记住,我在哈布雷和我的电报频道上 写道 ,针对交警支付站点Paygibdd.ru , gos-oplata.ru , fines.net和oplata-fssp.ru的支付站点的用户,支持交警和FSSP的付款细节是如何在公共领域中实现的。 ?
只是不要笑,这不是在开玩笑-同一服务器和同一系统的数据再次向全世界开放。
好吧,让我们去解决一下...
: . . , .
首先,提醒一下事件的时间顺序:
- 2019年4月12日(晚上),发现了不需要身份验证即可连接的Elasticsearch服务器。
- 2019年4月13日(早晨),警报已发送给服务器的所有者。
- 2019年4月13日(下午),服务器“安静地”从开放访问中删除。
在第一次关闭服务器时,Elasticsearch索引如下所示:
在05/21/2019下午4:00(GMT),具有相同(加上新索引)索引的同一Elasticsearch服务器再次出现在公共领域中:
当我在邮件中看到DeviceLock Data Breach Intelligence发出的通知时(就在PHDays上有关检测打开的数据库的话题之后),我不敢相信自己的眼睛。 老实说,第一个想法是这是某种系统故障。
但是,不,这不是小故障,并且已经在2019年5月22日的01:25手动检查了所有内容,我再次向与第一次相同的地址发送了警报。
自第一次关闭以来,Shodan已对该服务器进行了11次扫描,直到5月21日为止,上面都覆盖着Elasticsearch。
仅在2019年5月24日,此Elasticsearch第二次从公共访问中消失了。 在此期间,指数稳步增长:
如果您查看5月1日至5月22日期间的索引中的数据(仅包含公民个人数据的重要信息),则情况如下:
- paygibdd索引中的127,525个条目
- shtrafov -net索引中的49,627个条目
- oplata -fssp索引中的162,282个条目
- gosoplata索引中的220201个条目
来自gosoplata索引的样本数据:
来自paygibdd索引的样本数据:
好吧,蛋糕上的樱桃是我发送通知的地址之一的来信:
我们收到了有关开放ElasticSearch的来信-感谢您提供的信息,数据库已关闭。 重新打开访问权限的系统管理员被解雇。 此外,法律服务部门正在准备向Ta斯坦共和国内政部提交一份声明,说明根据《刑法》第272条和第273条,组成人在系统管理员的行动中存在的迹象。
有关信息泄漏和内部人员的新闻总能在我的电报频道“ 信息泄漏 ”中找到: https : //t.me/dataleak 。