Утечка исходных кодов веб-сервисов «Аэрофлота»

[Scratch]

Аэрофлот ответил

Hello! This is a non-working system and has not been used by Aeroflot for many years. It does not contain any relevant data of Aeroflot Bonus program clients or documents that would be used by our airline. *MM

[saipr]

Так зачем же смущать товарищей.

[susnake]

Но доступ блокнули. :)

[Amihailov]

«Это не наш код, он уволился месяц назад»

[willyd]

has not been used by Aeroflot for many years.

Бинарники python3.6. В зависимостях версии пакетов с датой релиза декабрь 2017 — январь 2018…
Ну-ну… годами прям не использовали.

[mspain]

а дамп не сделали? как бэ по датам изменений файлов сразу будет ясно лжёт аэф или нет

[willyd]

Так там и лежит реестр докера. Есть контейнеры, которые с апреля не трогали, есть измененные в июле. Выше я уже отписал, что версии пакетов в зависимостях относительно свежие и им меньше года.

[zelenin]

has not been used by Aeroflot for many years

может и не использовался, но регулярно обновлялся зачем-то. Нетщательный ресерч показал даты изменения файлов от мая 2017 до августа 2018.

[roscomtheend]

Коглда в одной конторе утекли актуальные пороли админских учёток они тоже заявляли «да оно старое, тестовое и вообще никогда не использокалось». Ну не могут сказать «да, облажались», а тем более стараться исправить — объявить вознаграждение за нахождение дыр.

[saipr]

Исследователь, опубликовавший исходники, надеется, что компания «Аэрофлот» начнёт уделять больше внимания информационной безопасности.

Аэрофлоту надо найти товарища и выдать подарочный сертификат на год.

[Hivemaster]

Подарить перелёт в Магадан.

[saipr]

С обратным билетом или нет?

[Hivemaster]

С обратным на дату через три года.

[saipr]

Сурово, однако

[Rijo]

Есть вероятность, что исследователь является жителем Магадана.

[Xapu3ma-NN]

с трех разовым питанием, бесплатным проживание и модной полосатой униформой?

[r00tGER]

Коллектив ещё хороший, уважающий корпоративные ценности.

[Isis]

Для такой крупной компании странно(наверно?) иметь IT на аутсорсе.

[saipr]

Есть многое в природе, друг Горацио,
Что и не снилось нашим мудрецам.

Вильям Шекспир.

[a-l-e-x]

Я был бы сильно удивлён, если бы аутсорса не было. Честно говоря, даже не могу себе представить большую компанию без IT аутсорса.

[willyd]

А вот и они. ramax.ru/proekty

Зачастую компании тратят огромные средства на обеспечение защиты от внешних киберугроз. В то же время сегодня первостепенное значение имеют превентивные меры и более жесткая политики и регламенты ИБ, направленные на противодействие атакам» изнутри». И банковский сектор здесь не является исключением.
Денис Дубцов
И.О. руководителя Центра компетенций информационной безопасности ГК «РАМАКС»

[SlavniyTeo]

Хабраэффект, вестимо

[willyd]

В сырцах есть адреса их серверов.
Вы представляете сколько там сейчас скрипкидис и людей поумнее смотрят, что еще есть? Хотя думаю, что только киды.

[ZloyKishechnik]

ramax.ru/proekty
«проекты. Аэрофлот. история неуспеха»

[povargek]

истории неудачи — нужный раздел на сайте

[slavait]

Все компании в одном месте. Всяко там типовые решения и дыра в одном вполне себе может означать дыру и в другом. А по категории клиентов вполне себе контора по баблопилу верхнего уровня.

[x67]

Дроплет на ДО за 5 долларов?)

[xut]

Нет, не странно. Очень

[Alexsey]

Ничего странного, даже для того же сбера многое делают сторонние конторы (нет, не сбертех, а совсем сторонние конторы)

[dartraiden]

Телеграм-канал «Информация опасносте» нашёл открытый стейджинг:
afl-staging.test.aeroflot.ru/ru-ru/test0410_1

[grigorov]

https://github.com/aeroflotsrc/webapp

Уже кто-то выложил на github. Главное чтобы из-за этого, его(github) РКН не заблокировал.

А то Аэрофлот компания гос, защита у них одна: запретить и закрыть, чем признать свою вину и исправить.

[dartraiden]

Зачем блокировать Гитхаб, если Гитхаб без возражений удаляет незаконно выложенный контент (при получении DMCA notice от правообладателя) и, к тому же, и так блокирует по требованию РКН доступ из России к неугодным репозиториям?

[zelenin]

Уже кто-то выложил на github

с этой ссылки начинается пост)

[AlexMt]

За'Star'ил? Fork'нул? В тюрьму!
За'Star'ил? Fork'нул? В тюрьму!
Романтика!

[PleaseKING]

А в чем, собственно, беда-то такая? Вот если бы данные пользователей утекли… А так — АФЛ мог бы вообще в open source выложить при желании. В чем угроза безопасности чего-либо?

[willyd]

Четкое понимание внутренней архитектуры сервис намного упростит атаку. А так-то да, там все чистенько, вся чувствительная информация либо из переменных среды берется либо подсовывается в файлы доступные из конетйнеров. Хотя заметил там пару типовых паролей, которые в тестах применялись как соль.

[PleaseKING]

Ну так можно весь open source заклеймить, начиная с Линукса. Security through obscurity — вещь слабая… А вот то, что инфраструктура оказалась устойчива к такой вещи — это в плюс компании скорее.

