Get best of the week

Analyse de fuite de second ordre: quand elle fuit de ceux qui volent des données d'une banque

Tout le monde est déjà habitué au fait que les données des clients des banques russes apparaissent ici et là, soit dans le domaine public, soit mises en vente dans divers forums parallèles.



Maintenant, je veux parler de l'origine de ces informations, comme exemple d'un cas spécifique avec une célèbre banque russe. Afin de n'offenser personne (et les banques sont très délicates et aiment hystérer publiquement avec les forces de leurs services de relations publiques, niant tout dans le style de "vous mentez et" elles mènent une attaque d'information "), j'appellerai cette banque conditionnellement" Epsilon ".


Je suis tombé sur une analyse de deux applications PHP très intéressantes qui se sont accidentellement retrouvées en accès libre sur l'un des serveurs aux Pays-Bas. Mais tout d'abord…


Une lettre du chercheur en sécurité Alex Gor (sur Twitter - 0xyzq ) a été envoyée au courrier de ma chaîne Telegram « Information Leaks » . La lettre contenait une capture d'écran (voir ci-dessus) et une archive avec ce qui est réellement intéressant.


«» (, «80.http.get.title:"index of /"») Censys.io 95.179.156.7, , , (.php, .html, .txt .zip). Shodan, 80- «» 23.12.2019, – BinaryEdge, «» 09.02.2020.



– «A» , «P» — «Parse», «v22» – 22. , ( ).


:


  • parse.php – 31.12.2019, 11 757
  • next.php – 24.12.2019, 6 678

, , PHP- REST API , «» , (. ), . REST API HTTP-, JSON. , « » , .


1. parse.php ( HTML-) : «prefix», «from», «to».




$reference REST API ( ), iOS- , , , json- «result_ .txt» (. ).


$reference id (type), ( ddmmyy), , 7 . :


H03 111119 0000001


H03 – id, 111119 – (11.11.2019). . 0000001 – . 0000000 9999999, , .


request() parse.php, $reference , ( ):



, . , .


2. next.php , , REST API: ( HTML-) «AAAAAA».




$reference REST API, , , «result_next_ AAAAAA.txt» (. ).


(. ) , , $reference p, ( ddmmyy). :


p151119


p – , 151119 – (15.11.2019).



– , PHP- .


, «» PHP-, ( ), «parse» «next» «files».



(parse.php) , , .



30 , 133 728 ( ).


(next.php) , , , , ( ), (, , , ..).



21 , 113 442 ( ).


, .


, 29.12.2019 04.01.2020, .


, , « ». «» – , .


, . , , . – , , .


, REST API, , — 404- . : , , – “Authorization: Bearer“ HTTP- ( ). , , . - HTTP- , . PHP- .


, , , , . , , « » .


Des nouvelles sur les fuites d'informations et les initiés peuvent toujours être trouvées sur la chaîne Telegram " Fuites d'informations " .

More articles:


All Articles