مقدمة
يوم جيد يا اصدقاء. حدثت لي قصة اختراق صغيرة في منتصف أغسطس من هذا العام الثامن عشر. بدأت القصة في بلدة صغيرة في إقليم كراسنودار ، tyrnet سيئ ، هناك 4g ولكن هذا ليس هو ، هنا في البلاد يمكن للمرء أن يحلم فقط بالأسلاك. وفي الآونة الأخيرة ، حدثت هذه المعجزة ، وتم سحب الأسلاك إلى منطقتي ، وركضت على الفور لتوصيل 100 ميغابت في الثانية عبر الألياف الضوئية ، 8 كيلو للاتصال بالتعرفة.
الفضول
أفراح مليئة بالسراويل ، سيرمي واحدة جيدة ، والموفر محلي صغير ، ولديه حالة مزود محلي ، بدافع الفضول الذي بحثت عنه لوكس ، ونظرت إلى النطاقات الفرعية هناك ، ووجدت النطاق الفرعي
admin.provider_domain.ru / الذي ألقى على الفور تسجيل الدخول إلى نموذج تسجيل الدخول. php ، F12 ، تم فتحه تم تحميل ما تم تحميله هناك ، بدا js ، كانت هناك روابط مثيرة للاهتمام في طلبات ajax "/؟ user_id =" + id ، فقط نسخ الرابط والقيادة في رقم عشوائي ، حصلت على بيانات المستخدم في الجدول:
سلسلة / رقم جواز السفر
صدر عن
تاريخ الاصدار
الاسم الكامل
عنوان السكن
رقم الهاتف
تسجيل الدخول (من tyrnet)
"حسنًا ، لا يمكن أن يكون ذلك" ، تمسك المكتبة في رأس jq ، وقضاء 5 دقائق في كتابة طلب ajax في حلقة وبصقه في نص الصفحة ، وإخراج 21000 إدخال.
بسرعة ctrl + f ، قاد اسمي ، ونعم كنت هناك. مفاجئتي ، أي الوصول المجاني إلى بيانات المستخدم. نظرت إلى بقية الروابط في طلبات أجاكس ، كان هناك الكثير من كل شيء ، نوعًا ما من إدارة التبديل ، نوعًا ما من إعادة تشغيل شيء ما ، لأنه بصق من الصعب فهم ما هو المسؤول عنه ، لم يكن الأمر مثيرًا للاهتمام بالنسبة لي بالفعل.
لقد فات الأوان بالفعل ، فكرت ، "حسنًا ، لقد
أخطأ الحمقى المتطورون" وذهبوا إلى الفراش.
على درب. في اليوم الذي بدأت فيه التفكير ، كل ذلك ليس مزحة ، ويمكن أن أكون مسؤولاً جنائياً عن ذلك ، وفي بلادنا يزرعون إعادة نشر. تجدر الإشارة إلى أنني لم أخطط لفعل أي شيء من هذا القبيل ، وإلا كنت سأؤمن نفسي باستخدام VPN / الوكلاء. ومن ناحية أخرى ، إذا تركوا مثل هذه الثقوب ، فمن غير المحتمل أن يشاهدوا السجلات. ومن جهة أخرى ، من الأفضل أن أخبرهم كيف سيعثرون على مساراتي ، ومن ثم لن يتحدثوا معي بالتأكيد.
لعبت نقطة
أنا جوجل اسم المؤسسة في حبري ، أجد منظمة بها العديد من اللفت ، لا يوجد شيء مثير للاهتمام فيها ، وأنا أنظر إلى من هو مدرج في هذه المنظمة ، وأنا أجد جوجل مرة أخرى ، أجد مطورين في VK. أكتب: "مرحبًا ، لماذا يتوفر 21000 سجل مستخدم مع جميع بياناتهم للجمهور؟" يكتب أنه أبلغ الرئيس. حسنًا ، أعتقد أنني قمت بعملي.
