Présentation
Bonjour mes amis. Cette histoire d'un petit piratage m'est venue Ă la mi-aoĂ»t de cette 18e annĂ©e. L'histoire a commencĂ© dans une petite ville du territoire de Krasnodar, le tyrnet est mauvais, il y en a 4g, mais ce n'est pas ça, ici on ne pouvait que rĂȘver de fils Ă l'extĂ©rieur de la ville. Et rĂ©cemment, ce miracle s'est produit, des fils ont Ă©tĂ© tirĂ©s dans ma rĂ©gion et j'ai immĂ©diatement couru pour connecter 100 Mbps via fibre, 8k pour la connexion avec un tarif.
Curiosité
Les joies sont pleines de pantalons, il en jettera un bon, le fournisseur est petit local, il a le statut de fournisseur local, par curiosité j'ai fouillé pour le lux, regardé quels sous-domaines là -bas, et j'ai trouvé le sous-domaine
admin.provider_domain.ru / qui a immĂ©diatement jetĂ© la connexion sur le formulaire de connexion. php, F12, ouvert a regardĂ© ce qui y Ă©tait chargĂ©, js, il y avait des liens intĂ©ressants dans les requĂȘtes ajax "/? user_id =" + id, juste en copiant le lien et en conduisant dans un nombre alĂ©atoire, j'ai obtenu les donnĂ©es utilisateur dans le tableau:
Numéro / série de passeport
Publié par
Date d'Ă©mission
Nom complet
adresse de résidence
numéro de téléphone
Connexion (depuis tyrnet)
"Eh bien, ça ne peut pas ĂȘtre le cas", a bloquĂ© la bibliothĂšque dans head jq, a passĂ© 5 minutes Ă Ă©crire une requĂȘte ajax en boucle et Ă la cracher dans le corps de la page, produisant 21 000 entrĂ©es.
Ctrl + f rapidement, a conduit mon nom, et oui j'Ă©tais lĂ . Ma surprise, c'est-Ă -dire accĂšs libre aux donnĂ©es utilisateur bloquĂ©es. J'ai regardĂ© le reste des liens dans les requĂȘtes ajax, il y avait beaucoup de tout, une sorte de gestion des commutateurs, une sorte de redĂ©marrage de quelque chose, car il crachait, il Ă©tait difficile de comprendre de quoi il Ă©tait responsable, ce n'Ă©tait pas dĂ©jĂ si intĂ©ressant pour moi.
Il était déjà trop tard, j'ai pensé: «Eh bien, les
idiots développés ont
foiré » et je me suis couché.
Sur la piste. le jour oĂč j'ai commencĂ© Ă penser, ce n'est pas une blague, et je peux ĂȘtre tenu pĂ©nalement responsable de cela, et dans notre pays, ils plantent des dĂ©pĂŽts. Il convient de noter que je nâavais pas prĂ©vu de faire quelque chose comme ça, sinon je me serais protĂ©gĂ© avec vpn / proxies. Et d'un autre cĂŽtĂ©, s'ils laissent de tels trous, il est peu probable qu'ils regardent les journaux. Et d'un autre cĂŽtĂ©, il vaut mieux que je leur dise comment ils trouveront mes morceaux, puis ils ne me parleront certainement pas.
Point joué
Je google le nom de l'organisation sur Habré, je trouve une organisation avec plusieurs navets, il n'y a rien d'intéressant, je regarde qui est inclus dans cette organisation, je google encore, je trouve des développeurs dans VK. J'écris: "Bonjour, pourquoi 21 000 enregistrements d'utilisateurs avec toutes leurs données sont-ils accessibles au public?" Il écrit qu'il a informé le patron. D'accord, je pense que j'ai fait mon travail.
