Утечка исходных кодов веб-сервисов «Аэрофлота» +77


Неизвестный опубликовал на GitHub исходные коды веб-приложений «Аэрофлота», включая код, отвечающий за начисление бонусов и создание подарочных сертификатов. Утечка произошла из-за халатности — сервер с реестром контейнеров Docker был доступен всем желающим по протоколу HTTP без авторизации и шифрования.

image

image
(источник изображений — The Register)

Контейнеры использовались для развёртывания сервисов сайта aeroflot.ru. Данные пользователей, к счастью, не пострадали.

Исследователь, опубликовавший исходники, надеется, что компания «Аэрофлот» начнёт уделять больше внимания информационной безопасности.

Update 1: Компания ответила, что эти контейнеры не используются уже несколько лет и не содержат актуальные данные. Впрочем, это вызывает сомнения, поскольку некоторые файлы изменены в августе этого года.

Вы можете помочь и перевести немного средств на развитие сайта



Комментарии (60):

  1. Scratch
    /#19166073 / +1

    Аэрофлот ответил

    Hello! This is a non-working system and has not been used by Aeroflot for many years. It does not contain any relevant data of Aeroflot Bonus program clients or documents that would be used by our airline. *MM

    • saipr
      /#19166119

      Так зачем же смущать товарищей.

    • Amihailov
      /#19166195 / +4

      «Это не наш код, он уволился месяц назад»

    • willyd
      /#19166451 / +3

      has not been used by Aeroflot for many years.

      Бинарники python3.6. В зависимостях версии пакетов с датой релиза декабрь 2017 — январь 2018…
      Ну-ну… годами прям не использовали.

    • mspain
      /#19166455

      а дамп не сделали? как бэ по датам изменений файлов сразу будет ясно лжёт аэф или нет

      • willyd
        /#19166483

        Так там и лежит реестр докера. Есть контейнеры, которые с апреля не трогали, есть измененные в июле. Выше я уже отписал, что версии пакетов в зависимостях относительно свежие и им меньше года.

    • zelenin
      /#19166561 / +2

      has not been used by Aeroflot for many years

      может и не использовался, но регулярно обновлялся зачем-то. Нетщательный ресерч показал даты изменения файлов от мая 2017 до августа 2018.

    • roscomtheend
      /#19168685

      Коглда в одной конторе утекли актуальные пороли админских учёток они тоже заявляли «да оно старое, тестовое и вообще никогда не использокалось». Ну не могут сказать «да, облажались», а тем более стараться исправить — объявить вознаграждение за нахождение дыр.

  2. saipr
    /#19166103

    Исследователь, опубликовавший исходники, надеется, что компания «Аэрофлот» начнёт уделять больше внимания информационной безопасности.

    Аэрофлоту надо найти товарища и выдать подарочный сертификат на год.

    • Hivemaster
      /#19166225

      Подарить перелёт в Магадан.

      • saipr
        /#19166353

        С обратным билетом или нет?

      • Rijo
        /#19168119

        Есть вероятность, что исследователь является жителем Магадана.

        • nafgne
          /#19170105

          Почта России знает, как справиться с этой проблемой.

    • Xapu3ma-NN
      /#19166233

      с трех разовым питанием, бесплатным проживание и модной полосатой униформой?

      • r00tGER
        /#19168677 / +1

        Коллектив ещё хороший, уважающий корпоративные ценности.

        • vlreshet
          /#19168721

          Каждое утро митапы! Смузи, правда, не очень, но не может же быть всё идеально.

  3. Isis
    /#19166249

    Для такой крупной компании странно(наверно?) иметь IT на аутсорсе.

    • saipr
      /#19166357

      Есть многое в природе, друг Горацио,
      Что и не снилось нашим мудрецам.

      Вильям Шекспир.

    • a-l-e-x
      /#19166657 / +1

      Я был бы сильно удивлён, если бы аутсорса не было. Честно говоря, даже не могу себе представить большую компанию без IT аутсорса.

      • willyd
        /#19166917

        А вот и они. ramax.ru/proekty

        • SlavniyTeo
          /#19167375 / +1


          Хабраэффект, вестимо

          • willyd
            /#19167957

            В сырцах есть адреса их серверов.
            Вы представляете сколько там сейчас скрипкидис и людей поумнее смотрят, что еще есть? Хотя думаю, что только киды.

