Geekly articles weekly

مئات الآلاف من المدفوعات التي قام بها المواطنون إلى STSI و FSSP كانت في المجال العام

كانت هناك بيانات طبية ، كانت هناك بيانات عن القروض ، هذه المرة كان هناك طابور من البيانات حول المدفوعات لغرامات شرطة المرور والديون على إجراءات إنفاذ خدمة المحضرين.



والخبر السار هو أن هذه المدفوعات لا ترتبط بالموقع الرسمي للخدمات الحكومية. الأخبار السيئة هي أن هناك الكثير من البيانات ، وأنها أكثر من "شخصية".


:        .           .      ,      .

في 12 أبريل (في الليل) ، تم اكتشاف خادم Elasticsearch لا يتطلب مصادقة للاتصال. كتبت تدوينة حول كيفية اكتشاف قواعد بيانات Elasticsearch المفتوحة .



تحتوي فهارس Elasticsearch على سجلات نظام معلومات معين (IP). تم فرض افتراض حول اتصال هذا الخادم بمواقع تقبل الدفع لصالح الخدمات الحكومية المختلفة: paymentgibdd.rf و paygibdd.ru و gos-oplata.ru و fines.net و oplata-fssp.ru .


في صباح يوم 13 أبريل 2019 ، أرسلت تنبيهًا إلى عناوين البريد الإلكتروني: support@gos-oplata.ru ، support@oplata-fssp.ru ، support@paygibdd.ru ، لكنني لم أتلقَ ردًا (كما يحدث غالبًا). كان الخادم "مغطى" بهدوء واختفى من الوصول العام 04/13/2019 في حوالي 15: 20-15: 45 (بتوقيت موسكو).


في الوقت قبل إغلاق الخادم ، بدا فهارس Elasticsearch كما يلي:



الآن دعنا ننتقل إلى الأكثر إثارة للاهتمام - مباشرة إلى البيانات الشخصية. كما كتبت أعلاه ، احتوت الفهارس على نوع من سجلات بعض عناوين IP. وكما يحدث في كثير من الأحيان ، تبين أن السجلات كانت مفصلة للغاية ، بل أكثر من اللازم.


تم تخزين السجلات بدءًا من 28/8/2016 ، وليس طوال مدة تشغيل IP. في بعض المؤشرات ، كانت البيانات من 03/17/2019.


على سبيل المثال ، باستخدام السجلات من فهرس gosoplata ، يمكنك الحصول على هذا (إجمالي 248365 باستثناء تسجيل الخطأ):


 { "_index": "gosoplata", "_type": "log", "@timestamp": "2019-03-02T20:55:02+03:00", "message": "   ", "extra": "[\n 'gis_info' => unserialize('O:34:\"app\\\\models\\\\payment\\\\api\\\\PenaltyInfo\":10:{s:10:\"billNumber\";s:20:\"021170025955001\";s:8:\"billDate\";s:10:\"2017-04-03\";s:10:\"validUntil\";s:10:\"2017-06-03\";s:6:\"amount\";s:9:\"146030.26\";s:7:\"addInfo\";s:1424:\"    № /17/  -  03.04.2017    . .,     ( )///32253021170025955001_0;:     ( ,          / 05501845860);:     ( ,          / 05501845860); :  ;  : 40302810400001000005;: 5321100670;: 532132002;  : 044959001;: 49625000;: 0;idDebtsum:146540.26;ipPaymentAmount:0.00;ipOperationAmount:0.00;dataUnloadDate:2018-12-04T11:26:19.000;dataIdDate:2017-01-27;dataIdNumber:2-53/2017;dataIpRiseDate:2017-04-03;dataIpNumber: /17/-;dataIdDbtrFio:  ;dataIdDbtrBorn:-09-03;dataIdDebtText:    ( );\";s:7:\"docName\";s:3:\"inn\";s:9:\"docNumber\";s:12:\" 0819584\";s:9:\"payStatus\";s:1:\"0\";s:9:\"quittance\";s:1:\"3\";s:11:\"amountToPay\";s:9:\"146030.26\";}'),\n]", "context": "[\n '_GET' => [],\n '_POST' => [],\n]" } }

لقد سجلت جميع البيانات الحساسة باستخدام علامة X. في الواقع ، تم تخزين كل شيء في شكل مفتوح.


من فهرس oplata-fssp (إجمالي 283958 باستثناء الأخطاء):


