Ingat, saya menulis di Habré dan di saluran Telegram saya bagaimana detail pembayaran mendukung polisi lalu lintas dan FSSP untuk pengguna situs pembayaran polisi lalu lintas , paygibdd.ru , gos-oplata.ru , fines.net dan oplata-fssp.ru ternyata berada di domain publik . ?
Hanya saja jangan tertawa, ini bukan lelucon - server yang sama dengan data dari sistem yang sama lagi terbuka untuk seluruh dunia.
Baiklah, ayo kita selesaikan ...
: . . , .
Pertama, sedikit pengingat kronologi peristiwa:
- 04/12/2019 (pada malam hari), server Elasticsearch ditemukan yang tidak memerlukan otentikasi untuk terhubung.
- 04/13/2019 (pagi hari) peringatan dikirim ke pemilik server.
- 04/13/2019 (pada sore hari) server "diam-diam" telah dihapus dari akses terbuka.
Pada saat server shutdown pertama, indeks Elasticsearch tampak seperti ini:
Dan pada 05/21/2019 sekitar pukul 4:00 malam (GMT), server Elasticsearch yang sama, dengan indeks yang sama (plus baru), muncul lagi di domain publik:
Saya tidak bisa mempercayai mata saya ketika saya melihat (tepat setelah berbicara di PHDays tentang topik mendeteksi database terbuka) melalui email pemberitahuan dari DeviceLock Data Breach Intelligence kami . Sejujurnya, pikiran pertama adalah bahwa itu semacam kesalahan sistem.
Namun, tidak, itu bukan kesalahan, dan setelah memeriksa semuanya secara manual, pada 01:25 sudah pada 22/5/2019 saya kembali mengirim peringatan ke alamat yang sama dengan yang pertama kali.
Sejak penutupan pertama, server ini telah dipindai oleh Shodan 11 kali dan hingga 21 Mei tercakup di dalamnya.
Hanya pada 05.24.2019 Elasticsearch ini menghilang dari akses publik untuk kedua kalinya. Selama ini, indeks telah tumbuh dengan kuat:
Dan jika Anda melihat data (hanya informasi penting yang berisi data pribadi warga negara) dalam indeks untuk periode dari 1 Mei hingga 22 Mei, maka gambarnya adalah sebagai berikut:
- 127.525 entri dalam indeks paygibdd
- 49.627 entri dalam indeks shtrafov-net
- 162.282 entri dalam indeks oplata-fssp
- 220.201 entri dalam indeks gosoplata
Sampel data dari indeks gosoplata :
Sampel data dari indeks paygibdd :
Nah, ceri pada kue itu adalah surat dari salah satu alamat yang saya kirim pemberitahuan:
Kami menerima surat Anda tentang ElasticSearch yang terbuka - terima kasih atas informasinya, database ditutup. Administrator sistem yang telah membuka kembali akses diberhentikan. Juga, layanan hukum sedang mempersiapkan untuk diajukan kepada Kementerian Dalam Negeri di Republik Tatarstan pernyataan tentang tanda-tanda kehadiran dalam tindakan administrator sistem komposisi di bawah artikel 272 dan 273 KUHP Federasi Rusia.
Berita tentang kebocoran informasi dan orang dalam selalu dapat ditemukan di saluran Telegram saya " Kebocoran informasi ": https://t.me/dataleak .