[Pavel1114]

Ну так можно весь open source заклеймить, начиная с Линукса.

в случае linux исходники, благодаря их открытости, большому сообществу, обратной связи, находятся под постоянным аудитом.

А вот то, что инфраструктура оказалась устойчива к такой вещи — это в плюс компании скорее

успешная атака совсем необязательно будет(была) публичной.

[PleaseKING]

Она оказалось устойчива ровно потому, что ничего секретного в коде не оказалось. То есть система написана так, чтобы быть к такому устойчивой. Это не значит, что ее взломать невозможно, конечно, но это другая атака.

[Pavel1114]

У вас неверное допущение о том что вам бы стало известно об успешной атаке.
Я и не утверждаю что там решето и пароли в конфигах. Я лишь высказываю мнение что слитые исходники заметно повышают шансы на взлом.

[PleaseKING]

Ну дык я о чем — а могли бы вполне быть пароли в конфигах, это сплошь и рядом в корпоративном софте. И то, что их нет, что вполне себе соблюдаются best practices, и что система выдержала такой стресс-тест своеобразный — это имхо в плюс.

Я не знаю, была ли атака на работающую систему в смысле взлома и не утверждаю, что ее не было. Я утверждаю, что слив исходников — это тоже в некотором смысле атака, и вот к ней всё оказалось устойчиво.

[willyd]

Я говорил об архитектуре системы, а не о коде. Тут же не открытый код в вакууме, а реализация конкретной системы.
1. Посмотрите код. Если пару дней в нем покопаться можно нарисовать все веб-приложения, задействованные базы и настройки всех сервисов.
2. Банально, вы можете узнать все точные версии софта (если верить не только версиям софта но и датам модификации файлов, та дамп не старше недели). Вполне может быть, что есть что-то подверженное удаленной эксплуатации, и видя код атаковать намного проще.
3. Вполне возможно, что слили чтобы создать хаос и кинуть на аэрофлот армию анонимусов. Может уже все, что нужно слили…

[PleaseKING]

Клиент телеграма, скажем — тоже конкретная система, использующая конкретные версии конкретного софта. Что не делает его менее секурным, а скорее даже и более.

Да, открытость влечет за собой некие риски, но почему-то бытует убеждение (и не без оснований), что в итоге безопасность выше получается — и непонятно, почему эту же логику к аэрофлоту не применить.

[mspain]

>«В чем угроза безопасности чего-либо»

Угроза в том, что можно сбыло слать свои патчи в эро-флотский продакшн и если у них CI настроено, в теории это полный контроль над юзерскими данными, которые они вводят. Ой-ой…

[PleaseKING]

С чего вы взяли, что можно? Выложили копию исходников… Если можно — то да, это треш, но откуда это известно-то?

[mspain]

На гитхабе копия сайта. А сняли её с не требующего авторизации Докера на 89.208.149.202. Что мешало тихо патчить сайт? Это ж пихон, как понимаю, «исходники» и есть продакшн, компилить не надо.

[PleaseKING]

Я нигде не видел, чтобы был доступ на запись… И тем более на выкладку на продакшен. То есть непонятно а) можно было ли залить свой образ, и б) если можно — почему он бы отдеплоился вдруг. Что-то мне кажется, если было бы можно, об этом бы тоже написали.

[skobkin]

Docker Registry (а судя по формату ссылок — это именно он) сам по себе никак не контролирует уровни доступа вида «запись»/«чтение». Его можно прикрывать сторонними средствами типа Nginx и обеспечивать аутентификацию/авторизацию на уровне реверс-прокси. Либо использовать базовую HTTP аутентификацию, но тогда оба действия будут доступны прошедшему эту аутентификацию.
В данном же случае сервис торчал без какой-либо аутентификации наружу. То есть, с крайне высокой вероятностью push образа также можно было туда сделать.
Единственное что значительно менее вероятно — так это то, что именно по пушу нового образа запускался деплой. Обычно он инициируется по коммиту/тегу в VCS. А сам Docker Registry работает внутри контейнера, ничего не триггерит и является лишь хранилищем образов.

[vladbarcelo]

Вот если бы данные пользователей утекли…

Там в папках спокойно валяются дампы джанги в json. С паролями, емейлами, именами.

[Clevik]

Соглашусь с вами. Я интегрировал Аэрофлот-Бонус с ресторанным софтом. NDA, но кое-что могу рассказать.
• Все что касается работы системы Аэрофлот-Бонус отдано на откуп сторонней компании.
• Для получения бонусов/накопления/списания нужно знать 4 уникальных идентификатора, адрес сервера и получить сертификат от этой компании.
• Идентификаторы и сертификаты уникальны для каждой точки.

[AnthonyDS]

Дно халатности пробито

[Armleo]

Через API так же возможно модифицировать файлы, что позволит внедрить свои закладки.

Весь прикол ещё в том, что файлы ДОСТУПНЫ ДЛЯ РАДАКТИРОВАНИЯ.

[nikitasius]

Скорее всего это была попытка перевести Аэрофлот на opensource.

[namikiri]

Вскрыли себе исходники

[pentest]

Как тут не вспомнить: Шеф у нас дыра в безопасности! ну хоть что то у нас в безопасности…

[TimsTims]

Они могли бы этой новости всё обыграть иначе, как пиар-кампания:
«Аэрофлот идёт в opensource! Первый шаг сделан.»

[DjOnline]

Ну что, нагенерировали подарочных сертификатов ?)