Einführung
Guten Tag, Freunde. Diese Geschichte eines kleinen Hacks kam mir Mitte August dieses 18. Jahres in den Sinn. Die Geschichte begann in einer kleinen Stadt im Krasnodar-Territorium, Tyrnet ist schlecht, es gibt 4 g, aber es ist nicht so, hier konnte man nur von Drähten außerhalb der Stadt träumen. Und vor kurzem geschah dieses Wunder, Drähte wurden in meine Gegend gezogen, und ich lief sofort, um 100 Mbit / s über Glasfaser zu verbinden, 8k für die Verbindung mit einem Tarif.
Neugier
Freuden sind voller Hosen, er wird einen guten werfen, der Anbieter ist ein kleiner Einheimischer, er hat den Status eines lokalen Anbieters, aus Neugier habe ich nach dem
Luxus gesucht, mir die Subdomains dort angesehen und die Subdomain
admin.provider_domain.ru / gefunden, die sofort den Login in das Login-Formular
geworfen hat . PHP, F12, geöffnet sah, was dort geladen wurde, sah js, es gab interessante Links in Ajax-Anfragen "/? user_id =" + ID, nur den Link kopieren und in einer Zufallszahl fahren, ich habe die Benutzerdaten in der Tabelle:
Passserie / -nummer
Ausgestellt von
Datum der Ausstellung
Vollständiger Name
Adresse des Wohnsitzes
Telefonnummer
Login (von tyrnet)
"Nun, das kann nicht sein", steckte die Bibliothek in head jq, verbrachte 5 Minuten damit, eine Ajax-Anfrage in einer Schleife zu schreiben und sie im Hauptteil der Seite auszuspucken, wobei 21.000 Einträge ausgegeben wurden.
Schnell Strg + F, fuhr meinen Namen und ja, ich war da. Meine Überraschung, d.h. freier Zugriff hing Benutzerdaten. Ich habe mir den Rest der Links in Ajax-Anfragen angesehen, es gab viel von allem, eine Art Switch-Management, eine Art Neustart von etwas, weil es schwer zu verstehen war, wofür es verantwortlich war, es war für mich schon nicht so interessant.
Es war schon zu spät, dachte ich, "Nun, die entwickelten
Idioten haben es vermasselt" und ging ins Bett.
Auf dem Weg. An dem Tag, an dem ich anfing zu denken, ist alles kein Scherz, und ich kann dafür strafrechtlich haftbar gemacht werden, und in unserem Land pflanzen sie Reposts. Es ist erwähnenswert, dass ich so etwas nicht geplant hatte, sonst hätte ich mich mit VPN / Proxys gesichert. Und andererseits, wenn sie solche Löcher hinterlassen, ist es unwahrscheinlich, dass sie die Protokolle beobachten. Und andererseits ist es besser, wenn ich ihnen sage, wie sie meine Spuren finden, und dann werden sie definitiv nicht mit mir sprechen.
Punkt gespielt
Ich google den Namen der Organisation auf Habré, finde eine Organisation mit mehreren Rüben, sie enthält nichts Interessantes, ich schaue, wer in dieser Organisation enthalten ist, ich google erneut, ich finde Entwickler in VK. Ich schreibe: "Hallo, warum sind 21.000 Benutzerdatensätze mit all ihren Daten öffentlich verfügbar?" Er schreibt, dass er den Chef informiert hat. Ok, ich glaube ich habe meinen Job gemacht.
Vergeltung für Neugier
Ich bin aufgewacht, gegen 10 Uhr morgens, ich muss arbeiten, ich bin Frontend. Ein Klopfen am Tor, ich schaue aus dem Fenster, ich schaue, es gibt eine rote Maschine, 3 Leute, ich erkenne einen der Entwickler auf den Bildern, ich denke das ist alles,
aber ich habe alle Datensätze gespeichert, genau wie eine HTML-Seite auf dem Desktop, schnell verschieben + del> bestätigen , nehmen Ich nehme eine Zigarette, ich gehe, ich denke, es wird jetzt Spaß machen, ich zünde sie an, ich gehe raus.