          • ZloyKishechnik
            /#19168475

            ramax.ru/proekty
            «проекты. Аэрофлот. история неуспеха»

            • povargek
              /#19169151

              истории неудачи — нужный раздел на сайте

            • slavait
              /#19171091

              Все компании в одном месте. Всяко там типовые решения и дыра в одном вполне себе может означать дыру и в другом. А по категории клиентов вполне себе контора по баблопилу верхнего уровня.

          • x67
            /#19171431

            Дроплет на ДО за 5 долларов?)

    • xut
      /#19168395

      Нет, не странно. Очень

    • Alexsey
      /#19172147

      Ничего странного, даже для того же сбера многое делают сторонние конторы (нет, не сбертех, а совсем сторонние конторы)

  4. dartraiden
    /#19167407 / +1

    Телеграм-канал «Информация опасносте» нашёл открытый стейджинг:
    afl-staging.test.aeroflot.ru/ru-ru/test0410_1

  5. grigorov
    /#19167639

    https://github.com/aeroflotsrc/webapp


    Уже кто-то выложил на github. Главное чтобы из-за этого, его(github) РКН не заблокировал.


    А то Аэрофлот компания гос, защита у них одна: запретить и закрыть, чем признать свою вину и исправить.

    • dartraiden
      /#19167651

      Зачем блокировать Гитхаб, если Гитхаб без возражений удаляет незаконно выложенный контент (при получении DMCA notice от правообладателя) и, к тому же, и так блокирует по требованию РКН доступ из России к неугодным репозиториям?

      • suharik
        /#19168663

        А что если этот контент кто-то успелуспеет скачать до того, как его удалят с гитхаба?

    • zelenin
      /#19167801

      Уже кто-то выложил на github

      с этой ссылки начинается пост)

    • Nexon
      /#19169811

      Благо, они пока не понимают, что в интернете нельзя что-то удалить или заблокировать.

    • AlexMt
      /#19170531 / +1

      За'Star'ил? Fork'нул? В тюрьму!
      За'Star'ил? Fork'нул? В тюрьму!
      Романтика!

  6. PleaseKING
    /#19167787

    А в чем, собственно, беда-то такая? Вот если бы данные пользователей утекли… А так — АФЛ мог бы вообще в open source выложить при желании. В чем угроза безопасности чего-либо?

    • willyd
      /#19167959

      Четкое понимание внутренней архитектуры сервис намного упростит атаку. А так-то да, там все чистенько, вся чувствительная информация либо из переменных среды берется либо подсовывается в файлы доступные из конетйнеров. Хотя заметил там пару типовых паролей, которые в тестах применялись как соль.

      • PleaseKING
        /#19168059

        Ну так можно весь open source заклеймить, начиная с Линукса. Security through obscurity — вещь слабая… А вот то, что инфраструктура оказалась устойчива к такой вещи — это в плюс компании скорее.

        • Pavel1114
          /#19168153

          Ну так можно весь open source заклеймить, начиная с Линукса.
          в случае linux исходники, благодаря их открытости, большому сообществу, обратной связи, находятся под постоянным аудитом.
          А вот то, что инфраструктура оказалась устойчива к такой вещи — это в плюс компании скорее
          успешная атака совсем необязательно будет(была) публичной.

          • PleaseKING
            /#19168265

            Она оказалось устойчива ровно потому, что ничего секретного в коде не оказалось. То есть система написана так, чтобы быть к такому устойчивой. Это не значит, что ее взломать невозможно, конечно, но это другая атака.

            • Pavel1114
              /#19168271

              У вас неверное допущение о том что вам бы стало известно об успешной атаке.
              Я и не утверждаю что там решето и пароли в конфигах. Я лишь высказываю мнение что слитые исходники заметно повышают шансы на взлом.

              • PleaseKING
                /#19168283

                Ну дык я о чем — а могли бы вполне быть пароли в конфигах, это сплошь и рядом в корпоративном софте. И то, что их нет, что вполне себе соблюдаются best practices, и что система выдержала такой стресс-тест своеобразный — это имхо в плюс.


                Я не знаю, была ли атака на работающую систему в смысле взлома и не утверждаю, что ее не было. Я утверждаю, что слив исходников — это тоже в некотором смысле атака, и вот к ней всё оказалось устойчиво.

