Get best of the week

Análise de vazamento de segunda ordem: quando vaza de quem rouba dados de um banco

Todo mundo se acostumou ao fato de que os dados dos clientes dos bancos russos aqui e ali aparecem em domínio público ou colocados à venda em vários fóruns-sombra.



Agora, quero falar de onde essas informações vêm, como exemplo de um caso específico de um famoso banco russo. Para não ofender ninguém (e os bancos são muito sensíveis e gostam de histeria publicamente com as forças de seus departamentos de relações públicas, negando tudo no estilo de "você está mentindo e" eles estão realizando um ataque de informações "), chamarei esse banco condicionalmente de" Epsilon ".


Me deparei com uma análise de dois aplicativos PHP muito interessantes que acidentalmente acabaram em domínio público em um dos servidores na Holanda. Mas as primeiras coisas primeiro ...


Uma carta do pesquisador de segurança Alex Gor (no Twitter - 0xyzq ) foi enviada para o correio do meu canal do Telegram, “ Vazamento de Informações. A carta continha uma captura de tela (veja acima) e um arquivo com o que é realmente interessante.


«» (, «80.http.get.title:"index of /"») Censys.io 95.179.156.7, , , (.php, .html, .txt .zip). Shodan, 80- «» 23.12.2019, – BinaryEdge, «» 09.02.2020.



– «A» , «P» — «Parse», «v22» – 22. , ( ).


:


  • parse.php – 31.12.2019, 11 757
  • next.php – 24.12.2019, 6 678

, , PHP- REST API , «» , (. ), . REST API HTTP-, JSON. , « » , .


1. parse.php ( HTML-) : «prefix», «from», «to».




$reference REST API ( ), iOS- , , , json- «result_ .txt» (. ).


$reference id (type), ( ddmmyy), , 7 . :


H03 111119 0000001


H03 – id, 111119 – (11.11.2019). . 0000001 – . 0000000 9999999, , .


request() parse.php, $reference , ( ):



, . , .


2. next.php , , REST API: ( HTML-) «AAAAAA».




$reference REST API, , , «result_next_ AAAAAA.txt» (. ).


(. ) , , $reference p, ( ddmmyy). :


p151119


p – , 151119 – (15.11.2019).



– , PHP- .


, «» PHP-, ( ), «parse» «next» «files».



(parse.php) , , .



30 , 133 728 ( ).


(next.php) , , , , ( ), (, , , ..).



21 , 113 442 ( ).


, .


, 29.12.2019 04.01.2020, .


, , « ». «» – , .


, . , , . – , , .


, REST API, , — 404- . : , , – “Authorization: Bearer“ HTTP- ( ). , , . - HTTP- , . PHP- .


, , , , . , , « » .


Notícias sobre vazamentos de informações e informações privilegiadas sempre podem ser encontradas no canal Telegram " Vazamentos de informações " .

More articles:


All Articles