القصاص للفضول
استيقظت ، حوالي العاشرة صباحًا ، يجب أن أعمل ، أنا في المقدمة. تدق عند البوابة ، أنظر من النافذة ، أنظر إلى الآلة الحمراء ، 3 أشخاص ، أتعرف على أحد المطورين من الصور ، أعتقد أن هذا كل شيء ،
لكنني حفظت جميع السجلات ، تمامًا مثل صفحة html على سطح المكتب ، وسرعان ما تحول + del> تأكيد ، خذ أنا آخذ سيجارة ، سأذهب ، أعتقد أنها ستكون ممتعة الآن ، أشعلها ، أخرج.
- مرحبًا
- مرحبًا
- أفهم أنك تفهم من أين أتينا
- نعم ، لقد فهمت بالفعل - أنا
أستنشق الدخان- أريد أن أحذرك (يظهر الهاتف) أنا أسجل محادثة
- حسنا
- لقد قمت بتنزيل قاعدة بياناتنا أمس
- لا ، لم أنزل ، وجدت ثغرة وأبلغتك.
- لدى متخصصي تكنولوجيا المعلومات لدينا بيانات قمت بتنزيلها قاعدة البيانات هذه
- إنه مستحيل ، يمكنك فقط رؤية أنني شاهدته
- نحن مصممون على حل هذه المشكلة بهدوء وسلم ، ويمكن لمتخصصي تكنولوجيا المعلومات لدينا التأكد من أنك لم تحتفظ بها لنفسك؟
- من حيث المبدأ ، نعم ، هل تذهب لالتقاط وحدة النظام أم أنها تتحقق من كل شيء في مكاني؟
يقول متخصص تكنولوجيا المعلومات:
- من الأفضل أن نأخذ وحدة النظام ونفحص في المكتب
- حسنا
هنا يمكنك أن تجادل في قراري ، من جهة ، من أنت ، لم أقم بتنزيل أي شيء ، لا تتدخل ، لن أعطي سائق النظام الخاص بي ، وماذا تثبت لي ، من ناحية أخرى ، أنه أمر خطير ، من الأفضل التحدث إليهم ، من مع الشرطة. يمكن فهمها ، حماقة أفراد الأمن ، لديهم الحق في التأكد. قررت أنه من الأفضل التحدث معهم.
نعود معهم إلى المنزل ، ونقطع رجل النظام ، ونرتدي الجينز والأحذية الرياضية ، ونذهب إلى المكتب ، ونخرج من السيارة ، وكلنا نذهب إلى المدير. أسئلة مختلفة ، لماذا فعلت هذا ، لماذا ، كيف فعلت ذلك ، قلت أن قاعدتهم كانت في المجال العام ، ويمكن لأي شخص القيام بذلك. تحدثنا ، سنقوم بالتحقق من برنامج تشغيل النظام ، قام هؤلاء الخبراء بفحص الأخطاء ، ونظروا إلى السلة ، وقاموا بتنزيل البرنامج ، وبحثوا عن طريق الكلمات الرئيسية ، هل عرضتهم على فحص هاتفي؟ يمكنني حفظ على الهاتف ، على محرك أقراص USB محمول ، والسحب؟ يمكنني حفظ محرك جوجل. بشكل عام ، بحثوا عن علامة ، وشاهدت وآمل ألا يخمنوا تنزيل نوع من برنامج استعادة البيانات ، ومعرفة ما تم حذفه. (سؤال في التعليقات ، ولكن مع استعادة بيانات ssd بسهولة من الصعب؟)
الخاتمة
جلس لمدة ساعتين يراقب محاولاتهم. أخذها اختصاصي النظام ، ذهب مع المحامي إلى المدير ، وعرض علي التوقيع على عقد زُعم أنه تم تعييني فيه بأثر رجعي ، للبحث عن نقاط الضعف في نظامهم ، كما يقولون ، لكننا لن ندفع لك (قرأت العقد قبل التوقيع (لكنني لم أطلب نسخة خمنت)) ، سنعطيك عامًا من الإنترنت المجاني للدفع ، حسنًا. قادوني إلى المنزل.
كما لاحظ زميلي لاحقًا ، من الجيد أن يكون عام الإنترنت المجاني وليس سنة الاختبار. 1500 تكلفة شهريًا بدون نقود ، مضروبة في 12 ، لدرجة أنني حصلت على حسابي في lx عندما عدت إلى المنزل وفحصت. استلق على الكرسي ، الزفير.