Rappelez-vous, j'ai écrit sur Habré et sur ma chaîne Telegram comment les détails des paiements en faveur de la police de la circulation et du FSSP pour les utilisateurs des sites de paiement de la police de la circulation , paygibdd.ru , gos-oplata.ru , fines.net et oplata-fssp.ru se sont révélés être du domaine public . ?
Ne riez pas, ce n'est pas une blague - le même serveur avec les données du même système était à nouveau ouvert au monde entier.
Eh bien, allons-y ...
: . . , .
Tout d'abord, un petit rappel de la chronologie des événements:
- 04/12/2019 (la nuit), un serveur Elasticsearch a été découvert qui ne nécessite pas d'authentification pour se connecter.
- 13/04/2019 (le matin) une alerte a été envoyée aux propriétaires du serveur.
- 13/04/2019 (dans l'après-midi) le serveur a été "discrètement" retiré du libre accès.
Au moment du premier arrêt du serveur, les index Elasticsearch ressemblaient à ceci:
Et le 21/05/2019 vers 16h00 (GMT), le même serveur Elasticsearch, avec les mêmes (plus nouveaux) index, réapparaît dans le domaine public:
Je n'en croyais pas mes yeux quand j'ai vu (juste après avoir parlé à PHDays sur le sujet de la détection de bases de données ouvertes) dans l'e-mail une notification de notre DeviceLock Data Breach Intelligence . Pour être honnête, la première pensée a été que c'était une sorte de problème système.
Cependant, non, ce n'était pas un problème, et après avoir tout vérifié manuellement, à 01:25 déjà le 22/05/2019, j'ai à nouveau envoyé une alerte aux mêmes adresses que pour la première fois.
Depuis la première fermeture, ce serveur a été analysé par Shodan 11 fois et jusqu'au 21 mai, Elasticsearch était couvert.
Ce n'est que le 24/05/2019 que cette Elasticsearch a disparu une seconde fois de l'accès public. Pendant ce temps, les indices ont fortement progressé:
Et si vous regardez les données (uniquement des informations importantes contenant des données personnelles de citoyens) dans les indices pour la période du 1er mai au 22 mai, l'image est la suivante:
- 127 525 entrées dans l'index paygibdd
- 49 627 entrées dans l'indice shtrafov-net
- 162 282 entrées dans l' index oplata-fssp
- 220 201 entrées dans l'index des gosoplates
Exemples de données de l'index gosoplata :
Exemples de données de l'index paygibdd :
Eh bien, la cerise sur le gâteau était une lettre de l'une des adresses auxquelles j'ai envoyé des notifications:
Nous avons reçu votre lettre concernant ElasticSearch ouvert - merci pour l'information, la base de données a été fermée. L'administrateur système qui a rouvert l'accès est renvoyé. En outre, le service juridique se prépare à soumettre au Ministère de l'intérieur de la République du Tatarstan une déclaration sur les signes de la présence dans les actions de l'administrateur du système de la composition en vertu des articles 272 et 273 du Code pénal de la Fédération de Russie.
Des nouvelles sur les fuites d'informations et les initiés peuvent toujours être trouvées sur ma chaîne Telegram « Fuites d'informations »: https://t.me/dataleak .