Ada data medis, ada data pinjaman, kali ini ada antrian data pembayaran untuk denda polisi lalu lintas dan hutang pada proses penegakan hukum dari petugas pengadilan.
Berita baiknya adalah bahwa pembayaran ini tidak terkait dengan situs web resmi Layanan Pemerintah. Berita buruknya adalah bahwa ada banyak data, dan mereka lebih dari "pribadi".
: . . , .
Pada 12 April (pada malam hari), server Elasticsearch ditemukan yang tidak memerlukan otentikasi untuk terhubung. Saya menulis posting blog tentang bagaimana membuka basis data Elasticsearch .
Indeks Elasticsearch berisi log dari sistem informasi tertentu (IP). Asumsi dibuat tentang koneksi server ini dengan situs yang menerima pembayaran untuk berbagai layanan pemerintah: paymentgibdd.rf , paygibdd.ru , gos-oplata.ru , fines.net dan oplata-fssp.ru .
Pada pagi hari 13 April 2019, saya mengirim peringatan ke alamat email: support@gos-oplata.ru , support@oplata-fssp.ru , support@paygibdd.ru , tetapi tidak menerima respons (seperti yang sering terjadi). Server diam-diam "tertutup" dan menghilang dari akses publik 13/04/2019 di sekitar 15: 20-15: 45 (waktu Moskow).
Pada saat sebelum server ditutup, indeks Elasticsearch tampak seperti ini:
Sekarang mari kita beralih ke yang paling menarik - langsung ke data pribadi. Seperti yang saya tulis di atas, indeks berisi semacam log dari beberapa IP. Dan seperti yang sering terjadi, log ternyata sangat rinci, bahkan terlalu banyak.
Log disimpan mulai tanggal 02/28/2019, dan bukan untuk seluruh durasi operasi IP. Dalam beberapa indeks, data berasal dari 03/17/2019.
Misalnya, menggunakan log dari indeks gosoplata, Anda bisa mendapatkan ini (total 248365 tidak termasuk logging kesalahan):
{ "_index": "gosoplata", "_type": "log", "@timestamp": "2019-03-02T20:55:02+03:00", "message": " ", "extra": "[\n 'gis_info' => unserialize('O:34:\"app\\\\models\\\\payment\\\\api\\\\PenaltyInfo\":10:{s:10:\"billNumber\";s:20:\"021170025955001\";s:8:\"billDate\";s:10:\"2017-04-03\";s:10:\"validUntil\";s:10:\"2017-06-03\";s:6:\"amount\";s:9:\"146030.26\";s:7:\"addInfo\";s:1424:\" № /17/ - 03.04.2017 . ., ( )///32253021170025955001_0;: ( , / 05501845860);: ( , / 05501845860); : ; : 40302810400001000005;: 5321100670;: 532132002; : 044959001;: 49625000;: 0;idDebtsum:146540.26;ipPaymentAmount:0.00;ipOperationAmount:0.00;dataUnloadDate:2018-12-04T11:26:19.000;dataIdDate:2017-01-27;dataIdNumber:2-53/2017;dataIpRiseDate:2017-04-03;dataIpNumber: /17/-;dataIdDbtrFio: ;dataIdDbtrBorn:-09-03;dataIdDebtText: ( );\";s:7:\"docName\";s:3:\"inn\";s:9:\"docNumber\";s:12:\" 0819584\";s:9:\"payStatus\";s:1:\"0\";s:9:\"quittance\";s:1:\"3\";s:11:\"amountToPay\";s:9:\"146030.26\";}'),\n]", "context": "[\n '_GET' => [],\n '_POST' => [],\n]" } }
Saya mencetak semua data sensitif dengan X. Pada kenyataannya, semuanya disimpan dalam bentuk terbuka.