        • willyd
          /#19168183

          Я говорил об архитектуре системы, а не о коде. Тут же не открытый код в вакууме, а реализация конкретной системы.
          1. Посмотрите код. Если пару дней в нем покопаться можно нарисовать все веб-приложения, задействованные базы и настройки всех сервисов.
          2. Банально, вы можете узнать все точные версии софта (если верить не только версиям софта но и датам модификации файлов, та дамп не старше недели). Вполне может быть, что есть что-то подверженное удаленной эксплуатации, и видя код атаковать намного проще.
          3. Вполне возможно, что слили чтобы создать хаос и кинуть на аэрофлот армию анонимусов. Может уже все, что нужно слили…

          • PleaseKING
            /#19168279

            Клиент телеграма, скажем — тоже конкретная система, использующая конкретные версии конкретного софта. Что не делает его менее секурным, а скорее даже и более.


            Да, открытость влечет за собой некие риски, но почему-то бытует убеждение (и не без оснований), что в итоге безопасность выше получается — и непонятно, почему эту же логику к аэрофлоту не применить.

    • mspain
      /#19168235

      >«В чем угроза безопасности чего-либо»

      Угроза в том, что можно сбыло слать свои патчи в эро-флотский продакшн и если у них CI настроено, в теории это полный контроль над юзерскими данными, которые они вводят. Ой-ой…

      • PleaseKING
        /#19168261

        С чего вы взяли, что можно? Выложили копию исходников… Если можно — то да, это треш, но откуда это известно-то?

        • mspain
          /#19168493

          На гитхабе копия сайта. А сняли её с не требующего авторизации Докера на 89.208.149.202. Что мешало тихо патчить сайт? Это ж пихон, как понимаю, «исходники» и есть продакшн, компилить не надо.

          • PleaseKING
            /#19168507

            Я нигде не видел, чтобы был доступ на запись… И тем более на выкладку на продакшен. То есть непонятно а) можно было ли залить свой образ, и б) если можно — почему он бы отдеплоился вдруг. Что-то мне кажется, если было бы можно, об этом бы тоже написали.

            • skobkin
              /#19170503

              Docker Registry (а судя по формату ссылок — это именно он) сам по себе никак не контролирует уровни доступа вида «запись»/«чтение». Его можно прикрывать сторонними средствами типа Nginx и обеспечивать аутентификацию/авторизацию на уровне реверс-прокси. Либо использовать базовую HTTP аутентификацию, но тогда оба действия будут доступны прошедшему эту аутентификацию.
              В данном же случае сервис торчал без какой-либо аутентификации наружу. То есть, с крайне высокой вероятностью push образа также можно было туда сделать.
              Единственное что значительно менее вероятно — так это то, что именно по пушу нового образа запускался деплой. Обычно он инициируется по коммиту/тегу в VCS. А сам Docker Registry работает внутри контейнера, ничего не триггерит и является лишь хранилищем образов.

    • vladbarcelo
      /#19170119

      Вот если бы данные пользователей утекли…

      Там в папках спокойно валяются дампы джанги в json. С паролями, емейлами, именами.

    • Clevik
      /#19170943

      Соглашусь с вами. Я интегрировал Аэрофлот-Бонус с ресторанным софтом. NDA, но кое-что могу рассказать.
      • Все что касается работы системы Аэрофлот-Бонус отдано на откуп сторонней компании.
      • Для получения бонусов/накопления/списания нужно знать 4 уникальных идентификатора, адрес сервера и получить сертификат от этой компании.
      • Идентификаторы и сертификаты уникальны для каждой точки.

  7. AnthonyDS
    /#19168161

    Дно халатности пробито

  8. Armleo
    /#19168707

    Через API так же возможно модифицировать файлы, что позволит внедрить свои закладки.

    Весь прикол ещё в том, что файлы ДОСТУПНЫ ДЛЯ РАДАКТИРОВАНИЯ.

  9. nikitasius
    /#19169703 / +2

    Скорее всего это была попытка перевести Аэрофлот на opensource.

  10. pentest
    /#19170307

    Как тут не вспомнить: Шеф у нас дыра в безопасности! ну хоть что то у нас в безопасности…

  11. TimsTims
    /#19171015

    Они могли бы этой новости всё обыграть иначе, как пиар-кампания:
    «Аэрофлот идёт в opensource! Первый шаг сделан.»