R01: утечка паспортных данных клиентов

22 октября 2013г с 2 до 8 часов утра у R01 произошла утечка текстов 99999 клиентских договоров содержащие все паспортные данные клиентов, фактического адреса проживания, номера телефона и email. Фактически, из-за каких то проблем злоумышленник получил тексты примерно 50% процентов договоров (файлы были нулевые — пустые). Возможно, ранее были произведены аналогичные попытки слития и злоумышленник располагает полной базой договоров. Также по непонятной причине злоумышленник не удалил следы своего взлома и все данные успешно закешировались в google.

скриншот на утро 10 декабря (в настоящее время кэш очищен)

Узнаем, как это произошло:


Лирическое отступление: Я являюсь партнером r01 и домены регистрирую только на себя и друзей. 8 декабря мне стали поступать звонки от неизвестных людей которые просили меня предоставить доступ к их домену на основании того, что они готовы сообщить мне все паспортные данные владельца и при этом говорили, что паспорт они потеряли и вообще физически не могут встретиться, так как теперь проживут в другой стране. Я связался с другом, который регистрировал данный домен на своего клиента и он сказал, что с ним никто не связывался и мои контакты он никому не говорил. Мне стало интересно, откуда неизвестные взяли мой номер – я его никогда не засвечивал в сети и при наборе его в google я обнаружил свой договор по адресу ns2.kladovochka.net/gmail-box.com/100000-119999/res/XXXXXX.html
kladovochka.net – хостер gmail-box.com (домен с регистрационным email владельца poddrop[doc]lenta.ru)

Перейдя по адресу ns2.kladovochka.net/gmail-box.com/ я увидел следующую картину


Названия папок и уже упакованных архивов — видимо внутренние порядковые номера договоров в базе R01. В каждой папке были тексты соответствующих договоров и скриптов взлома, различающихся только выборкой последовательности номеров (скорей всего слитие шло параллельно).

Судя по исходникам слития базы договоров алгоритм был следующий:

Запускается скрипт ses.php, задача которого просто залогиниться под партнерским аккаунтом и сохранить печеньку.
Печенька cookie.txt содержит идентификатор сессии regbase2_id
Далее запускается скрипт ugon.php, который используя ранее сохраненную печеньку перебирает печатные формы договоров и сохраняет их на сервере. По всей видимости, у r01 не было разделения прав для доступа партнеров только к своим договорам.

Обо всем об этом я сразу рассказал службе поддержки r01 по всем доступным каналам, чтобы убедиться, что мое сообщение получено и они понимают серьезность проблемы. Просил их своим влиянием побыстрее заабузить хостинг и домен и запросить у google зачистку кеша. На момент моего сообщения логин злоумышленника был действующий – т.е. R01 не знали о существования проблемы. Через несколько часов ns2.kladovochka.net стал недоступен. На следующий день он снова заработал и уже все данные на нем были стерты.

P.S. Прошу прощения, что я только сейчас обнародую эту информация и кого то уже могли обмануть злоумышленники – я ждал пока google очистит кеш, чтобы другие мошенники не смогли собрать свою базу из google. И вчера на roem.ru/2013/12/10/addednews86718/ произошел слив информации об этом инциденте, который помог к середине дня затереть видимость данных и убрал доступ к сохраненной копии договоров.

P.S.S. Изначально я думал, что была украдена печенька администратора и в результате чего я выяснил, что regbase2_id остается действующим даже после разлогинивания клиента в панели управления по кнопке выход и также оказалось, что его можно было передавать как параметр в строке url – т.е. была возможна подмена сессий – сейчас исправлено.