Lembre-se de que escrevi no Habré e no meu canal Telegram como os detalhes dos pagamentos em favor da polícia de trânsito e do FSSP para usuários de sites de pagamento da polícia de trânsito , paygibdd.ru , gos-oplata.ru , fines.net e oplata-fssp.ru, acabaram sendo de domínio público . ?
Só não ria, isso não é uma piada - o mesmo servidor com os dados do mesmo sistema foi novamente aberto a todo o mundo.
Bem, vamos resolver isso ...
: . . , .
Primeiro, um pequeno lembrete da cronologia dos eventos:
- 12/04/2019 (à noite), foi descoberto um servidor Elasticsearch que não requer autenticação para se conectar.
- 13/04/2019 (de manhã), um alerta foi enviado aos proprietários do servidor.
- 13/04/2019 (à tarde) o servidor "silenciosamente" foi removido do acesso aberto.
No momento do primeiro desligamento do servidor, os índices do Elasticsearch estavam assim:
E em 21/05/2019 às 16:00 (GMT), o mesmo servidor Elasticsearch, com os mesmos índices (além de novos), aparece novamente em domínio público:
Não pude acreditar nos meus olhos quando vi (logo após falar no PHDays sobre o tópico de detecção de bancos de dados abertos) no correio uma notificação de nossa Inteligência de violação de dados do DeviceLock . Para ser sincero, o primeiro pensamento foi que era algum tipo de falha no sistema.
No entanto, não, não foi uma falha e, depois de verificar tudo manualmente, às 01:25, já em 22/05/2019, enviei novamente um alerta para os mesmos endereços da primeira vez.
Desde o primeiro fechamento, este servidor foi verificado por Shodan 11 vezes e até 21 de maio o Elasticsearch estava coberto.
Somente em 24.05.2019 essa pesquisa elástica desapareceu do acesso público pela segunda vez. Durante esse período, os índices cresceram solidamente:
E se você observar os dados (apenas informações significativas que contêm dados pessoais dos cidadãos) nos índices do período de 1º a 22 de maio, a imagem é a seguinte:
- 127.525 entradas no índice paygibdd
- 49.627 entradas no índice shtrafov-net
- 162,282 entradas no índice oplata-fssp
- 220.201 entradas no índice gosoplata
Dados de amostra do índice gosoplata :
Dados de amostra do índice paygibdd :
Bem, a cereja do bolo era uma carta de um dos endereços para os quais enviei notificações:
Recebemos sua carta sobre o ElasticSearch aberto. Obrigado pelas informações, o banco de dados foi fechado. O administrador do sistema que reabriu o acesso é dispensado. Além disso, o serviço jurídico está preparando para enviar ao Ministério da Administração Interna da República do Tartaristão uma declaração sobre os sinais da presença nas ações do administrador do sistema da composição nos artigos 272 e 273 do Código Penal da Federação Russa.
Notícias sobre vazamentos de informações e informações privilegiadas sempre podem ser encontradas no meu canal do Telegram, “ Vazamentos de informações ”: https://t.me/dataleak .