Chùtiment pour la curiosité
Je me suis rĂ©veillĂ©, vers 10 heures du matin, je dois travailler, je suis frontend. On frappe Ă la porte, je regarde par la fenĂȘtre, je regarde la machine rouge, 3 personnes, je reconnais un des dĂ©veloppeurs sur les photos, je pense que c'est tout,
mais j'ai sauvegardĂ© tous les enregistrements, tout comme une page html sur le bureau, rapidement shift + del> confirm , take Je prends une cigarette, je vais, je pense que ça va ĂȘtre amusant maintenant, je lâallume, je sors.
- Bonjour
- Bonjour
- Je comprends que vous compreniez d'oĂč nous venons
- Oui, j'ai déjà compris -
j'inhale la fumée- Je veux vous avertir (montre le téléphone) J'enregistre une conversation
- d'accord
- Vous avez téléchargé notre base de données hier
- Non, je n'ai pas téléchargé, j'ai trouvé une vulnérabilité, et je vous ai informé.
- Nos informaticiens ont des données que vous avez téléchargé cette base de données
- C'est impossible, tu peux seulement voir que je l'ai regardé
- Nous sommes déterminés à résoudre cela tranquillement, pacifiquement, nos informaticiens peuvent s'assurer que vous ne l'avez pas gardé pour vous?
- En principe, oui, allez-vous chercher l'unité centrale ou vérifie-t-elle tout chez moi?
Le spécialiste informatique dit:
- Il vaut mieux prendre l'unité centrale et vérifier au bureau
- d'accord
Ici, vous pouvez contester ma dĂ©cision, d'une part, qui vous ĂȘtes, je n'ai rien tĂ©lĂ©chargĂ©, n'interfĂ©rez pas, je ne donnerai pas mon pilote systĂšme, et que me prouvez-vous, d'autre part c'est dangereux, je ferais mieux de leur parler, qu'avec la police. Ils peuvent ĂȘtre compris, ils merdent avec le personnel de sĂ©curitĂ©, ils ont le droit de s'en assurer. J'ai dĂ©cidĂ© qu'il valait mieux parler avec eux.
Nous rentrons chez eux avec eux, abattons l'homme du systÚme, mettons des jeans, des baskets, allons au bureau, sortons de la voiture, et nous allons tous chez le directeur. Diverses questions, pourquoi avez-vous fait cela, pourquoi, comment avez-vous fait cela, j'ai dit que leur base était dans le domaine public, et n'importe qui pouvait le faire. Nous avons parlé, nous allons vérifier le pilote du systÚme, ces experts ont vérifié les bogues, regardé le panier, téléchargé le programme, recherché par mots-clés, leur ai-je proposé de vérifier mon téléphone? Je pourrais économiser sur le téléphone, sur une clé USB et sur les nuages? Je pourrais enregistrer Google Drive. En général, ils cherchaient une tique, j'ai regardé et espéré qu'ils ne devineraient pas de télécharger une sorte de programme de récupération de données et de voir ce qui a été supprimé. (question dans les commentaires, mais avec les données ssd est également facilement restauré à partir du disque?)
Ăpilogue
Il s'est assis pendant 2 heures à regarder leurs tentatives. Le spécialiste du systÚme l'a pris, est allé avec l'avocat au directeur, m'a proposé de signer un contrat en vertu duquel j'aurais été embauché rétroactivement, pour rechercher des vulnérabilités dans leur systÚme, disent-ils, mais nous ne vous paierons pas (j'ai lu le contrat avant de signer (mais je n'ai pas demandé de copie) deviné)), nous vous donnerons un an d'Internet gratuit comme moyen de paiement, d'accord. Ils m'ont ramené à la maison.
Comme mon collĂšgue lâa notĂ© plus tard, câest bien que lâannĂ©e de lâInternet gratuit et non une annĂ©e de probation. 1500 coĂ»te un mois sans argent, multipliez par 12, tellement j'avais sur mon compte en lx quand je suis rentrĂ© chez moi et vĂ©rifiĂ©. Penchez-vous en arriĂšre sur la chaise, expirez.