Dari indeks oplata-fssp (total 283958 tidak termasuk kesalahan):
{ "_index": "oplata-fssp", "_type": "log", "@timestamp": "2019-02-28T22:17:24+03:00", "extra": "[\n 'request_data' => [\n 'MNT_ID' => '3280',\n 'MNT_TRANSACTION_ID' => ''0795c78337a5a308',\n 'MNT_OPERATION_ID' => '' 3232',\n 'MNT_AMOUNT' => '544.00',\n 'MNT_CURRENCY_CODE' => 'RUB',\n 'MNT_TEST_MODE' => '0',\n 'MNT_SIGNATURE' => '6435224cc10bbc970f6479787',\n 'paymentSystem_unitId' => '1686945',\n 'MNT_CORRACCOUNT' => '303',\n 'MNT_PAY_SYSTEM' => 'payanyway',\n 'MNT_IS_REGULAR' => '',\n 'MNT_FORM_METHOD' => 'POST',\n 'cardnumber' => '639002********7417',\n ],\n 'model_attributes' => [\n 'id' => 482137,\n 'parent_id' => null,\n 'name' => ' ',\n 'ur' => 0,\n 'birthdate' => '-06-06',\n 'doc_type' => null,\n 'doc_value' => null,\n 'hash' => ''795c78337a5a308',\n 'created_at' => '2019-02-28 22:16:10',\n 'form_url' => 'https://service.moneta.ru/assistant.widget? '&MNT_CURRENCY_CODE=RUB&MNT_AMOUNT=544.00&MNT_DESCRIPTION= . N482137 : 32223088190136500007 : /19/-&MNT_TEST_MODE=0&' &MNT_SUCCESS_URL=https://oplata-fssp.ru/payment/success&MNT_FAIL_URL=https://oplata-fssp.ru/payment/fail&MNT_PAY_SYSTEM=payanyway&MNT_IS_REGULAR=&MNT_FORM_METHOD=POST&followup=true',\n 'email' => ''@bk.ru',\n 'payment_system_id' => 'moneta',\n 'transaction_id' => '338533232',\n 'updated_at' => '2019-02-28 22:16:16',\n 'a3_order_hash' => null,\n 'receipt_send' => null,\n 'receipt_status_id' => null,\n 'payment_status_id' => 'callback_received',\n 'lead_source' => 'fssp',\n ],\n]", "context": "[\n '_GET' => [],\n '_POST' => [\n 'MNT_ID' => ''280',\n 'MNT_TRANSACTION_ID' => ''795c78337a5a308',\n 'MNT_OPERATION_ID' => ''3232',\n 'MNT_AMOUNT' => '544.00',\n 'MNT_CURRENCY_CODE' => 'RUB',\n 'MNT_TEST_MODE' => '0',\n 'MNT_SIGNATURE' => '6435224cc'10bbc970f6479787',\n 'paymentSystem_unitId' => ''45',\n 'MNT_CORRACCOUNT' => '303',\n 'MNT_PAY_SYSTEM' => 'payanyway',\n 'MNT_IS_REGULAR' => '',\n 'MNT_FORM_METHOD' => 'POST',\n 'cardnumber' => '639002********7417',\n ],\n]" } }
Dapat dilihat di sini (nilai cardnumber ) bahwa dari kebocoran nomor kartu kredit penuh, pemiliknya hanya diselamatkan oleh kenyataan bahwa gateway pembayaran (dalam hal ini moneta.ru ) tidak memberikan nomor IP ini dalam bentuk yang jelas (hanya 6 digit pertama dan 4 digit terakhir kartu) )
Juga terlihat dari log bahwa situs resmi FSSP menawarkan warga negara untuk melakukan pembayaran melalui IP ini: is.fssprus.ru/pay/?service=gosoplata&pay=XXXXXX/18/XXXXXX-IP . Apa yang secara tidak langsung dikonfirmasi oleh teks di bagian paling bawah situs oplata-fssp.ru :
Sekarang mari kita lihat ada apa dengan denda untuk peraturan lalu lintas. Indeks shtrafov-net (4528 entri tidak termasuk kesalahan) dan paygibdd ( 140666 entri tidak termasuk kesalahan) jelas bertanggung jawab untuk ini:
{ "_index": "shtrafov-net", "_type": "log", "@timestamp": "2019-03-17T17:16:51+03:00", "message": "INSERT INTO customer (doc_type, doc_value, licence_plate, vehicle_model) VALUES ('ctc', '99026', '', ' ')", "context": "[\n '_GET' => [],\n '_POST' => [\n 'postdate' => '10/03/2019',\n 'postnum' => '18810018180002',\n 'postsum' => '1000',\n 'divid' => '1194040',\n 'uin' => '18810018180002',\n 'regnum' => '',\n 'regreg' => '1',\n 'reg' => '34084',\n 'discount' => '1',\n 'discountdate' => '01/04/2019 23:59:59',\n 'allfines' => '[{\"Discount\":\"1\",\"enableDiscount\":false,\"DateDecis\":\"2019-03-10 09:05:00\",\"KoAPcode\":\"12.6\",\"DateDiscount\":\"01/04/2019 