Хакерская группа Hello Kitty сообщила, что в открытом доступе на сайте traveladmin.ru лежит около 3500 документов с личными данными клиентов. Документы доступны по ссылке http://traveladmin.ru/admin/files/services/ (уже недоступны), последние из них датируются 19 апреля 2016 года.
TravelAdmin — система управления продажами, «современное решение для покупки электронных авиабилетов в любом городе, на любую авиакомпанию, бронирования отелей по всему миру, заказ страховок и чартерных билетов, аренды автомобилей и многое другое».
Владельцы сайтов могут установить у себя модуль TravelAdmin и «получать прибыль от продажи услуг без дополнительных затрат».
Среди доступных в онлайне файлов — билеты РЖД и «Аэрофлота», данные бронирования отелей по России, билеты «Уральских авиалиний», S7, UTair и др. В документах указаны имена, даты отправления и прибытия, адреса проживания, личные телефоны и другие персональные данные клиентов.
Копия документов на хостинге Mega (331 МБ, уже удалена), новые ссылки см. в твиттере Hello Kitty.
Комментарии (135)
maisvendoo
19.04.2016 22:19+1М-да… шедеврально. Видимо их админы не догадались даже до
такого решенияindex.html
<html> <title>Этой страницы нет</title> <body> Нехер тут смотреть! </body> </html>
AVX
19.04.2016 22:29Там даже можно получить исходники некоторых .php файлов! А это уже чревато…
ilya_1
19.04.2016 22:56+5Мда, интересно.
if(Sex == 0)
{
$("#Sex"+PassangersID+" [value=\«MALE\»]").attr(«selected», «selected»);
}
else
{
if(Sex == 1)
{
$("#Sex"+PassangersID+" [value=\«FEMALE\»]").attr(«selected», «selected»);
Почему так? Кодила девушка?Utopia
19.04.2016 23:10+3http://www.traveladmin.ru/acquiro/ — короче…
«userID» => 4008, «password» => «Sol0*****» РЕШЕТО… :)
+ фамилии администраторов всплывают. если php поковырять… короче печально.
Ptica79
19.04.2016 22:50А мне понравилось содержимое http://traveladmin.ru/admin/ext_images/
Там такие приказы есть, просто закачаешься :)Mario_Z
19.04.2016 23:56Вот это шедевр:
памятка пассажиру ДШБ-МОВ.jpgDal
20.04.2016 06:38+5уже все, ругаются по этой ссылке
«Передаю привет сообществу Хабр, а так-же geektimes, благодаря вам, ху№; сы, был испорчен данный сайт, слита вся информация, и будет выложена в паблик.
Где ваши принципы „не навреди“? Где этические и моральные аспекты, настоящих, гордых вайтхеков?
Удачных рабочих дней, Лицемеры.»
Скрин приложить не могу.Alaunquirie
20.04.2016 08:27+7У-у-у-у-у, ещё и «так-же»… Не забудем, не простим! :D
Правда, матюки стоило замазать, т.к. они здесь вне закона.
Abiboss
20.04.2016 09:12Все виноваты, кроме Я ©
user343
20.04.2016 12:11+3Добрые хакеры пишут не гуглу и хабру, а админу. А теперь в логах потоптались сотни человек и крайнего не найти.
Правда случай с дырами в ПО подводной локации на даче президента говорит о безполезности мягких предупреждений.
https://habrahabr.ru/post/273249/susnake
20.04.2016 15:54+1Нам на корп.почту с одного сервака спам сыпался с вирусней в архивах. Я в добром душевном порыве нашел админа, позвонил, сказал, что похоже у них или спам-бот завелся или еще что, т.к. спам от вас приходит. Только услышал невнятное «А? эээ… ммм… океей» и все.
Хоть убейте не понимаю…
deseven
19.04.2016 22:57Апач с активным directory listing.
Классика!SergeyDeryabin
20.04.2016 01:33+1Видимо было какое-то или обновление на сервере или переезд, а настройки Апача перенести забыли
deseven
20.04.2016 02:12+5Это не может быть оправданием. Таких людей нельзя допускать к веб-проектам, принципиально.
yosemity
20.04.2016 02:14+1Таких людей к кофеваркам-то допускать опасно. Про федеральные проекты речи нет.