  { "_index": "oplata-fssp", "_type": "log", "@timestamp": "2019-02-28T22:17:24+03:00", "extra": "[\n 'request_data' => [\n 'MNT_ID' => '3280',\n 'MNT_TRANSACTION_ID' => ''0795c78337a5a308',\n 'MNT_OPERATION_ID' => '' 3232',\n 'MNT_AMOUNT' => '544.00',\n 'MNT_CURRENCY_CODE' => 'RUB',\n 'MNT_TEST_MODE' => '0',\n 'MNT_SIGNATURE' => '6435224cc10bbc970f6479787',\n 'paymentSystem_unitId' => '1686945',\n 'MNT_CORRACCOUNT' => '303',\n 'MNT_PAY_SYSTEM' => 'payanyway',\n 'MNT_IS_REGULAR' => '',\n 'MNT_FORM_METHOD' => 'POST',\n 'cardnumber' => '639002********7417',\n ],\n 'model_attributes' => [\n 'id' => 482137,\n 'parent_id' => null,\n 'name' => '  ',\n 'ur' => 0,\n 'birthdate' => '-06-06',\n 'doc_type' => null,\n 'doc_value' => null,\n 'hash' => ''795c78337a5a308',\n 'created_at' => '2019-02-28 22:16:10',\n 'form_url' => 'https://service.moneta.ru/assistant.widget? '&MNT_CURRENCY_CODE=RUB&MNT_AMOUNT=544.00&MNT_DESCRIPTION=  .  N482137 : 32223088190136500007 : /19/-&MNT_TEST_MODE=0&' &MNT_SUCCESS_URL=https://oplata-fssp.ru/payment/success&MNT_FAIL_URL=https://oplata-fssp.ru/payment/fail&MNT_PAY_SYSTEM=payanyway&MNT_IS_REGULAR=&MNT_FORM_METHOD=POST&followup=true',\n 'email' => ''@bk.ru',\n 'payment_system_id' => 'moneta',\n 'transaction_id' => '338533232',\n 'updated_at' => '2019-02-28 22:16:16',\n 'a3_order_hash' => null,\n 'receipt_send' => null,\n 'receipt_status_id' => null,\n 'payment_status_id' => 'callback_received',\n 'lead_source' => 'fssp',\n ],\n]", "context": "[\n '_GET' => [],\n '_POST' => [\n 'MNT_ID' => ''280',\n 'MNT_TRANSACTION_ID' => ''795c78337a5a308',\n 'MNT_OPERATION_ID' => ''3232',\n 'MNT_AMOUNT' => '544.00',\n 'MNT_CURRENCY_CODE' => 'RUB',\n 'MNT_TEST_MODE' => '0',\n 'MNT_SIGNATURE' => '6435224cc'10bbc970f6479787',\n 'paymentSystem_unitId' => ''45',\n 'MNT_CORRACCOUNT' => '303',\n 'MNT_PAY_SYSTEM' => 'payanyway',\n 'MNT_IS_REGULAR' => '',\n 'MNT_FORM_METHOD' => 'POST',\n 'cardnumber' => '639002********7417',\n ],\n]" } }

يمكن ملاحظة هنا (قيمة cardnumber ) أنه من تسرب أرقام بطاقات الائتمان الكاملة ، تم حفظ مالكيها فقط من خلال حقيقة أن بوابة الدفع (في هذه الحالة moneta.ru ) لم تقدم رقم IP هذا في شكل واضح (فقط أول 6 أرقام وأرقام 4 أخيرة من رقم البطاقة) ).


لقد ظهر أيضًا من السجلات أن الموقع الرسمي لـ FSSP يقدم للمواطنين تسديد المدفوعات من خلال عنوان IP هذا: is.fssprus.ru/pay/؟service=gosoplata&pay=XXXXXX/18/XXXXXX-IP . ما أكده النص بشكل غير مباشر في أسفل موقع oplata-fssp.ru :



الآن دعونا نرى ما هو غرامات لقواعد المرور. فهارس shtrafov-net (4528 إدخالات باستثناء الأخطاء) و paygibdd ( 140666 إدخالات باستثناء الأخطاء) مسؤولة بوضوح عن هذا:


