Recuerde, escribí en Habré y en mi canal de Telegram cómo los detalles de los pagos a favor de la policía de tránsito y el FSSP para usuarios de sitios de pago de la policía de tránsito , paygibdd.ru , gos-oplata.ru , fines.net y oplata-fssp.ru resultaron ser de dominio público . ?
Simplemente no se ría, esto no es una broma: el mismo servidor con los datos del mismo sistema volvió a estar abierto para todo el mundo.
Bueno, vamos a solucionarlo ...
: . . , .
Primero, un pequeño recordatorio de la cronología de los eventos:
- 04/12/2019 (de noche), se descubrió un servidor Elasticsearch que no requiere autenticación para conectarse.
- 13/04/2019 (por la mañana) se envió una alerta a los propietarios del servidor.
- 13/04/2019 (por la tarde) el servidor "en silencio" fue eliminado del acceso abierto.
En el momento del primer apagado del servidor, los índices de Elasticsearch se veían así:
Y el 21/05/2019 aproximadamente a las 4:00 p.m. (GMT), el mismo servidor Elasticsearch, con los mismos (más nuevos) índices, aparece nuevamente en el dominio público:
No podía creer lo que veía cuando vi (justo después de hablar en PHDays sobre el tema de la detección de bases de datos abiertas) una notificación por correo de nuestro DeviceLock Data Breach Intelligence . Para ser honesto, el primer pensamiento fue que se trataba de algún tipo de falla del sistema.
Sin embargo, no, no fue un problema técnico, y habiendo comprobado todo manualmente, a las 01:25 ya el 22/05/2019 envié nuevamente una alerta a las mismas direcciones que por primera vez.
Desde el primer cierre, Shodan ha escaneado este servidor 11 veces y hasta el 21 de mayo Elasticsearch estaba cubierto.
Solo el 24/05/2019, este Elasticsearch desapareció del acceso público por segunda vez. Durante este tiempo, los índices han crecido sólidamente:
Y si observa los datos (solo información importante que contiene datos personales de ciudadanos) en los índices correspondientes al período comprendido entre el 1 y el 22 de mayo, la imagen es la siguiente:
- 127,525 entradas en el índice paygibdd
- 49,627 entradas en el índice shtrafov-net
- 162,282 entradas en el índice oplata-fssp
- 220,201 entradas en el índice gosoplata
Datos de muestra del índice de gosoplata :
Datos de muestra del índice paygibdd :
Bueno, la guinda del pastel fue una carta de una de las direcciones a las que envié notificaciones:
Recibimos su carta sobre ElasticSearch abierto: gracias por la información, la base de datos se cerró. El administrador del sistema que ha vuelto a abrir el acceso es despedido. Además, el servicio legal se está preparando para presentar al Ministerio del Interior de la República de Tatarstán una declaración sobre los signos de la presencia en las acciones del administrador del sistema de la composición en virtud de los artículos 272 y 273 del Código Penal de la Federación de Rusia.
Siempre se pueden encontrar noticias sobre filtraciones de información e información privilegiada en mi canal de Telegram " Fugas de información ": https://t.me/dataleak .