SergeyDeryabin
20.04.2016 02:24+3Это вы сейчас про какой-то идеальный мир из другой галактики, в реальности разгильдяйство ещё суровее чем здесь попадается сплошь и рядом
yosemity
20.04.2016 02:36+2Это не про идеальный мир. Просто каждый должен заниматься своим делом. Если такое разгильдяйство и имеет место быть, то в любом случае нормального тут нет. Чей-то зад вполне оправдано должен увеличиться на r = время реакции * количество спаленных личных данных клиентов. Желательно в сантиметрах.
SergeyDeryabin
20.04.2016 17:16Да я ж не спорю что каждый должен заниматься своим делом, только постоянные наши кризисы превращают путем оптимизации администратора, программиста, верстальщика, дизайнера в одного универсального человека, возможно школьника без опыта работы, ибо так дешевле:)
edogs
20.04.2016 10:17+1Видимо было какое-то или обновление на сервере или переезд, а настройки Апача перенести забыли
Скорее всего да, но… это было бы хоть как-то простительно, если бы были видны пхп файлы — код движка, файлы верстки.
Но логи, приватные документы — это все должно хранится так, что бы любой сбой конфигурации веб-сервера не приводил к их доступности. Простейшее решение требующее мозга на уровне детсада — положить их выше корня.
DenimTornado
19.04.2016 23:06+2Поржать-то поржали, а кто-то попытался связаться с ними?
AVX
19.04.2016 23:10+2мы ещё не всё прочитали :)
Кстати, в одном из файлов раскрытие путей. Судя по имени пользователя, это (возможно) он (или админ, или владелец ресурса):
servekon
19.04.2016 23:51http://traveladmin.ru/admin/library/sliders.inc.php_
http://traveladmin.ru/admin/library/get_avia_form.php_
Исходники, типа.servekon
20.04.2016 00:07+1Я же теперь сам спать не смогу… Как люди в 2016 году без использование элементарных инструментов строят такие проекты? Детский велосипед с дырявыми колесами и без седла.
edogs
20.04.2016 10:18+1Нам даже как-то завидно стало:)
Это же какой надо иметь талант, что бы такое продавать?
servekon
20.04.2016 00:12+4По второй ссылке — кромешный ад. 7098(!) строк. PHP, Html, JS, CSS и все в одном файле. Без фильтрации запросов.
xerxes
20.04.2016 01:31+3Как учили в книжке по ПХП 2001-го года!
Duti_Fruti
21.04.2016 15:13недавно видел книгу mysql+php+js 2016 года издательства Питер. Там все так же учат
WapGeaR
20.04.2016 00:09Меня больше удивил размер комиссионных вознаграждений, у многих компаний он составляет 1 рубль, разве это выгодно для сервисов, работать с таким то «вознаграждением»?
p.s.
У ребят утро начнется явно не с кофе.lax_laxity
20.04.2016 10:42+2Помимо комиссии взимается скрытая комиссия, билеты покупаются напрямую через систему бронирования, что часто дешевле чем даже на сайте а/к. Так же посредники везде пихают свои бонусные карты, а так же авиакомпании за хорошие продажи могут давать вообще бесплатные билеты, скидки, которые потом можно продать, например. Тут путей много, могу сказать, как человек работающий в одном довольно крупном агрегаторе авиабилетов.
CooperUR
20.04.2016 00:09отсюда можно загружить свои файлы)))
traveladmin.ru/admin/library/ckeditor/samples/plugins/magicline/magicline.html
вот пруф
traveladmin.ru/admin/ext_images/cooper.phpxerxes
20.04.2016 00:16+3Ох… Ну что же, вот только не надо туда грузить шелл!
CooperUR
20.04.2016 00:19поздно, качаем любой php http://traveladmin.ru/admin/ext_images/download2.php?file=../change_pass.php
TimsTims
20.04.2016 00:29Ну нельзя же так…
strlock
20.04.2016 10:24+5В таких случаях принято отключать сайт и не включать пока все баги программист не исправит(ведь сохранность личной информации клиентов важнее бизнеса) и все пароли на все сервисы менять. Вместо этого кто то РУКАМИ удаляет файлы в папке ext_images. Просто смотрит и удаляет. Ну нельзя же так...)))
strlock
20.04.2016 09:57+1Правильнее сказать, отсюда ДО СИХ ПОР можно загрузить ЛЮБОЙ php файл.
Эти лапухи криворукие не додумались пару файлов удалить или конфигурацию поменять)EverOne
20.04.2016 10:31+2Уже додумались, веселье закончилось, выкатили обратно backup и подтерли uploader. Ну хоть у кого-то на что-то ума хватило… Правда и архивы опять на месте =)
xerxes
20.04.2016 00:50Это даже в гугле есть)
https://www.google.com/webhp?sourceid=chrome-instant&ion=1&espv=2&ie=UTF-8#q=xmlsearch+TGTPass
SergeyDeryabin
20.04.2016 01:32Поздновато зашёл. Хорошо что хоть архив ещё не грохнули )))
stranger2015
20.04.2016 10:12+1Если Вы про ссылку из основного текста, то да — недоступно уже!