23:59:59\",\"VehicleModel\":\" \",\"KoAPtext\":\" , , , , , \",\"NumPost\":\"18810018180002\",\"kbk\":\"18811630020016000140\",\"Summa\":1000,\"Division\":1194040,\"enablePics\":false,\"id\":\"18#FF474785255\",\"SupplierBillID\":\"18810018180002\",\"DatePost\":\"10/03/2019\"},{\"Discount\":\"1\",\"enableDiscount\":false,\"DateDecis\":\"2019-03-08 14:55:00\",\"KoAPcode\":\"12.9.2\",\"DateDiscount\":\"01/04/2019 23:59:59\",\"VehicleModel\":\" \",\"KoAPtext\":\" 20, 40 /\",\"NumPost\":\"18810118190312\",\"kbk\":\"18811630020016000140\",\"Summa\":500,\"Division\":1194010,\"enablePics\":true,\"id\":\"18#18810118190312\",\"SupplierBillID\":\"18810118190312\",\"DatePost\":\"12/03/2019\"}]',\n ],\n]" } { "_index": "paygibdd", "_type": "log", "@timestamp": "2019-02-28T17:30:57+03:00", "message": " ", "extra": "[\n 'request_data' => [\n 'postdate' => '02.10.2017',\n 'postnum' => '188101161710029',\n 'postsum' => '500',\n 'divid' => '1192201',\n 'uin' => '188101161710029',\n 'regnum' => 'XCB',\n 'regreg' => '1',\n 'reg' => '16462',\n 'discount' => '1',\n 'discountdate' => '2017-10-23 23:59:59',\n 'allfines' => '[{\"Discount\":\"0\",\"DateDecis\":\"2016-12-17 02:30:00\",\"KoAPcode\":\"12.26.1\",\"KoAPtext\":\" \",\"NumPost\":\"188104121603000\",\"kbk\":\"18811630020016000140\",\"Summa\":\"30000\",\"Division\":1188030,\"enablePics\":false,\"id\":\"12#FF176064188\",\"SupplierBillID\":\"188104121603000\",\"DatePost\":\"2017-03-06\",\"DateSSP\":null},{\"Discount\":\"1\",\"enableDiscount\":false,\"DateDecis\":\"2017-09-18 14:32:00\",\"KoAPcode\":\"12.9.2\",\"DateDiscount\":\"2017-10-23 23:59:59\",\"KoAPtext\":\" 20, 40 /\",\"NumPost\":\"188101161710029\",\"kbk\":\"18811630020016000140\",\"Summa\":\"500\",\"Division\":1192201,\"enablePics\":true,\"id\":\"16#43522519023478911\",\"SupplierBillID\":\"188101161710029\",\"DatePost\":\"2017-10-02\",\"DateSSP\":null},{\"Discount\":\"1\",\"enableDiscount\":false,\"DateDecis\":\"2017-11-01 04:23:00\",\"KoAPcode\":\"12.9.2\",\"DateDiscount\":\"2017-11-24 23:59:59\",\"KoAPtext\":\" 20, 40 /\",\"NumPost\":\"18810116171104\",\"kbk\":\"18811630020016000140\",\"Summa\":\"500\",\"Division\":1192201,\"enablePics\":true,\"id\":\"16#44211639030358281\",\"SupplierBillID\":\"1881011617110\",\"DatePost\":\"2017-11-04\",\"DateSSP\":null},{\"Discount\":\"1\",\"enableDiscount\":false,\"DateDecis\":\"2017-10-31 12:08:00\",\"KoAPcode\":\"12.9.2\",\"DateDiscount\":\"2017-11-27 23:59:59\",\"KoAPtext\":\" 20, 40 /\",\"NumPost\":\"188101161711056\",\"kbk\":\"18811630020016000140\",\"Summa\":\"500\",\"Division\":1192201,\"enablePics\":true,\"id\":\"16#44236760030609331\",\"SupplierBillID\":\"188101161711056\",\"DatePost\":\"2017-11-05\",\"DateSSP\":null},{\"Discount\":\"1\",\"enableDiscount\":false,\"DateDecis\":\"2018-01-27 23:46:00\",\"KoAPcode\":\"12.37.2\",\"DateDiscount\":\"2018-02-16 23:59:59\",\"KoAPtext\":\" , , \",\"NumPost\":\"188102161820027\",\"kbk\":\"18811630020016000140\",\"Summa\":\"800\",\"Division\":1192200,\"enablePics\":false,\"id\":\"16#4516501003986993\",\"SupplierBillID\":\"188102161820027\",\"DatePost\":\"2018-01-27\",\"DateSSP\":null}]',\n ],\n]",
Merangkum hal-hal di atas, semua perincian pembayaran tersedia secara bebas: jumlah denda, plat nomor mobil, jumlah proses penegakan ketika membayar untuk layanan juru sita, digit pertama dan terakhir dari kartu bank, di mana gateway pembayaran pembayaran dilakukan, nama lengkap dan alamat pembayar email dan banyak lagi.
Untuk satu hari yang dipilih (12,04), ada (catatan) dalam indeks:
shtrafov-net 251 paygibdd 3821 gosoplata 20676 oplata-fssp 15277
Mesin pencari Shodan pertama kali menemukan server ini di domain publik pada 02.24.2019.
Berita tentang kebocoran informasi dan orang dalam selalu dapat ditemukan di saluran Telegram saya " Kebocoran informasi ".