Es gab medizinische Daten, es gab Daten zu Krediten, diesmal gab es eine Reihe von Daten zu Zahlungen für Geldbußen der Verkehrspolizei und Schulden zu Vollstreckungsverfahren des Gerichtsvollziehers.
Die gute Nachricht ist, dass diese Zahlungen nicht mit der offiziellen Website der Regierungsdienste zusammenhängen. Die schlechte Nachricht ist, dass es viele Daten gibt, die mehr als „persönlich“ sind.
: . . , .
Am 12. April (nachts) wurde ein Elasticsearch-Server entdeckt, für dessen Verbindung keine Authentifizierung erforderlich ist. Ich habe einen Blog-Beitrag darüber geschrieben, wie offene Elasticsearch-Datenbanken entdeckt werden .
Die Elasticsearch-Indizes enthielten die Protokolle eines bestimmten Informationssystems (IP). Es wurde angenommen, dass dieser Server mit Websites verbunden ist, die Zahlungen zugunsten verschiedener staatlicher Dienste akzeptieren: paygibdd.rf , paygibdd.ru , gos-oplata.ru , fines.net und oplata-fssp.ru .
Am Morgen des 13. April 2019 schickte ich eine Benachrichtigung an die E-Mail-Adressen: support@gos-oplata.ru , support@oplata-fssp.ru , support@paygibdd.ru , erhielt jedoch keine Antwort (wie so oft). Der Server war leise „abgedeckt“ und verschwand am 13.04.2019 um ca. 15: 20-15: 45 Uhr (Moskauer Zeit) aus dem öffentlichen Zugriff.
Zum Zeitpunkt des Herunterfahrens des Servers sahen die Elasticsearch-Indizes folgendermaßen aus:
Kommen wir nun zu den interessantesten - direkt zu den persönlichen Daten. Wie ich oben geschrieben habe, enthielten die Indizes eine Art Protokoll einer IP. Und wie so oft erwiesen sich die Protokolle als sehr detailliert, sogar zu sehr.
Die Protokolle wurden ab dem 28.02.2019 und nicht für die gesamte Dauer des IP-Vorgangs gespeichert. In einigen Indizes stammten die Daten vom 17.03.2019.
Wenn Sie beispielsweise die Protokolle aus dem Gosoplata- Index verwenden , können Sie Folgendes erhalten (insgesamt 248365 ohne Fehlerprotokollierung):
{ "_index": "gosoplata", "_type": "log", "@timestamp": "2019-03-02T20:55:02+03:00", "message": " ", "extra": "[\n 'gis_info' => unserialize('O:34:\"app\\\\models\\\\payment\\\\api\\\\PenaltyInfo\":10:{s:10:\"billNumber\";s:20:\"021170025955001\";s:8:\"billDate\";s:10:\"2017-04-03\";s:10:\"validUntil\";s:10:\"2017-06-03\";s:6:\"amount\";s:9:\"146030.26\";s:7:\"addInfo\";s:1424:\" № /17/ - 03.04.2017 . ., ( )///32253021170025955001_0;: ( , / 05501845860);: ( , / 05501845860); : ; : 40302810400001000005;: 5321100670;: 532132002; : 044959001;: 49625000;: 0;idDebtsum:146540.26;ipPaymentAmount:0.00;ipOperationAmount:0.00;dataUnloadDate:2018-12-04T11:26:19.000;dataIdDate:2017-01-27;dataIdNumber:2-53/2017;dataIpRiseDate:2017-04-03;dataIpNumber: /17/-;dataIdDbtrFio: ;dataIdDbtrBorn:-09-03;dataIdDebtText: ( );\";s:7:\"docName\";s:3:\"inn\";s:9:\"docNumber\";s:12:\" 0819584\";s:9:\"payStatus\";s:1:\"0\";s:9:\"quittance\";s:1:\"3\";s:11:\"amountToPay\";s:9:\"146030.26\";}'),\n]", "context": "[\n '_GET' => [],\n '_POST' => [],\n]" } }
Ich habe alle sensiblen Daten mit einem X bewertet. In Wirklichkeit wurde alles in offener Form gespeichert.