Но тут в комментариях проскочила идея подняться выше — traveladmin.ru/admin — там много чего ещё доступно!
flyaway
20.04.2016 01:52+12У нас, как известно, теперь есть закон о защите персональных данных,
под соусом которого кошмарят визу, гугл и фейсбук и заставляют их переносить сервера в РФ,
терпеть миллиардные убытки и позориться из-за провалов НСПК.
Давайте же посмотрим, какая кара ждет компанию, слившую все персональные данные клиентов прямо в интернет:
КоАП 13.12.6. Нарушение требований о защите информации (за исключением информации,
составляющей государственную тайну), установленных федеральными законами и принятыми
в соответствии с ними иными нормативными правовыми актами Российской Федерации,
за исключением случаев, предусмотренных частями 1, 2 и 5 настоящей статьи, — влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей;
на должностных лиц — от одной тысячи до двух тысяч рублей;
на юридических лиц — от десяти тысяч до пятнадцати тысяч рублей.
Заплати 15тр и сливай персональные данные дальше.
yosemity
20.04.2016 02:06Сейчасhttp://traveladmin.ru/admin/ext_images/ ведет на http://fsb.ru/
Шевелиться начали?
Подозреваю, что шутятvchslv13
20.04.2016 03:48+5Теперь там уже сообщение такого содержания: «Передаю привет сообществу Хабр, а так-же geektimes, благодаря вам, ху@#сосы, был испорчен данный сайт, слита вся информация, и будет выложена в паблик.
Где ваши принципы „не навреди“? Где этические и моральные аспекты, настоящих, гордых вайтхеков?
Удачных рабочих дней, Лицемеры.»
У меня есть такое ощущение, что я знаю, кто это написал… но ладно.
Только вот испорчен он был не благодаря сообществу ГТ и Хабра, а благодаря криворуким разработчикам. Нечего перекидывать вину на всех.pr0tect0r
20.04.2016 09:25У меня есть такое ощущение, что я знаю, кто это написал… но ладно.
Страна должна знать своих героев в лицо! Ссылку на профиль ))
molnij
20.04.2016 10:29+15Группа Hello Kitty обнаружила полностью открытый сайт с полностью открытыми данными, слила данные, написала об этом в твитер. TJournal написал об этом новость. Ализар перепостил нововсть с TJournal. Вывод — виноват хаб\гиктаймс.
Г — Логика!
dekeyro
20.04.2016 13:36+5Лучшее решениеvchslv13
20.04.2016 04:07+3Ах, ну да, и ещё совсем забыл — также благодаря «группе хакеров-подростков» Hello Kitty.
Сложно ожидать от хакеров-подростков «этических и моральных аспектов настоящих годных вайтхеков», учитывая, что они и к хакерам-то настоящим мало отношения имеют.
И да, то что произошло вроде бы преступление и по законодательству и по логике вещей. Никто не скажет ведь, что человек, который зашёл в открытую квартиру чужих людей и взял оттуда что-то, не совершил кражу.
Но оставлять абсолютно открытой квартиру с довереннымми тебе чужими данными, при том что мимо дверей этой квартиры ходит несколько миллиардов человек, — полное разгильдяйство, если вообще не преступная халатность.
BuriK666
20.04.2016 02:09wget -p -r -l0 -D traveladmin.ru http://traveladmin.ru/admin/
Utopia
20.04.2016 04:34Интересно, открыл для себя wget для windows. GNU — все как положено.
И решил потренироваться на… нет. :) — на geektimes.
Выяснил, что wget не хочет скачивать https://geektimes.ru/ — ругается на сертификат. Типа недействительный. Полез в Chrome в «зеленый замочек» — все ок… только выдан сертификат на habrastorage.org.
Выяснилось, что сертификаты бывают мультидоменными!
И именно с мультидоменными SSL сертификатами не хочет (не умеет без отключения проверки) работать wget!
О сколько нам открытий чудных…Taciturn
20.04.2016 07:50Вероятно у вас плохой, протухший, wget с gnuwin32.sourceforge.net. Хороший и свежий можно скачать с https://eternallybored.org/misc/wget/ — там всё работает.
