Pull to refresh

История маленького взлома, или адекватный багБаунти местного провайдера интернета

Information Security
Sandbox

Введение


Доброго времени суток, друзья. Эта история небольшого взлома произошла со мной в середине августа этого 18-го года. Начиналась история в маленьком городе краснодарского края, с тырнетом плохо, есть 4g но это все не то, тут за городом можно было только мечтать о проводах. И вот недавно это чудо случилось, в мой район провели провода, и я сразу побежал подключать 100 мбит по оптоволокну, 8к за подключение с тарифом.

Любопытство


Радости полные штаны, тырнет хороший, провайдер небольшой местный, лк у него соответствует статусу местного провайдера, из любопытства ради я шарился по лк, смотрел какие поддомены есть, и нашел я поддомен admin.домен_провайдера.ru/ который сразу кидал на форму авторизации login.php, F12, открыл посмотрел что туда подгружалось, посмотрел js, там находились любопытные ссылки в ajax запросах "/?user_id=" + id, просто скопировав ссылку и вбив рандомное число, мне выкинули данные пользователя в таблице:

Серия/номер паспорта
Кем выдан
Дата выдачи
ФИО
адресс проживания
номер телефона
Логин(от тырнета)

«Да ну не может быть», воткнул в head jq библиотеку, трачу 5 минут на написание ajax запроса в цикле и выплёвывание это в body страницы, вывело 21 000 записей.

Быстро ctrl + f, вбил своё фио, и да я там был. Моё удивление, т.е. в свободном доступе висели данные пользователей. Посмотрел остальные ссылки в ajax запросах, там куча всего было, на какое-то управление свичами, на какие-то перезагрузки чего-то, по тому что выплевывало было трудно понять что за что отвечает, мне уже это было не так интересно.

Было уже поздно, я подумал «вот разрабы болваныоблажались», и лег спать.

На след. день я начал соображать, это как бы все не шутки, и я могу понести за это уголовную ответственность, а у нас в стране за репосты сажают. Стоить заметить я ничего не планировал такого делать, иначе я бы обезопасил себя vpn'ом/проксей. А с другой стороны если они оставляют такие дыры, то навряд ли они будут смотреть логи. А с третьей стороны, лучше если я им сообщу, чем они найдут мои следы, и тогда со мной точно не будут разговаривать.

Очко сыграло


Гуглю на Хабре название организации, нахожу организацию, с несколькими репами, в них ничего интересного, смотрю кто входит в эту орагнизацию, еще раз гуглю, нахожу разрабов в вк. Пишу: «Привет, а почему 21 000 запись пользователей со всеми их данными, находятся в открытом доступе?». Пишет что сообщил начальнику. Ок думаю, я свою работу сделал.

Расплата за любопытство


Я проснулся, часов 10 утра, надо поработкать, я фронтендлю. Стук в калитку, выглядываю в окно, смотрю стоит красненькая машинка, 3 человека, по фоткам узнаю одного из разрабов, думаю ну все, а записи то все я сохранил, просто как html страничку на рабочем столе, быстро shift + del > подтвердить, беру сигарету, беру зажикалку, иду думаю, сейчас будет весело, подкуриваю, выхожу.

— Здравствуйте
— Здравствуйте
— Я так понял вы понимаете, откуда мы
— Да, я уже понял — затягиваю дым
— Хочу вас прудпредить (показывает телефон) разговор я записываю
— Хорошо
— Вы вчера скачали нашу базу данных
— Нет я не скачивал, я нашел уязвимость, и сообщил вам.
— У наших айтишников есть данные что вы скачали эту базу
— Это невозможно, вы можете только увидеть что я ее посмотрел
— Мы настроены решить это тихо-мирно, наши айтишники могут убедиться что вы ее не сохранили себе?
— Впринципе да, вы ходите забрать системник или у меня дома это все проверить?
айтишник говорит:
— Лучше если мы возьмем системник и проверим в офисе
— Хорошо

Тут можно поспорить с моим решением, с одной стороны, вы кто такие, я ничего не скачивал, идите не мешайте, не дам я свой системник, и что вообще вы мне доказываете, с другой стороны это опасно, лучше я буду разговаривать с ними, чем с полицией. Их можно понять, они обосрались с сесюрити, они имеют право убедиться. Я принял решение что лучше разговаривать с ними.

Заходим с ними домой, вырубаю системник, натагиваю джинсы, кроссовки, едем в офис, выходим из машины, идем все вместе к директору. Разные вопросы, зачем ты это делал, почему, как ты это сделал, я рассказал что их база висела в открытом доступе, и любой это мог сделать. Поговорили, идем проверять системник, эти специалисты проверяли жетсяк, смотрели корзину, скачали прогу искали по ключевым словам, я им предлагал телефон еще мой проверить? Я мог на телефон сохранить, на флешку, а облака? Я мог в гугл драйв сохранить. В общем они для галочке посмотрели, я наблюдал и надеялся что они не догадаются скачать какую нибудь прогу по восстановлению данных, и посмотреть что было удалено. (вопрос в комменты, а c ssd данные также легко восстанавливаются как и с жесткого?)

Эпилог


Сидел часа 2 наблюдал за их потугами. Забрал системник, пошли с юристом к директору, предложили мне подписать договор по которому я якобы был нанят задним числом, на поиск уязвимостей в их системе, говорят но мы тебе платить не будем (договор я прочитал перед тем как подписывать(а вот попросить копию не догадался)), мы дадим тебе год бесплатного интернета как оплату, хорошо. Отвезли меня домой.

Как заметил потом мой коллега, хорошо что год бесплатного интернета а не год условно. 1500 стоит месяца безлима, умножайте на 12, столько у меня было на счету в лк, когда вернулся домой и проверил. Откидываюсь на кресле, выдыхаю.
Tags:взломинтернетбагбаунтиbugbountyjsajaxfrontendхаха
Hubs: Information Security
Total votes 50: ↑48 and ↓2 +46
Views23.5K

Popular right now

Интернет-маркетолог/Таргетолог
from 120,000 to 200,000 ₽Golden GooseМосква
Frontend разработчик (JS)
to 250,000 ₽Stream LabsRemote job
Frontend developer React JS (удаленно)
from 2,000 to 4,000 $Yamsoft Software DevelopmentRemote job
Frontend Разработчик
from 150,000 ₽АйТи ФинансМоскваRemote job