Aus dem oplata-fssp-Index (insgesamt 283958 ohne Fehler):
{ "_index": "oplata-fssp", "_type": "log", "@timestamp": "2019-02-28T22:17:24+03:00", "extra": "[\n 'request_data' => [\n 'MNT_ID' => '3280',\n 'MNT_TRANSACTION_ID' => ''0795c78337a5a308',\n 'MNT_OPERATION_ID' => '' 3232',\n 'MNT_AMOUNT' => '544.00',\n 'MNT_CURRENCY_CODE' => 'RUB',\n 'MNT_TEST_MODE' => '0',\n 'MNT_SIGNATURE' => '6435224cc10bbc970f6479787',\n 'paymentSystem_unitId' => '1686945',\n 'MNT_CORRACCOUNT' => '303',\n 'MNT_PAY_SYSTEM' => 'payanyway',\n 'MNT_IS_REGULAR' => '',\n 'MNT_FORM_METHOD' => 'POST',\n 'cardnumber' => '639002********7417',\n ],\n 'model_attributes' => [\n 'id' => 482137,\n 'parent_id' => null,\n 'name' => ' ',\n 'ur' => 0,\n 'birthdate' => '-06-06',\n 'doc_type' => null,\n 'doc_value' => null,\n 'hash' => ''795c78337a5a308',\n 'created_at' => '2019-02-28 22:16:10',\n 'form_url' => 'https://service.moneta.ru/assistant.widget? '&MNT_CURRENCY_CODE=RUB&MNT_AMOUNT=544.00&MNT_DESCRIPTION= . N482137 : 32223088190136500007 : /19/-&MNT_TEST_MODE=0&' &MNT_SUCCESS_URL=https://oplata-fssp.ru/payment/success&MNT_FAIL_URL=https://oplata-fssp.ru/payment/fail&MNT_PAY_SYSTEM=payanyway&MNT_IS_REGULAR=&MNT_FORM_METHOD=POST&followup=true',\n 'email' => ''@bk.ru',\n 'payment_system_id' => 'moneta',\n 'transaction_id' => '338533232',\n 'updated_at' => '2019-02-28 22:16:16',\n 'a3_order_hash' => null,\n 'receipt_send' => null,\n 'receipt_status_id' => null,\n 'payment_status_id' => 'callback_received',\n 'lead_source' => 'fssp',\n ],\n]", "context": "[\n '_GET' => [],\n '_POST' => [\n 'MNT_ID' => ''280',\n 'MNT_TRANSACTION_ID' => ''795c78337a5a308',\n 'MNT_OPERATION_ID' => ''3232',\n 'MNT_AMOUNT' => '544.00',\n 'MNT_CURRENCY_CODE' => 'RUB',\n 'MNT_TEST_MODE' => '0',\n 'MNT_SIGNATURE' => '6435224cc'10bbc970f6479787',\n 'paymentSystem_unitId' => ''45',\n 'MNT_CORRACCOUNT' => '303',\n 'MNT_PAY_SYSTEM' => 'payanyway',\n 'MNT_IS_REGULAR' => '',\n 'MNT_FORM_METHOD' => 'POST',\n 'cardnumber' => '639002********7417',\n ],\n]" } }
Hier ist zu sehen (der Wert der Kartennummer ), dass ihre Besitzer durch das Durchsickern der vollständigen Kreditkartennummern nur dadurch gerettet wurden, dass das Zahlungsgateway (in diesem Fall moneta.ru ) diese IP-Nummer nicht in klarer Form (nur die ersten 6 und letzten 4 Ziffern der Kartennummer) angegeben hat )
Aus den Protokollen ging auch hervor, dass die offizielle Website des FSSP den Bürgern die Möglichkeit bietet, Zahlungen über diese IP zu leisten: is.fssprus.ru/pay/?service=gosoplata&pay=XXXXXX/18/XXXXXX-IP . Was indirekt durch den Text ganz unten auf der Website oplata-fssp.ru bestätigt wird:
Nun wollen wir sehen, was mit den Geldstrafen für Verkehrsregeln zu tun hat. Die shtrafov-net- Indizes (4528 Einträge ohne Fehler) und paygibdd ( 140666 Einträge ohne Fehler) sind eindeutig dafür verantwortlich:
{ "_index": "shtrafov-net", "_type": "log", "@timestamp": "2019-03-17T17:16:51+03:00", "message": "INSERT INTO customer (doc_type, doc_value, licence_plate, vehicle_model) VALUES ('ctc', '99026', '', ' ')", "context": "[\n '_GET' => [],\n '_POST' => [\n 'postdate' => '10/03/2019',\n 'postnum' => '18810018180002',\n 'postsum' => '1000',\n 'divid' => '1194040',\n 'uin' => '18810018180002',\n 'regnum' => '',\n 'regreg' => '1',\n 'reg' => '34084',\n 'discount' => '1',\n 'discountdate' => '01/04/2019 23:59:59',\n 'allfines' => '[{\"Discount\":\"1\",\"enableDiscount\":false,\"DateDecis\":\"2019-03-10 09:05:00\",\"KoAPcode\":\"12.6\",\"DateDiscount\":\"01/04/2019 