Помните я писал на Хабре и у себя в Telegram-канале, как в открытом доступе оказались подробности платежей в пользу ГИБДД и ФССП пользователей сайтов оплатагибдд.рф, paygibdd.ru, gos-oplata.ru, штрафов.net и oplata-fssp.ru?
Только не надо смеяться, это вовсе не шутка — тот же самый сервер с данными той же самой системы снова оказался открытым для всего мира.
Ну что, поехали разбираться…
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Для начала немного напомню хронологию событий:
- 12.04.2019 (ночью) был обнаружен сервер Elasticsearch, не требующий аутентификации для подключения.
- 13.04.2019 (утром) было отправлено оповещение владельцам сервера.
- 13.04.2019 (днем) сервер «тихо» был убран из открытого доступа.
На момент первого закрытия сервера, индексы Elasticsearch выглядели так:
И вот 21.05.2019 около 16:00 (МСК) тот же самый сервер Elasticsearch, с теми же самыми (плюс новые) индексами снова появляется в открытом доступе:
Я не поверил своим глазам, когда увидел (сразу после выступления на PHDays на тему обнаружения открытых баз) в почте нотификацию от нашей DeviceLock Data Breach Intelligence. Если честно, то первая мысль была, что это какой-то глюк системы.
Однако, нет это был не глюк и перепроверив все вручную, в 01:25 уже 22.05.2019 я снова отправил оповещение по тем же самым адресам, что и в первый раз.
С момента первого закрытия, данный сервер сканировался Shodan’ом 11 раз и вплоть до 21-го мая Elasticsearch на нем был прикрыт.
Только 24.05.2019 утром этот Elasticsearch исчез из открытого доступа второй раз. За это время индексы солидно подросли:
А если посмотреть на данные (только значимая информация, содержащая персональные данные граждан) в индексах за промежуток с 1-го по 22-е мая, то картина такая:
- 127,525 записей в индексе paygibdd
- 49,627 записей в индексе shtrafov-net
- 162,282 записей в индексе oplata-fssp
- 220,201 записей в индексе gosoplata
Пример данных из индекса gosoplata:
Пример данных из индекса paygibdd:
Ну а вишенкой на торте стало письмо с одного из адресов, на которые я отправлял оповещения:
Получили Ваше письмо про открытый ElasticSearch — спасибо за информацию, базу данных закрыли. Системный администратор, повторно открывший доступ, уволен. Также юрслужба готовит к направлению в МВД по Республике Татарстан Заявление о признаках наличия в действиях системного администратора состава по 272 и 273 статьям УК РФ.
Новости про утечки информации и инсайдеров всегда можно найти на моем Telegram-канале «Утечки информации»: https://t.me/dataleak.
Комментарии (44)
vmm86
30.05.2019 08:27+1Почему-то сейчас открытый наружу Elasticsearch — довольно распространённый случай. Недавно писали о такой же проблеме у Радарио и у кого-то ещё.
Naves
30.05.2019 09:11+1Потому что запускают в докере, и настраивают firewall неправильно. В комментариях к прошлой статье обсуждали это. habr.com/en/post/452698/#comment_20195436
Те проблема не в еластике, и не в докере, а банальный RTFM.
tbl
30.05.2019 11:52Почему-то с тем же postgresql таких проблем нет, тот просто не дает с дефолтными настройками логиниться по сети без пароля. И дефолтных паролей нет (вроде «changeme» у ElasticSearch), надо задавать явно. Т.е. если захочешь ногу себе отстрелить, то надо ещё постараться.
iig
30.05.2019 12:19Почему-то
Наверное, авторам postgresql почему-то не захотелось делать конфигурацию своего продукта по умолчанию открытой.
deadNightTiger
30.05.2019 14:55
Вот же, если пароль не указан, то сделать
host all all all trust
:)tbl
30.05.2019 15:34А, докер, ну там все такое «security is annoying and not our problem», по нескольку раз перепроверять надо.
namikiri
30.05.2019 18:12«Эти ваши авторизации, пароли, pg_hba и прочее слишком сложна! Хотим проста и быстра! И чтобы обязательно доскер образ был!»
cy-ernado
30.05.2019 16:14Может быть проблема в том, что безопасность в бесплатный эластик не завезли, пока Амазон не вынудил?
vladkorotnev
30.05.2019 12:06И монга наружу тоже торчит постоянно часто. Таки лыжи не едут или?
Whuthering
30.05.2019 14:58У монги до какой-то версии в конфиге по умолчанию открыто всё для всех без каких-либо вопросов.
mommys_little_hacker
31.05.2019 09:10Иногда это диктуется инфраструктурой. Например, GrayLog не может одновременно использовать авторизацию через X-Pack и автообнаружение нод ElasticSearch. В такие моменты надо вспоминать про фаервол, но это не у всех получается.
nikolayv81
31.05.2019 09:38Потому что поднимая сервис на открытом для доступа из вне сервере нужно хоть немного задумываться, но "опыт сын ошибок..." и "нам нужна молодёжь на работе, которая мыслит открыто и по новому"
Mugik
30.05.2019 09:07+1Что за бред, какие 272 и какие 273, ни 1 вменяемый следак не станет шить эти статьи в этом случае, при всём желании дело развалится за неимением состава преступления, даже если админ напишет явку с повинной, а адвокат за 60-70 тысяч ещё и моральный ущерб взыщет.
