出的所有門票,以徹底消除針對服務客戶的任何詐欺可能性。
幾天后,我使用洩露的連結檢查了資料的可用性 - 確實涵蓋了對「暴露」門票的訪問。 在我看來,這是解決資料外洩問題的一種稱職且專業的方法。
情況二。 “Fly.ru”
15.05.2019年XNUMX月XNUMX日凌晨 DeviceLock 數據洩露情報 辨識出具有某個 IS 日誌的公用 Elasticsearch 伺服器。
後來確定該伺服器屬於旅遊選擇服務「Sletat.ru」。
來自索引 CBTO__0 可以獲得數千個(11,7個,包括重複的)電子郵件地址,以及一些支付資訊(旅遊費用)和旅遊數據(時間、地點、機票詳細資訊) 所有 旅遊行程中包含的旅客等)數量約1,8筆記錄:
"full_message": "Получен запрос за создание платежного средства: {"SuccessReturnUrl":"https://sletat.ru/tour/7-1939548394-65996246/buy/?ClaimId=b5e3bf98-2855-400d-a93a-17c54a970155","ErrorReturnUrl":"https://sletat.ru/","PaymentAgentId":15,"DocumentNumber":96629429,"DocumentDisplayNumber":"4451-17993","Amount":36307.0,"PaymentToolType":3,"ExpiryDateUtc":"2020-04-03T00:33:55.217358+03:00","LifecycleType":2,"CustomerEmail":"[email protected]","Description":"","SettingsId":"8759d0dd-da54-45dd-9661-4e852b0a1d89","AdditionalInfo":"{"TourOfficeAdditionalInfo":{"IsAdditionalPayment":false},"BarrelAdditionalInfo":{"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]},"Tickets":[{"Passenger":{"FIO":"XXX VIKTORIIA"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX ANDREI"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false},{"Passenger":{"FIO":"XXX Andrei"},"ReservationSystem":null,"TicketNumber":null,"IsRefundPossible":false}],"Segments":[{"Flight":"5659","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"LED","DepartureAirport":"LED","DepartureAirportIataCode":"LED","DepartureDate":"2019-04-11T02:45:00","DepartureTime":null,"ArrivalCity":"SHJ","ArrivalAirport":"SHJ","ArrivalAirportIataCode":"SHJ","ArrivalDate":"2019-04-11T09:40:00","ArrivalTime":null,"FareCode":null},{"Flight":"5660","AviaCompany":null,"AviaCompanyIataCode":null,"DepartureCity":"SHJ","DepartureAirport":"SHJ","DepartureAirportIataCode":"SHJ","DepartureDate":"2019-04-14T10:45:00","DepartureTime":null,"ArrivalCity":"LED","ArrivalAirport":"LED","ArrivalAirportIataCode":"LED","ArrivalDate":"2019-04-14T15:50:00","ArrivalTime":null,"FareCode":null}]}","FinancialSystemId":9,"Key":"18fe21d1-8c9c-43f3-b11d-6bf884ba6ee0"}"順便說一下,付費旅遊的連結非常有效:
在帶有名稱的索引中 灰色日誌_ 以明文顯示的是連接到 Sletat.ru 系統並向其客戶銷售旅遊的旅行社的登入名稱和密碼:
"full_message": "Tours by request 155213901 added to local cache with key 'user_cache_155213901' at 5/6/2019 4:49:07 PM, rows found 0, sortedPriceLength 215. QueryString: countryId=90&cityFromId=1265&s_nightsMin=6&s_nightsMax=14&stars=403%2c404&minHotelRating=1¤cyAlias=RUB&pageSize=300&pageNumber=1&s_showcase=true&includeOilTaxesAndVisa=0&login=zakaz%40XXX.ru&password=XXX, Referer: , UserAgent: , IP: 94.154.XX.XX."據我估計,顯示了數百個登入名稱/密碼對。
來自入口網站上旅行社的個人帳戶 代理.sletat.ru 可取得客戶數據,包括護照號碼、國際護照、出生日期、全名、電話號碼和電子郵件地址。
我於 15.05.2019 年 10 月 46 日 16:00(MSK)通知了 Sletat.ru 服務,幾個小時後(直到 XNUMX:XNUMX)它從他們的免費訪問中消失了。 隨後,針對《生意人報》的報道,該服務的管理層透過媒體發表了一個非常奇怪的聲明:
該公司負責人 Andrei Vershinin 解釋說,Sletat.ru 為許多主要合作夥伴旅遊業者提供了訪問搜尋引擎中查詢歷史記錄的權限。 他假設DeviceLock收到了它:“但是,指定的資料庫不包含遊客的護照資料、旅行社的登入名稱和密碼、付款資訊等。” Andrei Vershinin 指出,Sletat.ru 尚未收到任何此類嚴重指控的證據。 「我們現在正在嘗試聯繫 DeviceLock。 我們相信這是一個命令。 有些人不喜歡我們的快速成長,」他補充道。 」
如上圖所示,遊客的登入名稱、密碼和護照資料在相當長的一段時間內都處於公共領域(至少自29.03.2019 年XNUMX 月XNUMX 日,該公司的伺服器首次被Shodan 搜尋引擎記錄在公共領域以來) 。 當然,沒有人聯絡我們。 我希望至少他們將洩漏事件通知給旅行社並迫使他們更改密碼。
關於信息洩露和內部人士的消息總是可以在我的 Telegram 頻道上找到““。
來源: www.habr.com