ValdikSS
20.04.2016 08:26И, внезапно:
Core was generated by `wget --recursive http://traveladmin.ru/admin/files/services/'. Program terminated with signal SIGSEGV, Segmentation fault. #0 0x00007f12a54410b0 in __memset_sse2 () from /usr/lib/libc.so.6 gdb-peda$ bt #0 0x00007f12a54410b0 in __memset_sse2 () from /usr/lib/libc.so.6 #1 0x0000000000426b29 in create_image () #2 0x0000000000426f70 in bar_create () #3 0x00000003bbd0b5d0 in ?? () #4 0x0000000001f3b250 in ?? () #5 0x0000000000000000 in ?? ()
JIghtuse
20.04.2016 08:40У меня как-то на днях тоже так упал — какой-то урок на stepic листал, там было про закачку wget'ом. Отдал wget-у страницу с уроком, он упал. Скачал последний релиз, собрал — всё в порядке. Кстати, забыл баг в дистрибутив зарепортить, пойду сделаю.
ValdikSS
20.04.2016 08:41У меня и так последняя версия.
JIghtuse
20.04.2016 08:45Ах да, об этом я не упомянул. У меня тоже была последняя, но видимо какой-то неудачный патч наложили. Думал репортить в upstream, решил проверить релиз без патчей. Он заработал как надо, как уже упоминал.
PS. Тот же релиз на traveladmin не падает.ValdikSS
20.04.2016 08:46+1У меня, к сожалению или счастью, последний релиз без каких-либо патчей. Только что его пересобрал с debug-символами, чтобы посмотреть, где упал.
MaximChistov
20.04.2016 09:17http://traveladmin.ru/admin/library/jd_orders.inc.php%20(%f3%e4%e0%eb%e8%f2%fc) — божественный код! :D
http://pastebin.com/XrLuk7pr
$SiteID = $_GET['SiteID'];
$PaymentTypes = array();
$pt_result = $conn->query(«SELECT pt.PaymentTypeID as PID, pt.PaymentTypeName as PName FROM SitePayments sp JOIN PaymentsType pt ON (sp.PaymentTypeID = pt.PaymentTypeID) WHERE (SiteID = '».$SiteID."')");
Abiboss
20.04.2016 09:23А это действительно массовый живой проект? А то по главной сайта так сразу и не скажешь…
UUSER
20.04.2016 09:56+9Всё, кончилось представление:)
На главной «КАДРЫ РЕШАЮТ ВСЕ професионализм и опыт». Так и написано — профеСионализм.
Impuls
20.04.2016 10:05+1Да помогите же проекту. Грохните сайт полностью. У людей есть бэкапы. А школота сейчас все угробит к чертям. Хотя, наверное, уже все равно. Проект скорее мертв.
brzsmg
20.04.2016 10:21Да кто то уже сносил все. Сайт кто то заливает, потому что недавно половины файлов не было.
Зачем заливают этих жуков не понятно. Тут надо заглушку ставить(еще вчера), мол извините, ведутся работы. И сидеть и править все баги в PHP оффлайн.
Даже тупо index.php раскидать по всем каталогам не поможет горемыкам, так как все дыры в PHP-творениях известны и shell не перестают заливать.
И кстати к БД доступ уже не секрет (не думаю что пароль кто то поспешил менять).
VANSCoder
20.04.2016 10:10+3Прям машина времени какая то, нечто подобное я наблюдал лет 10 назад, не думал что и сейчас такое возможно…
watashiwaale
20.04.2016 10:10+6Лично я всё готов простить, но у них есть форма с автодополнением, которая выдаёт «Ни чего не найдено!».
Earnol
20.04.2016 10:11+3Как написано на главной странице: «Кадры решают все: професионализм и опыт».
Тематически!
ipswitch
20.04.2016 12:20+2Архив на меге тогось.
user343
20.04.2016 12:34Надо было на peers dot fm выложить.
База жителей Турции 2016 cronos 5.29 GB
База данных жители Тольятти с фото cronos 9.49GB
Админки от разных сайтов — ? год
Базы данных для Пранкеров и Просто Троллей — 2014-2016 год
Аккаунты WOT — 2016 год Проверяйте сами я не играю)
Почта — 2014-2016 год Много почты в основном свежак!
BAZA AVITO.rar — по — РФ — 2014-2016 год (84 региона) 1.87GB
Потом себя там найти и гневно судиться с виновниками утечек, требуя 5 млн за «моральный усчерб» ))
OrangeNetCat
20.04.2016 16:35+2Ссылку на меге удалили.
