История маленького взлома, или адекватный багБаунти местного провайдера интернета

в 22:38, , рубрики: информационная безопасность

Введение

Доброго времени суток, друзья. Эта история небольшого взлома произошла со мной в середине августа этого 18-го года. Начиналась история в маленьком городе краснодарского края, с тырнетом плохо, есть 4g но это все не то, тут за городом можно было только мечтать о проводах. И вот недавно это чудо случилось, в мой район провели провода, и я сразу побежал подключать 100 мбит по оптоволокну, 8к за подключение с тарифом.

Любопытство

Радости полные штаны, тырнет хороший, провайдер небольшой местный, лк у него соответствует статусу местного провайдера, из любопытства ради я шарился по лк, смотрел какие поддомены есть, и нашел я поддомен admin.домен_провайдера.ru/ который сразу кидал на форму авторизации login.php, F12, открыл посмотрел что туда подгружалось, посмотрел js, там находились любопытные ссылки в ajax запросах "/?user_id=" + id, просто скопировав ссылку и вбив рандомное число, мне выкинули данные пользователя в таблице:

Серия/номер паспорта
Кем выдан
Дата выдачи
ФИО
адресс проживания
номер телефона
Логин(от тырнета)


«Да ну не может быть», воткнул в head jq библиотеку, трачу 5 минут на написание ajax запроса в цикле и выплёвывание это в body страницы, вывело 21 000 записей.

Быстро ctrl + f, вбил своё фио, и да я там был. Моё удивление, т.е. в свободном доступе висели данные пользователей. Посмотрел остальные ссылки в ajax запросах, там куча всего было, на какое-то управление свичами, на какие-то перезагрузки чего-то, по тому что выплевывало было трудно понять что за что отвечает, мне уже это было не так интересно.

Было уже поздно, я подумал «вот разрабы болваны», и лег спасть.

На след. день я начал соображать, это как бы все не шутки, и я могу понести за это уголовную ответственность, а у нас в стране за репосты сажают. Стоить заметить я ничего не планировал такого делать, иначе я бы обезопасил себя vpn'ом/проксей. А с другой стороны если они оставляют такие дыры, то навряд ли они будут смотреть логи. А с третьей стороны, лучше если я им сообщу, чем они найдут мои следы, и тогда со мной точно не будут разговаривать.

Очко сыграло

Гуглю на Хабре название организации, нахожу организацию, с несколькими репами, в них ничего интересного, смотрю кто входит в эту орагнизацию, еще раз гуглю, нахожу разрабов в вк. Пишу: «Привет, а почему 21 000 запись пользователей со всеми их данными, находятся в открытом доступе?». Пишет что сообщил начальнику. Ок думаю, я свою работу сделал.

Расплата за любопытство

Я проснулся, часов 10 утра, надо поработкать, я фронтендлю. Стук в калитку, выглядываю в окно, смотрю стоит красненькая машинка, 3 человека, по фоткам узнаю одного из разрабов, думаю ну все, а записи то все я сохранил, просто как html страничку на рабочем столе, быстро shift + del > подтвердить, беру сигарету, беру зажикалку, иду думаю, сейчас будет весело, подкуриваю, выхожу.

— Здравствуйте
— Здравтсвуйте
— Я так понял вы понимаете, откуда мы
— Да, я уже понял — затягиваю дым
— Хочу вас прудпредить (показывает телефон) разговор я записываю
— Хорошо
— Вы вчера скачали нашу базу данных
— Нет я не скачивал, я нашел уязвимость, и сообщил вам.
— У наших айтишников есть данные что вы скачали эту базу
— Это невозможно, вы можете только увидеть что я ее посмотрел
— Мы настроены решить это тихо-мирно, наши айтишники могут убедится что вы ее не сохранили себе?
— Впринципе да, вы ходите забрать системник или у меня дома это все проверить?
айтишник говорит:
— Лучше если мы возьмем системник и проверим в офисе
— Хорошо

Тут можно поспорить с моим решением, с одной стороны, вы кто такие люди, я ничего не скачивал, идите гуляйте, не дам я свой системник, че вы мне доказываете, что вы мне можете сделать, с другой стороны это опасно, лучше я буду разговаривать с ними, чем с полицией. Их можно понять, они обосрались с сесюрити, они имеют право убедится. Я принял решение что лучше разговаривать с ними.

Заходим с ними домой, вырубаю системник, натагиваю джинсы, кроссовки, едем в офис, выходим из машины, идем все вместе к директору. Разные вопросы, зачем ты это делал, почему, как ты это сделал, я сказал что их база висела в открытом доступе, и любой это мог сделать. Поговорили, идем проверять системник, эти специалисты смотрели все на жестяке, корзину, скачали прогу искали по ключевым словам на жестяке, я им говорю, а телефон будете проверять? Я мог на телефон сохранить, а облака? Я мог в гугл драйв сохранить. В общем они чисто для галочке посмотрели, я наблюдал и надеялся что они не догадаются скачать какую нибудь прогу по восстановлению данных, и посмотреть что было удалено. (вопрос в комменты, а c ssd данные также легко восстанавливаются как и с жесткого?)

Эпилог

Сидел часа 2 наблюдал за их потугами. Забрал системник, пошли с юристом к директору, предложили мне подписать договор по которому я якобы был нанят задним числом, на поиск уязвимостей в их системе, говорят но мы тебе платить не будем, договор я прочитал перед тем как подписывать(а вот попросить копию не догадался), говорят мы дадим тебе год бесплатного интернета как оплату, хорошо. Отвезли меня домой.

Как заметил потом мой коллега, хорошо что год бесплатного интернета а не год условно. 1500 стоит месяца безлима, умножайте на 12, столько у меня было на счету в лк, когда вернулся домой.

Автор: Возле ректора

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js