- Guten Tag
- Guten Tag
- Ich verstehe, Sie verstehen, woher wir kommen
- Ja, ich habe es schon verstanden - ich
atme den Rauch ein- Ich möchte Sie warnen (zeigt das Telefon), dass ich ein Gespräch aufzeichne
- In Ordnung
- Sie haben gestern unsere Datenbank heruntergeladen
- Nein, ich habe nicht heruntergeladen, eine Sicherheitslücke gefunden und Sie informiert.
- Unsere IT-Spezialisten haben Daten, die Sie von dieser Datenbank heruntergeladen haben
- Es ist unmöglich, man kann nur sehen, dass ich es gesehen habe
- Wir sind entschlossen, dies ruhig und friedlich zu lösen. Können unsere IT-Spezialisten sicherstellen, dass Sie es nicht für sich behalten haben?
- Im Prinzip, ja, holen Sie die Systemeinheit ab oder überprüft sie alles bei mir?
IT-Spezialist sagt:
- Es ist besser, wenn wir die Systemeinheit nehmen und im Büro einchecken
- In Ordnung
Hier können Sie mit meiner Entscheidung argumentieren, einerseits, wer Sie sind, ich habe nichts heruntergeladen, mich nicht einmischen, ich werde mein System nicht geben, und was beweisen Sie mir, andererseits ist es gefährlich, ich sollte besser mit ihnen sprechen, als mit der Polizei. Sie können verstanden werden, sie scheißen mit Sicherheitspersonal, sie haben das Recht, sich zu vergewissern. Ich entschied, dass es besser ist, mit ihnen zu sprechen.
Wir gehen mit ihnen nach Hause, schneiden den Systemmann ab, ziehen Jeans und Turnschuhe an, gehen ins Büro, steigen aus dem Auto und gehen alle zum Regisseur. Verschiedene Fragen, warum hast du das gemacht, warum, wie hast du das gemacht, ich sagte, dass ihre Basis gemeinfrei ist und jeder es tun kann. Wir haben gesprochen, wir werden den Systemtreiber überprüfen, diese Experten haben die Fehler überprüft, den Warenkorb überprüft, das Programm heruntergeladen, nach Schlüsselwörtern gesucht. Habe ich ihnen angeboten, mein Telefon zu überprüfen? Ich könnte auf dem Telefon, auf einem USB-Stick und Wolken sparen? Ich könnte Google Drive speichern. Im Allgemeinen suchten sie nach einem Häkchen, ich beobachtete und hoffte, dass sie nicht raten würden, eine Art Datenwiederherstellungsprogramm herunterzuladen und zu sehen, was gelöscht wurde. (Frage in Kommentaren, aber mit ssd Daten können auch leicht wie von schwer wiederhergestellt werden?)
Nachwort
Er saß 2 Stunden da und beobachtete ihre Versuche. Der Systemspezialist nahm es, ging mit dem Anwalt zum Direktor und bat mich, eine Vereinbarung zu unterzeichnen, nach der ich angeblich rückwirkend eingestellt wurde, um nach Schwachstellen in ihrem System zu suchen, aber wir werden Sie nicht bezahlen (ich habe die Vereinbarung vor der Unterzeichnung gelesen (aber nicht um eine Kopie gebeten) erraten)), wir geben Ihnen ein Jahr kostenloses Internet als Bezahlung, okay. Sie fuhren mich nach Hause.
Wie mein Kollege später bemerkte, ist es gut, dass das Jahr des freien Internets und nicht ein Jahr der Bewährung. 1500 kostet einen Monat ohne Geld, multiplizieren Sie mit 12, so viel hatte ich in lx auf meinem Konto, als ich nach Hause zurückkehrte und nachschaute. Lehnen Sie sich auf dem Stuhl zurück und atmen Sie aus.