В 293 я бы больше поверил, но он не должностное лицо. Может быть 168, но опять же тут нет ущерба имуществу, сервера не сгорели.
Юрслужба там видимо с такой же кометенцией как администратор.ashotog Автор
30.05.2019 09:12А что если я скажу, что мне писали так же вот такое? ;)
Ашот, а каково ваше экспертное мнение по поводу сервиса shodan.io? Не считаете ли Вы, что получение имен индексов это уже неправомерный доступ к информации? Если да, то это нарушение законодательства, причём в массовом порядке. Может нам стоит обратиться в РКН по этому поводу?
Xakki
30.05.2019 10:31«Вот это поворот» — можно подумать, но увы, вполне реально что дело повернут против shodan.io (
semen-pro
30.05.2019 10:47Кстати, если его качественно заблокируют — он не сможет вести поиск по РФ.
UPD: Т.к. это платный поисковик — это всё похоже на пиар ход.Stalker_RED
30.05.2019 17:35+1Пиар шодана, гос-оплаты или обоих?
ashotog Автор
30.05.2019 17:37+1Очевидно, что я штатный пиарщик Elasticsearch ;) А госоплата наш клиент и свою порцию пеара получают бесплатно…
Simplevolk
30.05.2019 17:06Уважаемый хакер, а вышлите свои контактные данные для получения заслуженной награды… :)
LastVin
30.05.2019 17:36Добрый день.
Я недавно наткнулся на один «государственный» сервис для оплаты коммунальных платежей без комиссии. Мне кажется с Вашим опытом получиться написать еще одну не плохую статью.
Gelba
30.05.2019 20:07Ну не отказываться же от штрафов
sn00p
30.05.2019 20:52У меня оплата штрафов и пошлин через госуслуги чуть меньше года тупо не работает. Так что там в консерватории проблемы.
Artemis86
31.05.2019 09:02Немцы решили проблему просто. У них некая служба сканирует сеть и в случае обнаружения дыр уведомляет владельца ресурса. Приходилось получать уведомление об открытом memcached на этапе настройки. Вот отличный пример государственного подхода, когда чиновники озабочены служением интересам государства. Чем озабочен Роскомпозор-неизвестно. Не хватает ума самим-тах хотя бы украдите идею и сделайте аналогично.
ashotog Автор
31.05.2019 09:12очень интересно, а есть какие-то подробности — что за сервис, как называется?
просто открытых монг и эластиков в Германии как известной субстанции за баней ;)farshatov
02.06.2019 09:13+1German Federal Office for Information Security (BSI).
Сервер у Hetzner, иногда они присылают abuse с примерно таким текстом.
We have received a security alert from the German Federal Office for Information Security (BSI).
Please see the original report included below for details.
Please investigate and solve the reported issue.
It is not required that you reply to either us or the BSI.
If the issue has been fixed successfully, you should not receive any further notifications.
А дальше уже идет само письмо от BSI, в котором указаны IP-адреса, дата сканирования, найденные открытые порты и т.п.
vin2809
Сомневаюсь, что этот админ враг своему здоровью или полный кретин. Мне кажется, что все проще: он просто занимается не своим делом, т.е. не хватает образования…
Javian
Главное, что начальство не пострадало. А на это место еще найдут.
korsarer
И даже HR не уволят, которая принимала этого работника.
Javian
если бы сотрудники HR знали бы нюансы настройки Elasticsearch, firewall и серверов, то они бы не работали в HR.
semen-pro
Если нет образования — посадят того, кто его взял на работу
upviqq
Думаю речь шла об образовании в плане знаний, а не диплома.
Или нагрузили кучей бестолковых задач, в спешке пропустил. Не везде ж сидят крутые devops'ы, кто-то может параллельно и картриджи менять, в россии это обычное дело.
nkorolko
К огромному сожалению, такой важный продукт, такая важная база данных, а как часто у нас бывает — сделано все на коленке. С другой стороны, хочется надеяться, что такие утечки и широкое оповещение их постепенно увеличат внимание со стороны создателей таких и продуктов и контролирующих органов. Подождем.
iig
Насяльнике сказаль сервак апгрейд, файрвол не сказаль.
mclander
Думаю проще.
— Блин, почему поиск из дома не работает?
— Доступ закрыт, ну типа безопасность
— Мы сами безопасность, открывай давай
— Нууу… done
boroda_el
Насяльника нога ходил заказчика, говорил на файрвол денег надо добавить а то работа совсем пилахой получится. Заказчика сильно ругался, сказал что денег больше не даст, а даст меньше, и вообще чтобы в следующий раз мы в тендеры по 44-фз не совались, ибо дорого дофига.