Некоторое время назад украинские хакерские телеграм-каналы сообщали, что осуществили ответку «за Новую Почту».И жертвой кибервойны стал сервис tutu.ru.
Как это было? Давайте разбираться!
С вами “Цифровое просвещение”! Здесь трем за все, что связано с IT-сферой.. И, да, у нас есть печеньки. Так что велком на темную сторону!
Что известно?
Информация из первых рук. Администрация сервиса tutu.ru в три часа ночи узнала, что в Сети стал распространяться файл с дампом данных покупок автобусных поездок с 2,5 млн строк сырых технических данных, включая повторы. Среди доступной личной информации значились:
- ФИО покупателей;
- номера заказов;
- электронная почта.
К счастью, удалось избежать “засвечивания” платежной информации и подробности заказанных маршрутов.
В ходе оперативной проверки службы компании подтвердили, что “слив” точно с их баз данных. И это всего лишь часть информации, пунктов отбытия-прибытия там нет, частично присутствуют инициалы, сотовые телефоны и электронная почта.
Предыстория “взлома” такова: 24 февраля 2022 года tutu.ru попал в черный список мести в хакерских и краудхакерских сообществах Украины и Запада. После банального прессинга в виде DDOS-атак разной степени профессионализма хакерам удалось “уронить” сайт РЖД, а потом они принялись за tutu.ru более серьезно, так как на тот момент - это был единственный сервис по электронной продаже билетов в РФ. “Положить” сервис не получилось, хакеры затаили мстю.
Что было обмозговано по “горячим следам”:
- Сопоставление данных клиентов с другими крупными утечками из Яндекса, Деливери, Пикабу ничего не дало, общих точек соприкосновений нет.
- Источник “слива” связан с эквайрингом.
- Собственные разрабы или кто-то из команды инфраструктуры. ВСЕГДА приоритетная версия.
- Точечная атака на скрытый баг сервиса.
Подробности инцидента
В данное время хакеры оперируют тремя таблицами данных. Предположительно там инфа на три вида транспорта, по сведениям из таблицы, к которой были получен доступ там выборка из заказов на автобусы за последние два месяца. Решили прошерстить гипотезу пошире и добавили более раннюю информацию.
После повторного анализа подтвердили инфу, что данные по транзакциям в Сеть не утекли, равно как нет конечных и начальных точек маршрутов. В интернете есть менее 1% от всего объема Big data и это есть гуд.
Что делали администраторы далее? Если алярм профукали мониторинговые части контура, то пришлось анализировать инфу на поиск потока данных, приведших к утечке. Команда инфраструктуры начала посеивать информацию за последние месяцы - надо было отследить передачу данных по трафику. В общем, долго и муторно, но реально.
Второй задачей стало получение доступа к таблице с хаком. Это было проще и уже через 30 минут после анонса данные были у айтишников.
Третья часть — отработать основные версии. Вы уже увидели все четыре раскладки по подозреваемым. Наши спецы сразу отбросили первую причину сразу же. Было ясно, что кто-то смог получить доступ к техническим потокам.
Но кто, как и когда?
Согласно второй версии разработчик внешних решений. Но и тут незадача, он проходит ежегодную сертификацию по высшему стандарту PCI DSS (Service Provider Level 1), впрочем, в этом направлении расследование не приостанавливается.
Третья версия — сотрудник компании. Эх, не хочется чтобы это стало реальностью.
Четвёртая версия — идет анализ потоков данных на низком уровне.
Продолжение следует, так как пока идет расследование всех сведений предоставить не получится.
Всем высоких скоростей и удачи!
А мы напоминаем, что у нас есть статья про хорошего хакера, который взломал систему, а потом указал на ошибки владельцу. Советуем почитать.