23:59:59\",\"VehicleModel\":\" \",\"KoAPtext\":\" , , , , , \",\"NumPost\":\"18810018180002\",\"kbk\":\"18811630020016000140\",\"Summa\":1000,\"Division\":1194040,\"enablePics\":false,\"id\":\"18#FF474785255\",\"SupplierBillID\":\"18810018180002\",\"DatePost\":\"10/03/2019\"},{\"Discount\":\"1\",\"enableDiscount\":false,\"DateDecis\":\"2019-03-08 14:55:00\",\"KoAPcode\":\"12.9.2\",\"DateDiscount\":\"01/04/2019 23:59:59\",\"VehicleModel\":\" \",\"KoAPtext\":\" 20, 40 /\",\"NumPost\":\"18810118190312\",\"kbk\":\"18811630020016000140\",\"Summa\":500,\"Division\":1194010,\"enablePics\":true,\"id\":\"18#18810118190312\",\"SupplierBillID\":\"18810118190312\",\"DatePost\":\"12/03/2019\"}]',\n ],\n]" } { "_index": "paygibdd", "_type": "log", "@timestamp": "2019-02-28T17:30:57+03:00", "message": " ", "extra": "[\n 'request_data' => [\n 'postdate' => '02.10.2017',\n 'postnum' => '188101161710029',\n 'postsum' => '500',\n 'divid' => '1192201',\n 'uin' => '188101161710029',\n 'regnum' => 'XCB',\n 'regreg' => '1',\n 'reg' => '16462',\n 'discount' => '1',\n 'discountdate' => '2017-10-23 23:59:59',\n 'allfines' => '[{\"Discount\":\"0\",\"DateDecis\":\"2016-12-17 02:30:00\",\"KoAPcode\":\"12.26.1\",\"KoAPtext\":\" \",\"NumPost\":\"188104121603000\",\"kbk\":\"18811630020016000140\",\"Summa\":\"30000\",\"Division\":1188030,\"enablePics\":false,\"id\":\"12#FF176064188\",\"SupplierBillID\":\"188104121603000\",\"DatePost\":\"2017-03-06\",\"DateSSP\":null},{\"Discount\":\"1\",\"enableDiscount\":false,\"DateDecis\":\"2017-09-18 14:32:00\",\"KoAPcode\":\"12.9.2\",\"DateDiscount\":\"2017-10-23 23:59:59\",\"KoAPtext\":\" 20, 40 /\",\"NumPost\":\"188101161710029\",\"kbk\":\"18811630020016000140\",\"Summa\":\"500\",\"Division\":1192201,\"enablePics\":true,\"id\":\"16#43522519023478911\",\"SupplierBillID\":\"188101161710029\",\"DatePost\":\"2017-10-02\",\"DateSSP\":null},{\"Discount\":\"1\",\"enableDiscount\":false,\"DateDecis\":\"2017-11-01 04:23:00\",\"KoAPcode\":\"12.9.2\",\"DateDiscount\":\"2017-11-24 23:59:59\",\"KoAPtext\":\" 20, 40 /\",\"NumPost\":\"18810116171104\",\"kbk\":\"18811630020016000140\",\"Summa\":\"500\",\"Division\":1192201,\"enablePics\":true,\"id\":\"16#44211639030358281\",\"SupplierBillID\":\"1881011617110\",\"DatePost\":\"2017-11-04\",\"DateSSP\":null},{\"Discount\":\"1\",\"enableDiscount\":false,\"DateDecis\":\"2017-10-31 12:08:00\",\"KoAPcode\":\"12.9.2\",\"DateDiscount\":\"2017-11-27 23:59:59\",\"KoAPtext\":\" 20, 40 /\",\"NumPost\":\"188101161711056\",\"kbk\":\"18811630020016000140\",\"Summa\":\"500\",\"Division\":1192201,\"enablePics\":true,\"id\":\"16#44236760030609331\",\"SupplierBillID\":\"188101161711056\",\"DatePost\":\"2017-11-05\",\"DateSSP\":null},{\"Discount\":\"1\",\"enableDiscount\":false,\"DateDecis\":\"2018-01-27 23:46:00\",\"KoAPcode\":\"12.37.2\",\"DateDiscount\":\"2018-02-16 23:59:59\",\"KoAPtext\":\" , , \",\"NumPost\":\"188102161820027\",\"kbk\":\"18811630020016000140\",\"Summa\":\"800\",\"Division\":1192200,\"enablePics\":false,\"id\":\"16#4516501003986993\",\"SupplierBillID\":\"188102161820027\",\"DatePost\":\"2018-01-27\",\"DateSSP\":null}]',\n ],\n]",
Zusammenfassend waren alle Einzelheiten der Zahlungen frei verfügbar: die Nummer der Geldbuße, das staatliche Kennzeichen des Autos, die Nummer des Vollstreckungsverfahrens bei der Zahlung zugunsten des Gerichtsvollziehers, die erste und letzte Ziffer der Bankkarten, über die das Zahlungsportal die Zahlung getätigt hat, vollständiger Name und Adresse E-Mail-Zahler und mehr.
Für einen ausgewählten Tag (12.04) gab es (Datensätze) in den Indizes:
shtrafov-net 251 paygibdd 3821 gosoplata 20676 oplata-fssp 15277
Die Shodan-Suchmaschine hat diesen Server am 24.02.2019 erstmals öffentlich zugänglich gemacht.
Nachrichten über Informationslecks und Insider finden Sie immer auf meinem Telegrammkanal „ Informationslecks “.