 { "_index": "shtrafov-net", "_type": "log", "@timestamp": "2019-03-17T17:16:51+03:00", "message": "INSERT INTO customer (doc_type, doc_value, licence_plate, vehicle_model) VALUES ('ctc', '99026', '', '   ')", "context": "[\n '_GET' => [],\n '_POST' => [\n 'postdate' => '10/03/2019',\n 'postnum' => '18810018180002',\n 'postsum' => '1000',\n 'divid' => '1194040',\n 'uin' => '18810018180002',\n 'regnum' => '',\n 'regreg' => '1',\n 'reg' => '34084',\n 'discount' => '1',\n 'discountdate' => '01/04/2019 23:59:59',\n 'allfines' => '[{\"Discount\":\"1\",\"enableDiscount\":false,\"DateDecis\":\"2019-03-10 09:05:00\",\"KoAPcode\":\"12.6\",\"DateDiscount\":\"01/04/2019 23:59:59\",\"VehicleModel\":\"   \",\"KoAPtext\":\"   ,    ,  ,    ,       ,               \",\"NumPost\":\"18810018180002\",\"kbk\":\"18811630020016000140\",\"Summa\":1000,\"Division\":1194040,\"enablePics\":false,\"id\":\"18#FF474785255\",\"SupplierBillID\":\"18810018180002\",\"DatePost\":\"10/03/2019\"},{\"Discount\":\"1\",\"enableDiscount\":false,\"DateDecis\":\"2019-03-08 14:55:00\",\"KoAPcode\":\"12.9.2\",\"DateDiscount\":\"01/04/2019 23:59:59\",\"VehicleModel\":\"   \",\"KoAPtext\":\"         20,    40 /\",\"NumPost\":\"18810118190312\",\"kbk\":\"18811630020016000140\",\"Summa\":500,\"Division\":1194010,\"enablePics\":true,\"id\":\"18#18810118190312\",\"SupplierBillID\":\"18810118190312\",\"DatePost\":\"12/03/2019\"}]',\n ],\n]" } { "_index": "paygibdd", "_type": "log", "@timestamp": "2019-02-28T17:30:57+03:00", "message": "   ", "extra": "[\n 'request_data' => [\n 'postdate' => '02.10.2017',\n 'postnum' => '188101161710029',\n 'postsum' => '500',\n 'divid' => '1192201',\n 'uin' => '188101161710029',\n 'regnum' => 'XCB',\n 'regreg' => '1',\n 'reg' => '16462',\n 'discount' => '1',\n 'discountdate' => '2017-10-23 23:59:59',\n 'allfines' => '[{\"Discount\":\"0\",\"DateDecis\":\"2016-12-17 02:30:00\",\"KoAPcode\":\"12.26.1\",\"KoAPtext\":\"            \",\"NumPost\":\"188104121603000\",\"kbk\":\"18811630020016000140\",\"Summa\":\"30000\",\"Division\":1188030,\"enablePics\":false,\"id\":\"12#FF176064188\",\"SupplierBillID\":\"188104121603000\",\"DatePost\":\"2017-03-06\",\"DateSSP\":null},{\"Discount\":\"1\",\"enableDiscount\":false,\"DateDecis\":\"2017-09-18 14:32:00\",\"KoAPcode\":\"12.9.2\",\"DateDiscount\":\"2017-10-23 23:59:59\",\"KoAPtext\":\"         20,    40 /\",\"NumPost\":\"188101161710029\",\"kbk\":\"18811630020016000140\",\"Summa\":\"500\",\"Division\":1192201,\"enablePics\":true,\"id\":\"16#43522519023478911\",\"SupplierBillID\":\"188101161710029\",\"DatePost\":\"2017-10-02\",\"DateSSP\":null},{\"Discount\":\"1\",\"enableDiscount\":false,\"DateDecis\":\"2017-11-01 04:23:00\",\"KoAPcode\":\"12.9.2\",\"DateDiscount\":\"2017-11-24 23:59:59\",\"KoAPtext\":\"         20,    40 /\",\"NumPost\":\"18810116171104\",\"kbk\":\"18811630020016000140\",\"Summa\":\"500\",\"Division\":1192201,\"enablePics\":true,\"id\":\"16#44211639030358281\",\"SupplierBillID\":\"1881011617110\",\"DatePost\":\"2017-11-04\",\"DateSSP\":null},{\"Discount\":\"1\",\"enableDiscount\":false,\"DateDecis\":\"2017-10-31 12:08:00\",\"KoAPcode\":\"12.9.2\",\"DateDiscount\":\"2017-11-27 23:59:59\",\"KoAPtext\":\"         20,    40 /\",\"NumPost\":\"188101161711056\",\"kbk\":\"18811630020016000140\",\"Summa\":\"500\",\"Division\":1192201,\"enablePics\":true,\"id\":\"16#44236760030609331\",\"SupplierBillID\":\"188101161711056\",\"DatePost\":\"2017-11-05\",\"DateSSP\":null},{\"Discount\":\"1\",\"enableDiscount\":false,\"DateDecis\":\"2018-01-27 23:46:00\",\"KoAPcode\":\"12.37.2\",\"DateDiscount\":\"2018-02-16 23:59:59\",\"KoAPtext\":\"        ,     ,     \",\"NumPost\":\"188102161820027\",\"kbk\":\"18811630020016000140\",\"Summa\":\"800\",\"Division\":1192200,\"enablePics\":false,\"id\":\"16#4516501003986993\",\"SupplierBillID\":\"188102161820027\",\"DatePost\":\"2018-01-27\",\"DateSSP\":null}]',\n ],\n]",

بإيجاز ما تقدم ، كانت جميع تفاصيل المدفوعات متاحة مجانًا: رقم الغرامة ، لوحة ترخيص الدولة للسيارة ، رقم إجراءات الإنفاذ عند الدفع إلى خدمة bailiff ، الرقمين الأول والأخير من البطاقات المصرفية ، من خلالها تم إجراء بوابة الدفع التي تم سدادها ، الاسم والعنوان دافع البريد الإلكتروني وأكثر من ذلك.


ليوم واحد محدد (12.04) ، كان هناك (سجلات) في المؤشرات:


 shtrafov-net 251 paygibdd 3821 gosoplata 20676 oplata-fssp 15277

اكتشف محرك بحث Shodan هذا الخادم لأول مرة في المجال العام في 02.24.2019.


يمكن دائمًا العثور على أخبار حول تسرب المعلومات والمطلعين على قناة Telegram الخاصة بي " تسرب المعلومات ".

Source: https://habr.com/ru/post/ar448440/

More articles:


All Articles