Новая ссылка на архив: files.d-lan.dp.ua/download?file=43996c60bd894ce0bb463850b5015ca0
(Источник: twitter.com/goodbyekitz/status/722749894318956544)
Твиттер группы «Hello Kitty»:
twitter.com/goodbyekitz
sweetbrick
20.04.2016 21:54Подумаешь...)
" Госфискальная служба потеряла 3 терабайта информации, говорится в приказе главы ГФС Романа Насирова от 1 апреля.
Речь идет о «ненадлежащей эксплуатации серверного оборудования и систем хранения данных». Уточняется, что информация была утеряна вследствие перегревов серверов из-за сбоя в системе охлаждения с 6 по 11 декабря 2015 года.
Какие точно данные были утрачены, в документе не уточняется: говорится о «531 тыс. электронных документов, 26 тысяч в регистрационных карточках, 4,1 тыс. регистрационных карточек, из них 128 — Верховной Рады, 174 — Министерства финансов и центральных органов исполнительной власти, 1547 — юрлиц, 3,1 тыс. контрольных карточек». Утрачена также внутренняя корреспонденция ведомства, однако ее количество «не установлено». Отмечается, что работы по восстановлению информации продолжаются.
«Причинами стали перегревы серверного оборудования, вызванные ненадлежащей работой системы охлаждения — на отдельных элементах системы охлаждения отсутствовали системы бесперебойного питания, сбои в работе, отключения электроэнергии», — отмечается в приказе.
Установлено, что из-за сбоев системы кондиционирования в серверных помещениях случались резкие перепады температур. «Был исследован журнал учета нештатных ситуаций, лог-файлы, журналы ошибок, согласно которым во время перебоев энергоснабжения температура достигала более, чем 50 градусов по Цельсию», — говорится в документе. При этом резервное копирование не велось.
Сообщается, что после проверки был уволен замдиректора департамента развития IT-отдела ГФС Д.Доронин, а ряд других сотрудников получили дисциплинарные взыскания."
и всё )user343
20.04.2016 23:13Вот как всех «битых» (опытных) с госслужбы поувольняют и шифрования запретят, станем ходить в базы ИФНС и ПФР как к себе на раб. стол и править там свой возраст и доходы :)
https://geektimes.ru/post/274584/ — запрет https?
xerxes
21.04.2016 16:10Думаю, сказали Доронину: вот тебе 1 млн баксов, живи себе на Тайланде до конца жизни. Ну а мы на тебя повесим эти 3 Тб (а сами потирают ручки, потому что воровства там на 1 млрд).
sweetbrick
21.04.2016 16:42Ну типа да…
Только вот (представим на минутку) пришли в ВР новые дяди и задались мыслью наказать прежних. И задались вопросом, а настолько ли глуп Д., что б не сохранить для себя (на всякий случай) хотябы парочку -другую документов? А не обвинить ли Д. в… торговле коксом или чего нить еще, и не истребовать его выдачу с Тайланду?
Перспективы для Д. будут очень грустные, для решения этой проблемы ему. и 3лямов не хватит.xerxes
21.04.2016 21:09Гарантий человеку никто не даёт. Дают 1 млн, а дальше уже как получится. Риск, понятно.
sweetbrick
21.04.2016 21:43Да вряд ли. (в смысле " дают"). Зачем?
Понятно, что выполнено с использованием служебного доступа. А принудить можно и без лишних затрат, тем более они бессмысленны. Разоблачение не предотвратят, а только усугубят вину. Вот по принуждению. — можно рассчитывать/ожидать снисхождения.
Если выполнено было грамотно — спустя 3 м установить однозначно будет невозможно.
А вот вылет в Таиланд — это подозрение.
В лавочке такого уровня без допуска и подписанного согласованного распоряжения какгрится в серверную не пустят.(хотя для этого физдоступ не нужен конечно)
Но суть та же — все работы и операции с базами только с письменного разрешения и под журнал.
JINR
22.04.2016 10:00Утерянные документы восстановлены: news.google.com.ua/news/story?cf=all&hl=ru&ned=ru_ua&cf=all&ncl=dArqZHjAtR4LsiMcNcV7zCGFmxDUM&topic=b&scoring=n
Utopia
да там и уровнем выше можно подняться :) http://traveladmin.ru/admin/
pro_co_ru
До сих пор не залатали доступ.
По ссылке traveladmin.ru/admin/ext_images даже уже кто-то текст с приветствием сообществу Хабра и geektimes туда зафигачил.